1 / 34

웹엔지니어링 DDoS 공격

웹엔지니어링 DDoS 공격. Trinoo 공격. 목 차. 1. DDoS 공격이란 무엇인가 ? DDoS 공격의 개요 DDoS 구성도 DDoS 공격절차 2. DDoS 공격의 종류 3. DDoS 공격의 피해사례 4. DDoS 공격실습 5. 보안대책 6. 후기 7. 참고문헌. 1. DDoS 공격이란 무엇인가 ?. DDoS 공격의 개요

kieu
Télécharger la présentation

웹엔지니어링 DDoS 공격

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 웹엔지니어링DDoS 공격 Trinoo공격

  2. 목 차 1. DDoS공격이란 무엇인가? DDoS공격의 개요 DDoS 구성도 DDoS 공격절차 2. DDoS공격의 종류 3. DDoS공격의 피해사례 4. DDoS공격실습 5. 보안대책 6. 후기 7. 참고문헌

  3. 1. DDoS공격이란 무엇인가? • DDoS공격의 개요 Denial of Service란 multi-tasking을 지원하는 운영체제에서 발생할 수 있는 공격 방법으로서 구체적으로 한 사용자가 시스템의 리소스를 독점(hogging)하거나, 모두 사용해 버리거나, 파괴하여서 이 시스템이 다른 사용자들에게 올바른 서비스를 제공하지 못하게 만드는 것을 말한다. DDOS(Distributed Denial of Service : 분산 서비스 거부 공격) 은 DOS 공격을 보다 효과적이며 강력하게 공격하기 위한 방법으로 여러대의 장비를 이용하여 공격을 하는 것을 말한다.

  4. DDoS공격의 개요 DDoS공격은 시스템의 정상적인 수행에 문제를 야기 시 키는 모든 행위를 denial of service (DoS) 공격이라고 부르기 때문에 이를 위해서는 매우 다양한 방법이 존재 할 수 있다. 이러한 DoS가 고의적으로 발생할 수도 있지 만 사용자 의 의도와는 상관없이 실수로 발생 할 수도 있 다는 사실이다. 비록 denial of service는 시스템에 치명 적인 문제(루트 권한의 획득, 시스템이나 사용자 데이터 의 파괴나 변조)를 끼치지는 못하지만 시스템의 정상적 인 수행에 문제(network 이나 시스템 서비스 등의 마비) 를 일으킴으로써 사용자들의 많은 불편을 주게 한다.

  5. DDoS 공격의개요 그러므로 시스템 관리자들은 denial of service가 고의적 으로 발생했던 실수로 발생하게 되었든 이를 재빨리 감지 하여 신속히 문제를 해결함으로써 사용자들에게 적절한 서비스를 제공할 수 있게 해주어야 한다. 하지만 대부분 의 denial of service공격의 특징 이 공격을 감지하여 이 를 막기가 매우 어렵다는 것이므로 이 공격의 심각성을 가히 인식할 수 있겠다.

  6. DDoS 구성도

  7. DDoS구성도 공격하는 사람은 Client뒤에 있다. Handler는 특수한 프 로그램이 돌아가도록 구성된 호스트이며, 각 Handler는 여러개의 agent들을 조정할수 있다. 또한, 특수한 프로 그램이 돌아가도록 구성된 호스트이다. 각 agent는 target 호스트에 packet 스트림을 보낸다. 공격자들은 DDOS공격을 위해 Trinoo, TFN, TFN2K, Stacheldraht 와같은 프로그램들을 사용한다. DDoS공격을 위해 공격 자는 수 백대에서 수 천대까지의 호스트들이 필요하다.

  8. DDoS구성도 호스트들은 대부분 Linux나 Sun 워크스테이션이지만, 이 툴들은 다른 Platform에서도 가능하다. host를 구성 하고 툴을 설치하는 과정은 자동으로 이루어지는데, 이 과정은 다음과 같은 단계로 나뉜다

  9. DDoS구성도 1) 취약점을 찾기위해 엄청나게 많은 흐스트들을 검사 하는 Scan단계를 시작한다. 2) access권한을 얻기 위해 취약점을 가진 호스트들을 공략한다. 3) 각 호스트에 툴을 설치한다. 4) 공략된 호스트들 이용해서 더 많은 scaning과 공략 을 한다

