부제- 7.7 DDoS 대란의 원인과 현실적 대안 모색



전자신문에서 배포한 자료입니다..내용이 아주 잘 정리 되어 있습니다. 최근 DDoS 에 관심이 많으신 분들은 참고 하시면 좋겠습니다.  보고서 형태로 나온 것이니 기술적인 부분은 그리 많지 않습니다.. 참고 하시기 바랍니다..






Posted by 엔시스


" 구글,페이스북, 트위터" 이 3가지 공통점이 무엇인가?

바로 어제 DDoS 공격을 받았다는 사실이다.


한국 시간 어제오후 늦게 위 사이트들이 접속이 지연되는 사건이 발생이 되었다. 이것을 가장 피부로 빨리 느낄수 있는 것이 최근 '트위터' 열풍이 불고 있으니 바로 알수 밖에 없다.






트위터리안들의 지저귐에 바로 알수 있게 된 것이다. 이제는 세계 곳곳에 인터넷 망을 이용하여 마음만 먹으면 얼마든지 악의적인 마음을 가진 크래커들에게 당할수 있다는 사실이다. DDoS 공격은 공격 타켓이 되는 사이트에 과도한 트래픽 부하를 주어 서비스를 하지 못하게 하는 공격이다.

이는 실제 사이트를 침해 하거나 정보 유출 하는 것 보다 우선 즉각적인 반응을 볼수 있다는 것이다. 따라서 공격 당하고 있는 사이트나 사용하고 있는 사용자는 바로 서비스가 중지 됨으로 인하여 서비스의
신뢰성에 상당한 타격을 입는 것이다.


이러한 공격을 위에 있는 3개의 사이트가 공격을 당했다고 하는 것이다. 실제로 어제 일부 서비스에서 지연이 되는 현상이 있었다.

지난번 7.7 DDoS 공격이 있는지 이제 딱 한달이 지났다. 얼마든지 향후에 또 우리나라 주요 사이트도 공격을 당할 수 있다는 것이다. 이제 딱 한달이 지났는데 벌써 남에 이야기처럼 잊어 버린것은 아닌지 모르겠다.

보안은 늘 생활화 하여야 하고 개개인의 마음속에 자리 잡고 습관화가 되어 있어야 한다. 그래야 보안 후진국이 아닌 보안 선진국 대열에 오를수 있는 것이다, 누차 강조해서 말하지만 인프라 강국만 되면 뭐 하겠는가?  보안의식 수준은 후진국인데..

부디 위 사건과 같은 기사를 접하면서 7.7 DDoS 사태를 잊어 버리지 말고 늘 긴장하고 주변을 돌아보면서 관심을 가질수 있는 타산지석으로 삼아야 할 것이다.  @엔시스.



Posted by 엔시스

어제부터 네이버 메일, 쪽지기능 , 또한 조선닷컴, 청와대 등등 일부 싸이트가 불안정하게 인터넷이 안되는 현상이 밝혀졌습니다.

해당 싸이트에서는 긴급 공지문을 띄웠고 일부 싸이트에서는 아예 아무런 조치를 취하지도 않고 그냥 왜 않되는지를 모를채 리프레쉬 버튼만 눌러 보았겠죠..



어제 띄운 장애관련 문구입니다. 아마도 많은 분들이 보셨을텐데 그 이유는 여기에 있습니다.
링크 걸겠습니다.

http://xcoolcat7.tistory.com/520


                   <이미지출처: http://xcoolcat7.tistory.com/520>

종합적으로 판단하건데 위분이 이야기 한것처럼 바이러스로 인한 각종 일반 PC들이 좀비가 되어 특정 싸이트를 공격을 한 것으로 추측이 됩니다. 어떻게 보면 DDoS 공격이라고 하겠지만 엄밀히 따지면 바이러스에 감염된 각 엔드유저에 PC들이 위에 리스트에 언급된 대로 순간 접속을 동시에 하다보니 트래픽이 몰렸겠지요..

결국 그것이 DDoS 개념인데 앞으로의 보안의 측면은 일반 엔드유져의 PC보안으로 다시 회귀하겠습니다. 아무리 시스템 보안이나 네트워크 보안을 철저히 하여도 일반 사용자들이 사용하고 있는 PC가 보안에 취약한 형태로 바이러스에 감염이 되어 일시에 공격을 하게 되면 트래픽을 견디지 못해 다운되는 현상이 발생이 됩니다.

조금 더 자세히 포스팅 되어 있는 글이 있네요..참고 바랍니다..

http://itviewpoint.com/124826



일반 PC사용자가 보안 체크를 하기 위한 체크리스트 5

1. 가장 중요한 것이 정기적인 운영체제 패치(업데이트)를 해야 한다.

