Drdos

DRDoS (Distribution Reflective Denial of Service)

• 분산 반사 서비스 거부 공격

• DoS의 Smurf 공격이 DDoS 방식으로 발전한 공격

특징

• Zombie PC를 보유할 필요가 없음 → 반사체(Server List , 지난수업때 redhat9)를 이용 함

• 공격자 은닉 강화

  • 공격의 근원지 파악이 어려움 → 공격자 추적이 거의 불가능 함

  • IP Spoofing → 공격 데이터의 출발지를 공격대상으로 변조 함

공격 원리

• 공격자가 반사체 List(정상 Server)에 등록된 시스템에 출발지 IP를 공격대상의 IP로 Spoofing한 요청을 전송 함
• 반사체 시스템은 받은 요청을 정상적인 요청으로 인식하고 응답을 공격대상으로 전달 함
• 다량의 응답을 받은 공격 대상은 응답을 처리하기 위한 리소스를 소비하여 정상 서비스에 부하를 줌

방어

• ISP에서 출발지 주소가 위/변조된 데이터의 유입을 막아야 함 → Ingress Filtering
• ICMP 패킷에 의해 DRDoS를 막기 위해 ICMP 패킷을 필터링 함

DDoS 공격 대응

• 공격방식 에 따라 대응이 달라짐
  • bandwidth
  • Low-bandwidth
• 충분한 Bandwidth 확보  DDoS 공격에 어느 정도 대응할 수 있도록 서비스를 위한 평균적인 트래픽보다 많은 트래픽을 처리할 수 있는 회선을 보유해야 함
• 공격 트래픽 모니터링
  • 실시간 모니터링을 통해 정상적인 트래픽의 양을 측정하여 공격에 의해 발생하는 급격한 트래픽을 감 지해야 함
• 공격 대응 전문기관과의 연계
  • 공격을 감지한 경우 전문 대응 기관에 바로 알려 유입 경로를 차단해야 함
  • 관리자의 신속한 대응일 필요한 부분
  • ISP, IDC등에 요청하여 공격 트래픽이 유입되는 경로를 차단하여 대응 함 ＞ 유입경로 및 공격 성향을 파악을 위해 공격 발생 시 LOG정보를 수사기관에 제공
• DDoS 솔루션 장비 도입 고려
  • Anti DDoS, L7 Switch 장비를 배치하여 어느 정도의 대비를 함
• 대응 프로세스를 준비
  • 공격을 감지하였을 때 대응 절차를 미리 계획해야