웹 서버에 대한 서비스 거부 공격이란 무엇입니까?
디도스(DDoS) 공격은 해커들이 자주 사용하는 공격 방식으로 예방이 어렵다. 이 글에서는 해커들이 어떻게 DDoS 공격을 조직하고 실행하는지에 초점을 맞춰 개념부터 자세하게 소개합니다. Syn Flood 예제와 결합하면 DDoS 공격에 대해 더욱 생생하게 이해할 수 있습니다. 마지막으로 저자는 자신의 경험과 국내 네트워크 보안 현황을 바탕으로 DDoS를 방어하기 위한 몇 가지 실질적인 방어 수단에 대해 논의했다.
DDoS 공격 개념
DoS 공격 방법에는 여러 가지가 있습니다. 가장 기본적인 DoS 공격은 합리적인 서비스 요청을 사용하여 너무 많은 서비스 리소스를 점유하여 합법적인 사용자가 이를 얻을 수 없도록 하는 것입니다. . 서비스 응답.
DDoS 공격 방법은 전통적인 DoS 공격을 기반으로 한 공격 방법의 일종입니다. 단일 DoS 공격은 일반적으로 일대일 접근 방식을 채택합니다. 공격 대상의 CPU 속도가 낮거나 메모리가 작거나 네트워크 대역폭이 작은 경우 성능 지표가 높지 않으며 그 효과가 분명합니다. 컴퓨터와 네트워크 기술의 발달로 컴퓨터의 처리 능력이 급속히 향상되고, 메모리도 크게 늘어나고, 기가비트급 네트워크도 등장하면서 DoS 공격이 더욱 어려워지고 있다. 표적의 '악성 공격 패킷 소화 능력' "많이 강화되었습니다. 예를 들어 공격 소프트웨어는 초당 3,000개의 공격 패킷을 보낼 수 있지만 내 호스트와 네트워크 대역폭은 초당 10,000개의 공격 패킷을 처리할 수 있으므로 공격은 효과가 없습니다.
이때 분산서비스거부공격방식(DDoS)이 등장했다. DoS 공격을 이해한다면 그 원리는 매우 간단합니다. 컴퓨터와 네트워크의 처리 능력이 10배로 향상되어 하나의 공격 기계를 사용하여 공격하는 것이 더 이상 효과적이지 않다면, 공격자가 10개의 공격 기계를 사용하여 동시에 공격한다면 어떻게 될까요? 100개 유닛은 어떻습니까? DDoS는 더 많은 퍼펫 머신을 사용하여 이전보다 더 큰 규모로 공격을 시작하고 피해자를 공격합니다.
고속으로 광범위하게 연결된 네트워크는 모든 사람에게 편리함을 제공할 뿐만 아니라 DDoS 공격에 매우 유리한 환경을 조성합니다. 저속 네트워크 시대에는 해커가 공격에 사용되는 꼭두각시 머신을 점유할 때 라우터를 통과하는 홉 수가 적고 효과가 좋기 때문에 항상 대상 네트워크에 가까운 머신에 우선 순위를 두게 됩니다. 요즘 통신 백본 노드 간의 연결은 모두 G 레벨이며, 대도시 간에는 2.5G 연결이 가능하므로 더 먼 곳이나 다른 도시에서 공격이 시작될 수 있으며 공격자의 퍼핏 머신의 위치가 분산될 수 있습니다. 더 넓은 영역에 걸쳐 선택이 더욱 유연해집니다.
DDoS 공격을 받았을 때의 현상
공격받은 호스트에 대기 중인 TCP 연결이 많다
쓸데없는 수많은 연결로 네트워크가 넘쳐난다 데이터 패킷, 소스 주소 가짜의 경우
쓸모없는 데이터의 트래픽이 많아 네트워크 정체를 유발하고 피해자 호스트가 외부 세계와 정상적으로 통신할 수 없게 만듭니다.
서비스 또는 전송 프로토콜 사용 피해자 호스트가 제공한 결함, 반복적으로 고속으로 특정 서비스 요청을 발행하여 피해자 호스트가 모든 정상적인 요청을 적시에 처리할 수 없도록 합니다
심각한 경우 시스템 충돌을 일으킬 수 있습니다
해커는 DDoS 공격을 어떻게 구성합니까?
여기서 '조직'이라는 단어를 사용한 이유는 DDoS가 호스트 침입만큼 단순하지 않기 때문이다. 일반적으로 해커는 DDoS 공격을 수행할 때 다음 단계를 거치게 됩니다.
1. 대상의 상황을 수집하고 파악합니다.
