Dos 공격이란 무엇입니까?
그렇다면 DoS 란 무엇입니까? PC 의 초기 동지들과 접촉하면 Microsoft 디스크 운영 체제의 DOS--Disk Operation System 을 직접 떠올릴 수 있을까요? 오, 안돼, 안돼, 안돼, 안돼, 안돼, 안돼, 안돼, 안돼, 안돼, 안돼, 안돼, 안돼! 이 DoS 는 비 peer DOS, DoS, 즉 Denial Of Service, 서비스 거부 약어입니다. DoS 는 의도적으로 네트워크 프로토콜 구현의 결함을 공격하거나 야만적인 수단을 통해 공격 대상의 자원을 잔인하게 고갈시키는 것을 말합니다. 대상 컴퓨터나 네트워크가 정상적인 서비스나 자원 액세스를 제공하지 못하게 하고, 대상 시스템 서비스 시스템이 응답하지 못하게 하거나, 충돌이 발생하도록 하는 것입니다. 이 공격에는 대상 서버나 대상 네트워크 장치에 대한 침입이 포함되지 않습니다. 이러한 서비스 리소스에는 네트워크 대역폭, 파일 시스템 공간 용량, 오픈 프로세스 또는 허용되는 연결이 포함됩니다. 이러한 공격은 컴퓨터의 처리 속도, 메모리 용량, 네트워크 대역폭의 속도에 관계없이 리소스 부족으로 이어질 수 있습니다. 어떤 것에도 한계가 있다는 것을 알기 위해 항상 요청된 값을 이 한계값보다 크게 할 수 있는 방법을 찾을 수 있기 때문에 의도적으로 제공된 서비스 자원이 부족해질 수 있습니다. 겉으로는 서비스 자원이 수요를 충족시키지 못하는 것 같습니다. 따라서 충분한 대역폭과 충분한 속도의 서버를 가지고 있다고 생각하지 마십시오. DoS 공격을 두려워하지 않는 고성능 웹 사이트가 있습니다. 서비스 공격을 거부하면 모든 자원이 매우 작아집니다. < P > 사실, 우리는 DoS 를 이해하기 위해 이미지의 비유를 한다. 거리의 식당은 대중에게 음식 서비스를 제공하는 것이다. 깡패들이 DoS 음식점을 요구하면 수단이 많다. 예를 들어 식탁을 점령하고 계산을 하지 않고, 식당의 대문을 막고, 길을 막고, 식당을 괴롭히는 종업원이나 요리사는 일을 할 수 없고, 심지어 더 나쁘다. 해당 컴퓨터와 인터넷 시스템은 인터넷 사용자에게 인터넷 자원을 제공하는 것이다. 해커가 DoS 공격을 한다면. 오늘날 가장 일반적인 DoS 공격에는 컴퓨터 네트워크에 대한 대역폭 공격과 연결 공격이 있습니다. 대역폭 공격은 대량의 트래픽으로 네트워크에 충격을 주어 사용 가능한 모든 네트워크 자원이 소진되어 결국 합법적인 사용자 요청이 통과되지 못하게 하는 것을 말합니다. 연결 공격이란 대량의 연결 요청으로 컴퓨터에 충격을 주어 사용 가능한 모든 운영 체제 자원이 소진되어 결국 컴퓨터가 합법적인 사용자의 요청을 더 이상 처리할 수 없게 되는 것을 말합니다. DDoS
가 전통적으로 공격자가 직면한 주요 문제는 네트워크 대역폭입니다. 작은 네트워크 크기와 느린 네트워크 속도 제한으로 인해 공격자는 과도한 요청을 할 수 없습니다. "더 핑 of death" 와 같은 공격 유형은 패치되지 않은 유닉스 시스템을 파괴하기 위해 소량의 패키지만 필요하지만 대부분의 DoS 공격은 상당한 대역폭을 필요로 하며, 개인별 해커들은 고대역폭 자원을 사용하기가 어렵다. 이 단점을 극복하기 위해 DoS 공격자는 분산된 공격을 개발했다. 공격자는 도구를 사용하여 많은 네트워크 대역폭을 모아 동일한 대상에 대해 많은 공격 요청을 동시에 시작합니다. 이것이 바로 DDoS 공격입니다.
