본문 바로가기

미분류

DDoS 공격유형 정리#2



공격유형 

요약 

SSDP Amplification DDoS

 SSDP (Simple Service Discovery Protocol) 공격은 증폭 된 양의 트래픽을 대상 희생자에게 보내고 UPnP (범용 플러그 앤 플레이) 네트워킹 프로토콜을 악용하여 반영하는 반사 기반의 분산 서비스 거부 (DDoS) 공격입니다 대상의 인프라 및 웹 리소스를 오프라인 상태로 만듭니다.

상세설명

※ SSDP (Simple Service Dicovery Protocol) 

 : 네트워크 서비스나 정보를 찾기 위해서 사용하는 네트워크 프로토콜. 일반 거주와 소규모 사무 환경에서 UPnP를 위한 기본적인 프로토콜로 사용하고 있음 . (SSDP 는 UPnP의 표준)


※ UPnP (Universal plug and play)

 : 홈 네트워크에 있는 네트워크 장치들이 서로 연동될 수 있도록 하는 범용 표준 프로토콜. 


정상적인 상황에서 SSDP 프로토콜은 UPnP 장치가 네트워크상의 다른 장치에 자신의 존재를 브로드 캐스트하도록 허용하기 위해 사용됩니다.

공격자는 UPnP 장치들을 찾아 리스트화 하고 대상자의 IP로 스푸핑된 UDP 패킷을 만들어 가능한 많은 데이터를 요청하는 내용을 담아 각 장치로 전송합니다. 대상자는 각 장치로부터 오는 증폭된 트래픽을 한꺼번에 받게 됩니다. 



공격유형 

요약 

VSE Query Flooding

TSource Engine Query를 많은 요청으로 처리하여 모든 서버를 처리 할 수 ​​없도록함으로써 게임 서버에 대한 거부 공격을 발생 시키도록 설계되었습니다.

상세설명

밸브 소스 엔진 플러드는 서버에 대해 사용 가능한 리소스를 소비하는 데 사용되는 UDP (증폭) 공격입니다. 공격은 TSource 엔진 쿼리 요청을 게임 서버에 보내도록 설계되었으므로 서버가 모든 요청을 처리 할 수없고 게임 서비스 거부를 만드는 많은 요청을 처리합니다. 이 유형의 공격은 게이머 시장에만 적용됩니다. Mirai는 서비스로 설계 되었기 때문에 게이머가 경쟁 우위, 경쟁 또는 복수에 대한 지연 또는 중단을 유발할 수 있다는 점이 매력적입니다.



공격유형 

요약 

GRE Flooding

GRE 프로토콜을 이용해 특정사이즈의 패킷을 지속적으로 발생시켜 서버자원의 고갈을 유도한다.

상세설명

GRE 프로토콜은 공격시 encapsulation을 통해 대량의 payload를 전송 가능하고 , 타겟서버는 IP defragmentation 과정에서 자원의 고갈이 발생 할 수 있다. 


※ GRE Protocol
GRE (Generic Routing Encapsulation)는 IP 네트워크에서 가상 점대 점 링크 내에 다양한 네트워크 계층 프로토콜을 캡슐화 할 수있는 터널링 프로토콜 



공격유형 

요약 

Tsunami Syn Flooding

기존 SYN flood Attack은 패킷 당 40-60bytes의 트래픽을 유발하는데 반해, Tsunami SYN-Flood Attack은  패킷 당 1000bytes의 트래픽을 유발함

상세설명

이러한 DDoS 공격의 유형은 UDP가 아닌 TCP 프로토콜을 사용하여 공격함
- 일반적으로 SYN 패킷은 TCP 3way handshake과정에서 생성되는 메시지이며 해커들은 일반적인 SYN 패킷에
  25배(최대 1000bytes)의 크기로 패킷 데이터양을 추가하는 방식으로 공격을 수행
 ※ TCP 3way handshake : TCP/IP프로토콜을 이용해서 통신을 하는 응용프로그램이 데이터를 전송하기 전에
     먼저 정확한 전송을 보장하기 위해 상대방 컴퓨터와 사전에 세션을 수립하는 과정


