|
정의
|
- 서비스에 대한 정당한 접근을 방해하거나 차단하고자 네트워크에 분산되어 있는 많은 에이전트를 이용하여 공격대상 서버에 동시에 과도한 서비스 요청을 발생 시키는 공격
- 여러 대의 컴퓨터(좀비 PC)를 일제히 동작하게 하여 특정 사이트를 공격하게 하여 엄청난 분량의 패킷을 동시에 범람시켜 N/W 성능 저하나 시스템 마비를 가져오게 하는 해킹기법
|
|
특징
|
- 은닉 분산공격 : 네트워크에 분산되어 분포하는 좀비인 에이전트를 이용하여 공격
- 방어의 어려움 : 네트워크에 분산되어 공격함으로써 모든 소스를 차단하기 어려움
- 랜섬 공격(Ransom) : 공격자는 DDoS 공격을 통해서 피해자의 서비스를 마비 시킨 후, 협박을 통해서 공격 중단을 대가로 금전적인 보상을 요구함
|
|
DDoS
구성요소
|
- 공격자(Attacker) : DDoS 공격을 주도하는 공격자의 컴퓨터
- 마스터(Master) : 여러 대의 DoS 에이전트의 연결을 관리하는 시스템
- 에이전트(Agent) or 좀비(Zombie) : 일반 사용자의 컴퓨터에 은닉하며 마스터에 연결하여 관리되는 악성코드
- 공격대상(Victim) : 에이전트부터 공격을 받는 대상
|
|
DDoS
피해의 심각성
|
- 2009년 7월 7일 18시부터 10일 18시까지 만 3일 동안 진행된 DDoS 공격으로 우리나라 주요사이트의 접속을 마비시킴.
- 이번 대란의 금전적 손실은 최소 363억원에서 최대 544억원(현대경제연구원 추정)으로 과거 2003년 1.25 대란 피해 추정액인(1,675억)에 비해 상대적으로 작음
|
|
특징
|
- 사이버 테러 형태 : 사이버 조폭들의 DDoS 공격들과 다르게 금전적 요구가 없었음
- 증거 인멸 : 공격을 완료한 후, 좀비 PC의 데이터를 파괴하여 증거를 인멸함
- C&C 형태변화 : 기존의 C&C와 좀비는 항상 세션이 연결되어 탐지가 용이하였으나, 금번 C&C는 좀비와 연결이 없어 방어가 어려웠음
- 상용 서비스 프로그램 해킹 : 기존의 악성코드 유포형태의 좀비 네트워크 형성과 다르게, 상용 서비스의 프로그램을 해킹하여 악성코드를 유포시킴
- 웹 어플리케이션 DDoS : 일반적인 L2/L3 공격인 TCP, UDP, ICMP Flooding 형태의 공격이 아닌 웹 어플리케이션에 대한 HTTP GET Flooding이 대부분으로 방어가 난해함
|
|
유포경로
|
- 해커들은 웹하드 사이트를 해킹해 악성코드를 심어놓은 뒤 이용자들이 정상적인 업그레이드를 진행할 때 자동적으로 악성코드에 감염되도록 함
|
|
동작원리
|
- 악성코드에 감염된 좀비 컴퓨터는 독일과 미국, 오스트리아, 태국 등 전세계에 퍼져있는 4개 그룹의 C&C(command&control)서버에 순차적으로 접속
- '좀비컴퓨터 관리서버'->'파일정보 수집서버'->'악성코드 공급서버'->'좀비 컴퓨터 파괴서버' 등 네트워크화된 4단계 C&C서버는 치밀하게 연결돼 DDos 공격에서 각자의 역할을 수행
|
|
DDoS C&C
서버의 역할
|
- 좀비컴퓨터 관리 서버 : 웹하드 사이트를 통해 최초 감염된 좀비컴퓨터들과 교신하며 위치를 파악한 뒤 좀비컴퓨터들이 2번째 C&C서버 그룹인 '파일정보 수집서버'에 접촉하도록 하는 안내자
- 파일정보 수집서버 : 좀비컴퓨터 내부에 있는 파일목록을 유출하도록 명령을 내렸으며, 이렇게 유출된 파일목록은 다시 캐나다와 베네스엘라, 이스라엘에 있는 서버로 재유출
- 악성코드 공급서버 : 접속해 실제 DDos 공격을 수행하는 악성코드를 다운받아 공격을 수행
- -'XXX.jpg'라는 파일명으로 그림파일로 위장한 파일을 좀비컴퓨터에 전송한 것으로 드러났으며, 이 서버는 미국 서부에 위치한 한 농장 홈페이지에 숨겨져 있었음
- 좀비컴퓨터 파괴서버 : 하드디스크를 파괴하는 작업을 수행
|