dDoS (distributed denial of service) 는 DoS 를 한 단계 더 발전시켰습니다. 이러한 분산 서비스 거부 공격은 해커가 침입해 제어한 서로 다른 고대역폭 호스트 (수백, 심지어 수천 대) 에 수많은 dos 서비스 프로그램을 설치하여 중앙 공격 통제 센터는 적시에 모든 관리 대상 호스트에 대한 DoS 서비스 프로세스를 시작하여 특정 대상에 대해 가능한 한 많은 네트워크 액세스 요청을 전송하여 DoS 급류가 대상 시스템에 부딪히고 맹렬한 DoS 가 동일한 웹 사이트를 공격하도록 합니다. (윌리엄 셰익스피어, DOS, DOS, DOS, DOS, DOS, DOS, DOS) 중과부적의 힘에 대항하여 공격당한 대상 사이트는 신속하게 반응을 잃고 정상적인 방문을 제때에 처리하지 못하고 심지어 시스템이 마비될 수도 있다. DDoS 와 DoS 의 가장 큰 차이점은 사람이 많으면 힘이 크다는 것을 알 수 있다. DoS 는 기계 공격 대상이다. DDoS 는 중앙공격센터에 의해 통제되는 많은 기계들이 고대역폭 공격 목표를 이용해 대상 사이트를 쉽게 공격할 수 있다. 또한 DDoS 공격 방식이 자동화되어 공격자가 네트워크의 여러 시스템에 프로그램을 설치할 수 있으며, 이러한 공격 방식은 공격자가 통합 공격 명령을 내릴 때까지 공격 대상에 의해 감지되기 어렵습니다. DDoS 공격은 해커가 집중적으로 통제하는 DoS 공격의 집합이라고 할 수 있는데, 현재 이 방식은 가장 효과적인 공격 형식으로 간주되어 저항하기가 매우 어렵다. < P > DoS 공격이든 DDoS 공격이든, 간단히 보면 인터넷 서비스를 파괴하는 해커 방식일 뿐, 구체적인 구현 방식은 변화무쌍하지만 * * * * 같은 점이 있다. 이는 피해 호스트나 네트워크가 적시에 외부 요청을 수신 및 처리하지 못하거나 적시에 외부 요청에 응답하지 못하게 하는 것이다. 구체적인 표현은 다음과 같습니다. < P > 1. 대량의 트래픽 무용지물을 만들어 공격받는 호스트에 대한 네트워크 정체를 초래하여 공격받는 호스트가 외부와 제대로 통신할 수 없게 합니다. < P > 2. 공격받은 호스트가 서비스를 제공하거나 전송 프로토콜에서 중복 연결 결함을 처리하고 고주파에서 공격성 중복 서비스 요청을 반복적으로 실행하여 공격받은 호스트가 적시에 다른 정상적인 요청을 처리할 수 없도록 합니다. < P > 3. 공격 호스트에서 제공하는 서비스 프로그램 또는 전송 프로토콜 자체를 사용하여 잘못된 공격 데이터를 반복적으로 전송하면 시스템 오류가 발생하여 많은 시스템 리소스가 할당되고 호스트가 일시 중지되거나 작동이 멈춥니다.
일반적인 DoS 공격
서비스 거부 공격은 네트워크에 막대한 피해를 주는 악의적인 공격입니다. 오늘날 DoS 의 대표적인 공격 수단은 Ping of Death, TearDrop, UDP flood, SYN flood, Land Attack, IP Spoofing DoS 등이다. 그들이 어떻게 이루어 졌는지 봅시다.