  10. DDoS구성도 • 이 과정이 자동으로 이루어지기 때문에, 공격자가 하나 의 호스트를 공략하고 툴을 설치하는데 5초가 채 걸리지 않는다. 다시 말해서, 1시간 안에 수 천대의 호스트들을 공략할 수 있다

  11. DDoS구성도 • intrusion 및 client(handler), daemon 프로그램 설치 단계 - 이 단계는 전통적인 의미의 해킹으로서master와 agent 로 이용할 수백 내지 수천개의 시스템에 침입하여 root 권한을 획득한 후 그곳에 client와 daemon프로그램을 심어놓는 것이다. 이 작업을 위해서는 단시간내 많은 시스템을 연달아 remote해킹할 수 있는 자동화된 최신 해킹툴이 이용된다.

  12. DDoS공격절차 1. 계정을 훔쳐서 공격에 필요한 툴을 저장하기 위한 공간 을 확보한다. 2. 공격이 가능한 적당한 Daemon을 선정하기 위하여 scan 작업을 수행한다. 3. Daemon이 될수 있는 시스템들의 취약점들 찾아 root shell을 습득 하여 DDoS 공격을 수행하기 위한 교두보 를 마련한다. 4. DDoS 공격을 하기 위한 Network 망을 구성하고 필요한 파일들을 복사한다. 5. 복사한 파일들을 background에서 실행하여 공격 준비를 갖춘다

  13. DDOS 공격도구 종류

  14. TRINOO • 1.기본구조

  15. TRINOO • 2.연결방법 • (1)연결 : telnet 프로그램으로 Handler프로그램이 설치된Master와 TCP connection을 생성한다 • (2)인중 : 연결된후 암호를 입력한다. 이때 이미 인증된 연결이 존재 하면 그 연결 client의 host IP를 출력해주는데, 이것은 Trinoo Attacker를 찾기위한 방법으로 사용될수 있다. • (3)COMMAND : Master에서 정의된 COMMAND를 사용해서 Master 와 Daemon을 제어 할수있다.

  16. Daemon과 Handler 상호인식과정 • Daemon프로그램이 시작되면 자신의 Master IP주소로 31335/UDP를 통해서 “*HELLO*”문자를 전송한다. • Daemon프로그램으로부터 접촉을 받은 Handler프로그램은 Agent IP주소로 27444/udp를 통해서 “png”명령어를 전송한다. • 다시 Daemon프로그램은 “PONG”문자열을 Master IP주소로 31335/udp를 통해서 전송한다.

  17. Daemon과 Handler 상호인식과정 • 전의 과정을 통해서,Master는 자신이 통제할 Agent의 IP주소를 관리할수 있게된다. • 그런다음, Handler 프로그램은 자신이 통제할 Agent의 목록을 파일로 관리하며 파일의 내용은 Blowfish로 암호화 되어있다. 이것은, Master 시스템이 노출되었을 때 해당 Agent시스템까지 노출되는것을 방지하기 위함이다.

  18. Handler 명령어

  19. Handler 명령어 • 위와 같이 Master가 Agent를 제어하는 필요한 명령어를 제공한다. • 이러한 명령어들은 문자열의 형태로 그대로 전송되므로 네트워크 패킷을 잡아낸 다음 특정한 문자열들을 찾아내면 Trinoo의 Handler 또는 Daemon의 존재를 알아낼 수도 있다.

  20. Daemon명령어

  21. Daemon명령어 • 위의 명령어들은 직접 Attacker가 사용하지 않는다. • 단지 Attacker의 명령을 통해서 Handler에서 생성된 Daemon제어용 명령어이다.

  22. TFN • Tribe Flood Network의 약자로서 Mixer라는 독일의 해커에 의해서 개발되었다. • Trinoo와는 달리 Attacker가 Master로 접근하기 위한 별도의 Port#가 준비되어 있지는 않다. 따라서 Attacker가 Master로 접근하려면 TELNET등의 프로그램을 사용해서 Master내에서 Handler를 직접 실행해야 한다. 또한 Trinoo와는 달리 실행에 필요한 별도의 암호가 없지만 Master와 Agent모두 ICMP를 사용하므로 root권한을 필요로 한다. • Master와 Agent의 통신에는 ICMP ECHO_REPLY메시지를 사용하므로 별도의 PORT#를 얻어둘 필요가 없어 쉽게 탐지 되지 않는다.