공격을 위해 봇넷(Botnet)을 이용하였으나 “공격자들은 트래픽이 발생하는 기계를 완벽히 제어할 수 없었으며
더 많은 봇(bots)을 트래픽에 덧붙여 공격한다.”라고 Radware 영국 지사의 Crawley가 설명함
 ※ 봇넷(Botnet) :스팸메일이나 악성코드 등을 전파하도록 하는 악성코드 봇(Bot)에 감염되어 해커가 마음대로
     제어할 수 있는 좀비PC들로 구성된 네트워크



공격유형 

요약 

GET Flooding

정상적인 TCP 연결과정 이후 정상적으로 보이는 HTTP Transaction 과정이 수행되는 DDoS공격 기법이다. 

상세설명

TCP 3-Way Handshake 과정 이후 정상적으로 보이는 트랜잭션이 추가적으로 발생되는 DDoS 공격 기법이다. 일반적으로 DDoS공격은 웹 서버를 대상으로 DDoS 공격이 발생되며, TCP 세션 연결 이후 발생하는 일반적인 공격 형태가 바로 HTTP Get Flooding 형태이다. 


공격 트래픽을 수신하는 서버는 정상적인 TCP 세션과 함께 정상적으로 보이는 HTTP Get 요청을 지속적으로 요청하게되므로, 시브스를 위하여 수행하는 서버는 기본적인 TCP 세션 처리뿐만 아니라 HTTP 요청 처리까지 수행 해야 한다. 이 경우 HTTP 모듈의 과부하 까지도 야기시킬 수 있는 DDoS 공격 기법이다. 



공격유형 

요약 

Slowloris

웹 서버와 다수의 커넷션 연결 후 각 커넥션 별로 비정상 HTTP 헤더(완료되지 않는 헤더) 를 전송함으로써 웹 서버단의 커넷션 자원을 고갈 시키는 공격 

상세설명

정상적인 HTTP GET 요청을 해서 정보를 보면 "0d0a0d0a"(CRLF) 의 정보를 담고있다. 겉으로 보면 "…." 네개의 마크가 찍히는데

Slowloris공격 패킷을 보면 "0d0a"("..") 로 비정상적인 헤더값을 전송한다.

 

즉, 헤더를 종료시키지 않고 보내며 소켓을 열어둔채 닫히지 않은 상태로 요청을 계속 시도하며 Client connection 수치를 최대로 채우는 공격이다. 



공격유형 

요약 

SlowRead

 HTTP 공격의 일종으로 버퍼의 크기, TCP Window Size를 조작하여 응답을 천천히 읽어 TCP 연결을 지연시키는 공격

상세설명

웹서버가 연결 지연을 제한하지 않는 점을 이용함.

slowloris와 HTTP 차이가 있다면, 요청을 지연시키는 것보다는 HTTP 요청을 적절히 보내고 응답을 천천히 읽으면서 세션을 오래 물고 있는것이다. 데이터 흐름속에서 TCP 연결을 끊임없이 지연시킬수 있는 방법으로 , TCP 윈도우 사이즈의 값을 조작해서 '0'이나 작은 데이터를 받는것이다.

 공격자와 공격대상 서버는 데이터 전송이 완료 될 때까지 Connection 지원을 점유하게 되며, 이러한 과정이 대량 발생할 경우 공격 대상 서버의 Connection 자원이 모두 고갈되어 서비스 거부 상태가 된다.



'미분류' 카테고리의 다른 글

DDoS 공격 유형 정리#1  (0) 2018.06.15
DDoS 공격 대응  (0) 2018.06.15
170317 동적할당 과 malloc함수  (0) 2017.03.19
170316 어셈블리 언어  (0) 2017.03.16
170316 Caller & Callee , 함수 호출 규약  (0) 2017.03.16