다음 상황은 해커가 매우 우려하는 인텔리전스입니다. /p>
공격을 받는 대상 호스트의 수 및 주소
대상 호스트의 구성 및 성능
대상 대역폭
DDoS 공격자의 경우 인터넷 예를 들어, 특정 사이트의 경우 한 가지 중요한 점은 이 사이트를 지원하는 호스트 수를 결정하는 것입니다. 대규모 웹 사이트에는 동일한 웹 사이트의 www 서비스를 제공하기 위해 로드 밸런싱 기술을 사용하는 호스트가 많을 수 있습니다. Yahoo를 예로 들면 다음 주소는 일반적으로 서비스를 제공합니다:
66.218.71.87
66.218.71.88
66.218.71.89
66.218.71.80
66.218.71.81
66.218.71.83
66.218.71.84
66.218.71.86
DDoS 공격을 하려면 어느 주소를 공격해야 할까요? 66.218.71.87 머신이 마비되더라도 다른 호스트는 여전히 www 서비스를 제공할 수 있습니다. 따라서 다른 사람이 해당 머신에 액세스할 수 없도록 하려면 해당 IP 주소를 가진 모든 머신을 마비시켜야 합니다. 실제 애플리케이션에서 하나의 IP 주소는 여러 시스템을 나타내는 경우가 많습니다. 웹 사이트 관리자는 로드 밸런싱을 위해 레이어 4 또는 레이어 7 스위치를 사용하고 특정 알고리즘을 사용하여 각 하위 시스템에 IP 주소에 대한 액세스를 할당합니다. 이때 DDoS 공격자의 상황은 더욱 복잡해진다. 그가 직면한 임무는 수십 개의 호스트의 서비스를 비정상적으로 만드는 것일 수도 있다.
그래서 DDoS 공격자가 사전에 정보를 수집하는 것은 매우 중요합니다. 이는 해당 효과를 달성하기 위해 얼마나 많은 인형 기계를 사용하는지와 관련이 있습니다. 간단히 생각해 보면 동일한 조건에서 동일한 사이트에서 2개의 호스트를 공격하는 데 2개의 Puppet 머신이 필요하다면 5개의 호스트를 공격하려면 5개 이상의 Puppet 머신이 필요할 수 있습니다. 어떤 사람들은 공격해야 할 인형 기계가 많을수록 좋다고 하는데, 호스트 수가 아무리 많아도 인형 기계를 최대한 많이 사용해서 공격하는 편입니다.
그러나 실제 과정에서는 많은 해커들이 첩보를 수집하지 않고 직접 DDoS 공격을 감행하는데, 이때 공격의 맹목성은 매우 커지며 그 효과는 운에 달려 있다. 사실 해커가 되는 것은 네트워크 관리자와 같아서 게으르면 안 됩니다. 일을 잘하고 못하고는 태도가 가장 중요하고 수준이 그 다음이다.
2. 꼭두각시 기계를 탈취하세요
해커는 다음 조건을 갖춘 호스트에 가장 관심이 있습니다:
링크 상태가 좋은 호스트
성능이 좋은 호스트
보안 관리가 취약한 호스트
이 부분은 실제로 또 다른 주요 공격 방법인 익스플로잇 공격을 사용합니다. 이는 DDoS와 유사한 공격 방법입니다. 간단히 말하면, 공격받는 호스트를 점유하여 통제하는 것이다. 가장 높은 관리 권한을 얻거나 최소한 DDoS 공격 작업을 완료할 수 있는 권한이 있는 계정을 얻으세요. DDoS 공격자에게는 일정 수의 인형 기계를 준비하는 것이 필수 조건입니다. 그가 어떻게 공격하고 포획하는지 이야기해 보겠습니다.
먼저 해커가 하는 일은 일반적으로 프로그램 오버플로 취약점, cgi, 유니코드, ftp, 데이터베이스 취약점과 같은 인터넷상의 취약한 시스템을 발견하기 위해 무작위로 또는 표적 방식으로 스캐너를 사용하는 스캐닝입니다. .(단순히 나열하기에는 너무 많습니다)은 모두 해커가 보고 싶어하는 스캔 결과입니다. 그런 다음 침입하려고했습니다. 여기서는 구체적인 방법을 다루지 않겠습니다. 관심이 있으시면 인터넷에 이러한 내용에 대한 많은 기사가 있습니다.
간단히 말하면, 이제 해커가 꼭두각시 기계를 장악했다는 것입니다! 그리고 그는 무엇을 합니까? 위에서 언급한 백도어 남기기, 발자국 지우기 등 기본적인 작업 외에 DDoS 공격에 사용되는 프로그램, 주로 ftp를 이용해 업로드할 예정이다. 공격하는 시스템에는 해커가 피해자 대상에게 악성 공격 패킷을 보내는 데 사용하는 DDoS 패킷 전송 프로그램이 있습니다.
3. 실제 공격
처음 두 단계의 세심한 준비를 거쳐 해커는 목표물을 겨냥하고 발사 준비를 시작한다. 이전 준비가 잘 이루어졌다면 실제 공격 과정은 비교적 간단할 것이다. 그림과 같이 해커는 퍼펫머신에 콘솔로 로그인하여 모든 공격머신에 "Ready~, aim~, fire!"라는 명령을 내린다. 이때, 공격 머신에 매복된 DDoS 공격 프로그램은 콘솔 명령에 응답하여 대량의 데이터 패킷을 피해자 호스트에 고속으로 전송하여 충돌을 일으키거나 정상적인 요청에 응답할 수 없게 만듭니다. 해커는 일반적으로 피해자의 처리 능력을 훨씬 뛰어 넘는 속도로 공격하며 자비를 베풀지 않습니다.
또한 정교한 공격자들은 다양한 수단을 사용하여 공격하는 동안 공격의 효과를 모니터링하고 필요한 경우 약간의 조정을 가합니다.
창을 열고 대상 호스트에 지속적으로 ping을 보내는 것이 더 간단합니다. 응답이 수신되면 트래픽을 늘리거나 공격에 참여하도록 더 많은 인형 기계를 주문하세요.