그 이유는 운영체제도 완벽 하지 않기 때문에 패치를 하는데 그것을 업데이트 해 주지 않으면 취약점을 이용하여 공격을 하겠죠.

2. 최신 백신 한개 이상 설치해야 한다.

최근에 무료로 제공하고 있는 백신들이 많이 있기에 꼭 PC에 1개 이상의 백신을 설치해서 실시간 감시기능을 켜 놓아야합니다. 그리고 수시로 검사를 하여 자신의 PC에 이상이 없는지를 점검해야 합니다.

3. 윈도우에서 제공하는 기본 방화벽을 사용하라.

윈도우에서 제공하는 기본 방화벽이 있습니다. 기본 방화벽은 운영체제에서 기본적으로 가장 잘 방어할수 있는 수단이며 이를 이용하여 자신의 PC의 안전성을 더 강화 시킬수 있습니다. 꼭 사용을 하셔야 합니다.

4. 중요한 데이터는 백업을 꼭 해 두어라

보안과는 약간 다른 관점이긴 하지만 중요한 데이터는 이동식 저장장치에 꼭 백업을 해 두어 만일의 경우 복구가 가능하도록 준비를 해야합니다. 요즘 대용량 이동식 저장장치가 많으니 꼭 해 두시기 바랍니다. 백업은 아무리 강조해도 지나치지 않습니다.

5. 보안습관의 생활화 하여라

아무리 기술적인 문제로 방어를 한다고 하여도 보안마인드. 정보보호에 대한 생활이 습관화 되어있지 않으면 긴급 상황에 대처하기가 쉽지 않습니다. 자신에 중요한 정보, 또는 자신이 관리하고 있는 조직의 중요한 정보는 늘 몸에 베인 '보안생활화' 만이 수시로 점검하고 대응할수 있는 태도를 이끌어 낼수 있습니다.

이러한 사항을 그냥 늘 신문지상이나 보안관련 글에서 보는 식상한 글로 보지 마시고 다시 한번 자신의 정보가 자신의 회사에서 또는 자신의 사무실에서 유출이 되고 다운이 되었을때를 '가상의 시나리오'로 한번 '시뮬레이션' 해 본다면 엄청한 충격으로 다가 올 것입니다.

부디 여러분들에게 도움이 되는 글이 되었기를 바랍니다.  '보안의 습관화'의 제일 좋은 방법은 한번 당해 보는 것입니다. 당해 보지 않고서는 말을 하지 말어.. @엔시스.



Posted by 엔시스

지난번 DDoS 관련 BMT 테스트를 하기 위하여 이리저리 패킷 생성 툴을 찾다가 오픈 소스로 되어 있는 것을 하나 찾았습니다. 기본적인 여려 Action 을 취할수 있는 메뉴가 있어서 여러모로 테스트를 할수 있었습니다..


아직까지 전부 테스트 해 보지는 못했지만, 간단한 테스트는 가능하더군요..



메뉴중에 TCP 관련 내용입니다..전부 테스트를 하기에는 각종 주변 환경이 조금 받쳐 주어야 겠더군요..Lab 환경을 구축하는것도 중요한 것 중에 하나였습니다..



UDP에 대한 내용입니다...뭐...가장 간단한 Spoofing 부터 여러가지 패킷 생성 메뉴들이 있습니다...


ICMP 에 대한 메뉴입니다...여기에도 많은 수의 패킷 생성 메뉴들이 있습니다...시간될때 마다 하나씩 더 테스트 해 보아야 겠습니다..



ARP 메뉴에 대한 사항도 있습니다....이렇게 각종 TCP/IP에 대한 프로토콜 별로 패킷 생성을 할수 있으며 소스와 데스트네이션에 대한 설정만 하고 시간을 정해 주면 내가 패킷을 생성 할수 있는 만큼 조정을 하여 생성을 할수 있습니다...




이것은 패킷생성을 위한 환경 설정 메뉴입니다...여기서 보면 중요한 것은 포트를 대부분 80 포트로 대상으로 하여 패킷 제너레이팅을 한다는 것입니다..따라서 일반적인 포트에서는 각종 보안 솔루션으로 방어가 되어 있지만 80 포트인 웹에서는 오픈이 되어 있기 때문에 DDoS 공격은 더욱 심각한 것입니다..


Posted by 엔시스
1. 서비스거부 공격 (Dos) 공격

우리가 흔히 말하는 도스공격입니다. 서비스 거부 공격이라고 말합니다. 말그대로 서비스 거부하는 공격인데 실제 DOS공격시에는 상당한 트래픽을 몰고 Attack 이 이루어지고 있습니다.