죽음의 ping (ping of death): icmp (Internet control message protocol, Internet control message protocol) 는 인터넷에서 오류 처리 및 제어 정보 전달에 사용됩니다. 그 기능 중 하나는 호스트에 연락하여 에코 요청 (echo request) 패킷을 보내 호스트가 "살아 있는지" 확인하는 것입니다. 가장 일반적인 핑 프로그램은이 기능입니다. TCP/IP 의 RFC 문서에는 패키지의 최대 크기에 대한 엄격한 제한이 있습니다. 많은 운영 체제의 TCP/IP 스택은 ICMP 패킷 크기를 64KB 로 지정하고 패키지의 헤더를 읽은 후 해당 헤더 헤더에 포함된 정보를 기준으로 페이로드에 대한 버퍼를 생성합니다. "Ping of Death" 는 의도적으로 기형적인 테스트 Ping(Packet Internet Groper) 패키지를 생성하여 자신의 크기가 ICMP 상한을 초과했다고 주장하는 것, 즉 로드된 크기가 64KB 상한을 초과해 보호 조치를 취하지 않은 네트워크 시스템에 메모리 할당 오류가 발생하여 TCP/IP 스택이 충돌한 것이다 < P > 눈물 (teardrop): 눈물 공격은 TCP/IP 스택 구현에서 신뢰할 수 있는 IP 조각의 패킷 헤더에 포함된 정보를 사용하여 자신의 공격을 실현합니다. IP 세그먼트에는 세그먼트에 포함된 원본 패킷의 세그먼트를 나타내는 정보가 포함되어 있으며, 서비스 팩 4 이전 NT 와 같은 일부 TCP/IP 스택은 겹치는 오프셋이 있는 위조 세그먼트를 받으면 충돌합니다. UDP 플러드 (UDP flood): 인터넷에서 UDP (Uuser 패킷 프로토콜) 가 널리 사용되고 있으며, WWW, Mail 과 같은 많은 서비스 장치는 일반적으로 Unix 를 사용하는 서버이며, 기본적으로 해커가 악의적으로 이용하는 UDP 서비스를 켭니다. Echo 서비스는 수신된 각 패킷을 표시하고, 원래 테스트 기능이었던 chargen 서비스는 각 패킷을 수신할 때 임의로 일부 문자를 피드백합니다. UDP flood 위조 공격은 이 두 개의 간단한 TCP/IP 서비스의 취약점을 이용해 악의적으로 공격하는 것으로, 한 호스트의 Chargen 서비스와의 UDP 연결을 위조하여 Echo 서비스가 열려 있는 한 호스트를 가리키고, Chargen 과 Echo 서비스를 서로 가리켜 쓸모없고 대역폭을 가득 차지하는 스팸데이터를 두 대에 전달하는 것이다. SYN 홍수 (SYN flood): 사용자가 표준 TCP (Transmission Control Protocol) 연결을 할 때 3 번의 핸드셰이크 프로세스가 있다는 것을 알고 있습니다. 첫 번째는 서비스 측에 SYN(SYNchronize Sequence Number) 메시지를 보내는 것입니다. 서비스 측에서 Syn 을 받으면 SYN-ACK 을 요청자에게 반송하여 확인을 표시하고 요청자가 SYN-ACK 을 받으면 다시 서비스 당사자에게 ACK 메시지를 보냅니다. "SYN Flooding" 은 두 호스트 간에 접속 핸드셰이크를 초기화하는 TCP 스택 프로세스를 위한 DoS 공격입니다. 구현 중 처음 두 단계만 진행됩니다. 즉, 서비스 당사자가 요청자의 SYN-ACK 확인 메시지를 수신하면 요청자가 소스 주소 스푸핑 등의 수단으로 인해 서비스 당사자가 ACK 응답을 받지 못하므로 서비스 당사자는 일정 기간 동안 요청자 ACK 수신을 기다리고 있습니다. 한 서버의 경우 사용 가능한 TCP 연결은 제한된 메모리 버퍼만 연결을 만드는 데 사용되므로 제한됩니다. 이 버퍼가 잘못된 연결의 초기 정보로 가득 차면 버퍼의 연결 시도가 시간 초과될 때까지 다음 연결에 대한 응답을 중지합니다. 악의적인 공격자가 이러한 접속 요청을 신속하고 연속적으로 전송하면 해당 서버에서 사용할 수 있는 TCP 접속 대기열이 빠르게 차단되고, 시스템 가용 자원이 급격히 줄고, 네트워크 가용 대역폭이 급속히 줄어들며, 몇 명의 행운의 사용자 요청이 수많은 거짓 요청 사이에 삽입되어 응답을 받을 수 있다는 점을 제외하면 서버는 사용자에게 정상적인 합법적인 서비스를 제공할 수 없게 됩니다. (데이비드 아셀, Northern Exposure (미국 TV 드라마), 행운명언)
Land (Land Attack) 공격: Land 공격에서 해커는 특별히 제작된 SYN 패킷을 이용합니다. 원래 주소와 대상 주소가 모두 서버 주소로 설정되어 공격을 합니다. 이로 인해 수신 서버가 자체 주소로 SYN-ACK 메시지를 보내고, 그 결과 이 주소는 ACK 메시지를 다시 보내고, 시간 초과까지 유지되는 빈 연결을 만듭니다. Land 공격으로 많은 UNIX 가 충돌하고 NT 가 매우 느려집니다 (약 5 분).
