분산 반사 서비스 거부 공격(DRDoS)
- 공격자는 출발지 IP를 공격 대상의 IP로 위조(IP Spoofing)하여 다수의 반사 서버(Reflector)로 요청정보를 전송, 공격 대상은 반사 서버로부터 다수의 응답을 받아 서비스 거부 상태가 되는 공격 유형
- 반사(reflection)와 증폭(amplification) 공격으로 나뉜다.
- 반사 서버인 제 3자를 두고 DDoS 공격을 하는 기법이다.
공격 유형
UDP 프로토콜 서비스를 제공하는 서버를 반사 서버로 이용해 그 응답이 공격 대상으로 향하도록 하는 방법
(가장 많이 발생)
- DNS 증폭 DRDoS 공격
- DNS 서버(반사 서버)에 많은 양의 레코드 정보를 요구하는 DNS 질의 타입을 요청
- 공격 대상에게 대량의 트래픽을 유발함
- NTP 증폭 DRDoS 공격
- NTP 서버(반사 서버) 최근 접속한 클라이언트 목록(monlist 명령)을 요청
- SNMP 증폭 DRDoS 공격
- SNMP agent에 MIB와 같은 정보를 대량 요청
- CHARGEN 증폭 DRDoS 공격
- 대량의 문자열 전송하여 공격 대상자에게 대량의 트래픽 유발
위협 요소
- 패킷이 전송되는 경로가 무수히 많음
- 반사 서버의 단계적 사용 및 확산
- 공격 경로를 끊임없이 변경 가능
- 공격 대상 IP를 출발지 IP로 위조하여 전송
- 역추적 어려움
대응 방안
- 네트워크에서의 대응
- IP 주소가 위조된 패킷이 인터넷망으로 들어오지 않도록 ISP가 직접 차단(Ingress Filtering)
- 반사 서버에서의 대응
- ICMP 프로토콜이 필요 없는 시스템인 경우 해당 프로토콜을 차단
- NTP 증폭 DRDoS 반사 서버로 악용되지 않도록 대량의 응답 트래픽을 발생시키는 monlist 명령을 해제(NTP 설정 파일을 통해 monlist 기능 비활성화)
- 공격 대상에서의 대응
- 내부 사용자용 DNS 서버인 경우 내부 사용자 주소만 Recursive Query가 가능하도록 제한
참고
https://inforsecdreamtree.tistory.com/23
[정보보안기사]_5. 네트워크보안_네트워크 기반 공격
네트워크 기반 공격 네트워크를 취약하게 만드는 요인 - 많은 공격 지점, 네트워크를 통한 자원 공유, 시스템 복잡성 네트워크 위협의 유형 - 기술적 위협, 수동적공격(스니핑) 능
inforsecdreamtree.tistory.com
https://gusudss.tistory.com/30
보안기사 - DDoS, DRDoS
DDoS (Distributed Denial of Service) 분산 서비스 거부 공격 분류 대역폭 소진공격 서비스(어플리케이션) 마비공격 대표 유형 UDP/ICMP Flooding, SYN Flooding HTTP GET Flooding 공격 형태 1. UDP/ICMP Traffi..
gusudss.tistory.com
'Security > Network' 카테고리의 다른 글
| [Network] GNS3 - 네트워크 에뮬레이터 다운로드, 설치방법 (1699) | 2023.07.27 |
|---|---|
| [보안장비] 침입탐지시스템(IDS) 기능과 작동원리 (441) | 2021.10.27 |
| [Attack] 네트워크 기반 공격 – 분산 서비스 거부 공격(DDoS) (430) | 2021.10.26 |
| [Attack] 네트워크 기반 공격 - 서비스 거부 공격(DoS) (319) | 2021.10.26 |
| [보안장비] Snort 정의와 rule 설정 (285) | 2021.10.08 |