2. 서비스 거부 공격의 징후

하나의 VLAN이 있으면 해당 네트워크는 살아 있으나 실제 서비스가 되고 있지 않습니다. 다시 말하면 웹이나 FTP , SSH등이 접속이 되지 않습니다. 그건 실제로 접속이 되지 않는다기 보단 해당 프로토콜이 정상적으로 동작 할수 없도록 트래픽이 유발 되는 것이지요
사용자 삽입 이미지

그런데 한가지 재미 있는 사실은 이렇게 웹에 대한 장애가 일어 났을때 해당 시스템에서 외부로 네트워크 테스트 일명 핑(Ping) 테스트를 하게 되면 네트워크는 살아 있다는 것입니다.,



그리고 그 네트워크에 속해 있는 시스템에서 아래와 같은 명려어로 보게 되면

#roor> netstat -an |more

명령어로 보게 되면 내용중에 stat에 SYN_wait , FIN_Wait등 TCP/IP에서 3웨이 핸드쉐이크 하는 부분에서 아직 처리되지 않은 세션을 기다리고 있습니다. 이럴땐 대부분 어떤 공격이 이루어 지고 있다고 보시면 됩니다.

실제로 SYN Flooding 공격시에는 이런 메세지가 상당수에 이르게 됩니다. 대부분 많은 경험을 하고 실제 공격을 받는 부분에 있어 경험이 중요 할 것 같습니다. 처음에는 이것이 공격인지 아닌지도 잘 모르는 경우가 많습니다..왜냐하면 일단 네트워크가 살아있고 각종 NMS 장비와 MRTG를 이용한 모니터링 시스템등 전반적인 상황으로 빠르게 판단할수 있습니다, 어찌보면 동물적 감각으로 알아야 합니다.


3. 서비스 거부 공격 방어

우선 해당 네트워크에서 빠르게 스니퍼등으로 패킷을 잡아서 해당 타겟이 어딘지를 빨리 막아여 합니다. 그건 다양한 노하우와 경험이 있는 사람이 빨리 진행을 해야 합니다. 왜냐하면 해당 네트워크에 다른 시스템 까지도 피해를 줄수 있는 공격이 도스 공격이기 때문입니다.

2007/04/16 - [정보보호 학습실] - DDoS 공격 방어 어떻게 하십니까

그렇게 해서 타켓 시스템을 찾아내면 네트워크 상위단에서 막아야 합니다. 해외에서 들어 온다고 하면 해외망에서 싱크홀 시키고 국내에서 들어온다면 시스템 상위단에서 널(Null) 처리하면서 드럽(Drop) 시키면 됩니다.

2006/06/19 - [운영체제/리눅스강좌] - DOS Attack을 막기 위한 간단한 방법


기타 다른 보안 솔루션이 있으면 더욱 좋겠지요..거기에서 탐지후 바로 처리를 하면 최근에는 어느정도 공격을 막아낼수 있다고 합니다. 물론 해당 장비는 상당한 트래픽에도 견딜수 있어야겠지요..

관련기사 : 「가공할 DoS 공격의 천적은 바로 IPS였다」

4. 상호 유기적인 협조 체제

네트워크 트래픽이란 여러 단계를 거쳐서 오는 데이터 패킷이므로 서로 유기적인 협조가 이루어 져야합니다.  트래픽의 종류는 워낙 다양하기 때문에 상당한 패킷이 유입될때는 여러가지 다른 서비스에 지장을 줄수 있으므로 신속하고 빠르게 대처를 해야 합니다.

갑자기 들어온 공격에 당황하지 말고 침착하게 대응하면서 증적자료와 해당 시스템을 분석하는 것도 좋겠습니다. 우리는 늘상 대하는것이 인터넷이지만 네트워크를 통한 다양한 공격은 언제든지 공격할수 있는 공격이기에 대비에 만전을 기해야 겠습니다. <엔시스>

Posted by 엔시스

예전에 어느 커뮤니티에선가 글을 올린적이 있습니다. 요즘 DDOS 공격이나 DOS 공격이 다시 성행하고 있습니다. 그건 신문 기사를 통해서도 알수 있는데 화상채팅이나 기타 특정한 싸이트를 향하여 공격이 이루어 질때 라우터쪽이나 기타 설정에서 하면 되지만 조금 더 효율적으로 할수 있는 방법은 없을까요?

혹시 여러분들은 어떻게 대처를 하십니까?

Posted by 엔시스