IP 스푸핑 DOS 공격: 이 공격은 TCP 스택의 RST 비트를 이용하여 IP 스푸핑을 사용하여 서버가 합법적인 사용자의 연결을 재설정하여 합법적인 사용자의 연결에 영향을 미치도록 합니다. 이제 합법적인 사용자 (1.1.1.1) 가 서버에 정상적으로 연결되어 있다고 가정해 보겠습니다. 공격자는 공격의 TCP 데이터를 구성하고 자신의 IP 를 1.1.1.1 으로 위장한 다음 RST 비트가 있는 TCP 데이터 세그먼트를 서버로 보냅니다. 서버에서 이러한 데이터를 수신하면 1.1.1.1 에서 전송된 연결에 오류가 있다고 판단되면 버퍼에서 설정된 연결이 비워집니다. 이때 합법적인 사용자 1.1.1.1 이 합법적인 데이터를 다시 전송하면 서버에 더 이상 이러한 연결이 없게 되고 해당 사용자는 서비스를 거부하여 새로운 연결을 다시 시작할 수 밖에 없습니다.
일반적인 DDoS 공격
smurf, Fraggle 공격, Trinoo, Tribe Flood Network(TFN), TFN2k, Stacheldraht 는 비교적 일반적인 DDoS 공격 프로그램이다 Smurf 공격: Smurf 는 간단하지만 효과적인 DDoS 공격 기술이며, Smurf 는 ping 프로그램을 이용하여 소스 IP 위조의 직접 방송을 통해 공격한다. 인터넷에서 정보를 브로드캐스팅하는 것은 브로드캐스트 주소나 기타 메커니즘을 통해 네트워크 전체의 컴퓨터로 전송할 수 있습니다. 컴퓨터가 브로드캐스트 주소를 사용하여 ICMP echo 요청 패키지 (예: Ping) 를 보내면 일부 시스템은 ICMP echo 응답 패키지에 응답하여 패키지를 보내면 많은 응답 패키지를 받게 됩니다. Smurf 공격은 이 원리를 사용하여 이루어지며 가짜 소스 주소도 필요합니다. 즉, Smurf 가 네트워크에서 전송하는 소스 주소는 공격할 호스트 주소이고, 대상 주소는 브로드캐스트 주소의 ICMP echo 요청 패킷이며, 많은 시스템이 동시에 응답하고 대량의 정보를 피격 호스트에 보낼 수 있습니다 (그의 주소가 공격자에 의해 위조되었기 때문). Smurf 는 위조된 소스 주소로 하나 이상의 컴퓨터 네트워크에 대해 계속 ping 을 수행하여 모든 컴퓨터가 응답하는 호스트 주소가 실제로 패킷을 전송하는 공격 컴퓨터가 아닙니다. 이 위조된 소스 주소는 실제로 공격의 대상이며, 엄청난 양의 응답 정보량에 의해 잠길 것이다. 이 위조 패킷에 반응하는 컴퓨터 네트워크는 공격의 무지한 공모가 된다. 간단한 smurf 공격은 결국 인터넷 차단과 제 3 자 충돌로 이어지는데, 이 공격 방식은 ping of death 홍수보다 한두 개 더 많은 트래픽을 발생시킨다. (알버트 아인슈타인, Northern Exposure (미국 TV 드라마), 전쟁명언) 네트워크를 사용하여 패킷을 전송하여 대량의 응답을 유도하는 이러한 방식을 Smurf' 확대' 라고도 합니다.
Fraggle 공격: Fraggle 공격은 ICMP 대신 UDP 응답 메시지를 사용하여 Smurf 공격을 간단하게 수정했습니다.
"trinoo "공격: trinoo 는 UDP flood 기반 공격 소프트웨어인 복잡한 DDoS 공격 프로그램입니다. "마스터" 프로그램을 사용하여 실제 공격을 구현하는 모든 수의 "에이전트" 프로그램을 자동으로 제어합니다. 물론 공격하기 전에 침입자는 소프트웨어를 설치하기 위해 마스터 프로그램이 설치된 컴퓨터와 에이전트가 설치된 모든 컴퓨터를 통제했다. 공격자는 마스터 프로그램이 설치된 컴퓨터에 연결하고 마스터 프로그램을 시작한 다음 하나의 IP 주소 목록에 따라 마스터 프로그램이 모든 에이전트를 시작합니다. 그런 다음 에이전트는 UDP 패킷을 사용하여 네트워크에 충격을 주고, 공격받는 대상 호스트의 임의 포트에 인 4 바이트 UDP 패킷을 전송하며, 처리 능력 초과 스팸패킷을 처리하는 동안 공격받는 호스트의 네트워크 성능은 정상으로 제공되지 않을 때까지 계속 저하됩니다.