  23. TFN의 구조

  24. Stacheldraht • Stacheldraht는 “Trinoo”의 네트워크 구조와 “TFN”의 다양한 공격방법 그리고 Communication상의 encryption기능을 포함한 DDOS공격 도구이다. • 암호화를 위해서 Attacker가 직접 사용하는 TELNET과 비슷한 프로그램(TELNETC)를 제공하는데 이 프로그램이 Attacker과 Master간의 암호화된 통신을 보장한다. • 따라서 Attacker와 Master간의 통신에 대해서는 네트워크 패킷을 분석한다고 하더라도 Stacheldraht의 여부를 판단하기 쉽지않다.

  25. Stacheldraht의 구조

  26. DDoS공격의 피해사례 DDoS 공격이 성공했을 때 기업에 미치는 유·무형적 피 해는 실로 엄청나다. 네트워크가 완전히 다운되는 경우 는 논외로 친다고 할지라도, 단지 네트워크 속도가 급감 하고 서비스가 불안정하게 되는 경우만 생각해보더라도 심각한 결과를 초래하게 될 것이다. 서비스를 24시간 이 용하고 있는 수많은 고객들이 짜증과 불만족을 느끼며 급격하게 경쟁사로 이탈하게 될 수도 있고, SLA(서비스 수준협약, Service Level Agreement)에 위배되어 막대 한 규모의 금전적인 피해보상을 하는 경우도 있을 수 있 다. 또한 대규모의 집단소송에 휘말릴 가능성도 배제할 수 없을 것이며, 이로 인한 기업 이미지 실추, 주가하락, 매출감소 등 파장은 실로 엄청날 것이다.

  27. DDoS공격의 피해사례 실제로 DDoS 공격에 노출되었던 기업들의 금전적인 피 해액수만 보더라도 현기증이 날 지경이다. 시장조사 기관 인 포레스트, IDC 등에서 집계한 객관적인 통계치를 보면, 시스코사가 24시간 동안 서비스 마비 상황에 이르게 되 면 3천만 달러(약 400억 원)의 금전적인 손실이 직접적으 로 발생한다고 한다. 양키 그룹의 집계에 의하면 2000년 2월에 발생했던 아마존, 야후, 이베이, E-트레이드 등 미 국의 대표적인 인터넷 사이트들에 대한 대규모의 DDoS 공 격에 의한 직접적인 피해 액수는 12억 달러(약 1조 5천억 원)에 이른다. 또한, 2001년 1월에 마이크로소프트사의 인 터넷 사이트가 며칠 동안 DDoS 공격을 받았을 때 발생했던 손실 규모는 5억 달러(약 6천5백억 원)로 집계되었다.

  28. TRINOO 공격(master) • trinoo 컴파일 make 및 마스터의 실행

  29. TRINOO 공격(daemon) • Daemon 컴파일 및 실행

  30. TRINOO 공격(attacker) • Trinoo 마스터로 접속 및 paradise.dankook.ac.kr 공격

  31. TRINOO 공격(결과)

  32. 보안 대책 1. 각각의 DDoS툴은 통신을 위해 특정포트를 사용한다. 따라서 특정 포트가 열려 있는지 검사하면 마스터나 데몬이 설치되어 있는 시스템을 찾아낼 수 있다.이렇 게 데몬이 설치된 시스템을 찾는 툴에는 rid-1.0 DDoSPing,DDoS scan등이 있다 2. TCP Dump로 네트워크의 패킷 중 마스터와 데몬의 통 신 패킷을 찾는 것이다.27444,32770과 같이 특정한 포 트를 알고 있으므로 평소에 TCP Dump결과를 파일로 저장시켜 둔 다음, DDoS공격에 사용되는 포트에 해당 하는 패킷이 있는지 체크해본다.

  33. 후 기 레포트를 하면서 웹 해킹에 대해서도 보다 많은 것을 알 게 됐고 직접 해킹이란 것을 해보았지만 정말 걸음마수 준에 지나지 않았다는 것을 깨달았다. 네트워크에 대한 기초도 많이 부족하고 처음 리눅스를 사용하였다는 것 에 많은 부끄러움을 느꼈다.

  34. 참고문헌 * 인포섹 (2003/04/14 ) * 네트워크 시스템 관리자를 위한 해킹과 보안(사이버출판사) * 웹해킹(㈜피어슨 에듀케이션코리아) * http://www.krcert.or.kr/ * http://www.hackerschool.org/main.htm

More Related