최신 DDoS 공격유형 ~

이번 글에서는 이론, 다음 글에서 패킷분석(실습)으로 나눌 예정

대역폭 공격(1) - UDP, ICMP Flooding

1. UDP Flooding : 출발지 IP를 위.변조한 후 UDP 프로토콜로 대규모 데이터를 생성해 피해 대상 시스템을 향해 전달한다. 대상서버에서 UDP Port를 사용하지 않아도 공격할 수 있으며, 공격을 수행하는 감염된 기기가 많을수록 위험도는 증가한다. 단순한 공격방식과 강력한 효과로 과거부터 현재까지 지속적으로 사용되는 공격방식이다.
2. ICMP Flooding : ICMP Request 패킷을 이용하여 피해 서버로 대량의 ICMP 패킷을 생성해 전달하여 피해서버의 대역폭을 고갈시키는 공격방식이다. 반사공격과 다르게 ICMP Flooding은 증폭이 발생하지 않기 때문에 공격기기의 대역폭에 따라 공격규모가 결정된다.

대역폭 공격(2) - DRDoS

• DRDoS : 분산 서비스 거부 공격보다 발전한 새로운 분산 서비스 공격방법이다. 별도의 에이전트 설치 없이 프로토콜 구조의 취약점을 이용해 정상적인 서비스를 운영하는 시스템을 반산 반사 서비스 거부 공격의 에이전트로 활용하여 공격한다

자원소진(고갈) 공격 - SYN Flooding, ACK Flooding, DNS Query Flooding

1. SYN Flooding: TCP 프로토콜의 3-way handshake 를 악용한 공격기법으로 SYN Flag만 지속적으로 전달하고 돌아오는 SYN/ACK 패킷에 대한 응답을 주지 않아서 피해서버의 자원을 소모하게 만드는 공격기법이다
2. ACK Flooding : SYN Flooding과 유사하게 3-way handshake의 특성을 악용하는데 다량의 ACK 패킷을 피해 대상에게 보내서 자원을 소모하게 만드는 공격기법이다
3. DNS Query Flooding : DNS 서버에 대량의 DNS 질의를 보내서 정상 서비스를 할 수 없게 만드는 공격이다

풋프린팅 

• 개념: 풋프린팅은 공격자가 목표 시스템의 정보를 사전에 수집하는 과정입니다. 주로 DNS 정보, IP 주소 범위, 시스템 배너 등을 수집하여 공격 가능성을 탐색한다.
• 장점: 공격 전에 대상의 정보를 확보하여 정밀한 공격이 가능하다
• 단점: 정보 수집 과정에서 남겨진 흔적이 공격 의도를 의심하게 만들 수 있다
• 방어: 민감한 정보를 최소화하고, 비정상적인 정보 수집 시도를 모니터링하여 방어한다.

네트워크 스캐닝

• 개념: 네트워크 스캐닝은 네트워크 내의 활성화된 장치와 열린 포트를 식별하기 위해 사용하는 기술이고 해커는 이 정보를 바탕으로 공격 가능한 시스템을 선택한다
• 장점: 네트워크의 보안 상태를 파악하여 취약점을 찾을 수 있다
• 단점: 네트워크 트래픽 증가로 인해 탐지될 수 있으며, 일부 스캔 방식은 대상 시스템에 영향을 줄 수 있다
• 방어: 트래픽 모니터링을 강화하고, 비정상적인 스캔 시도를 탐지하여 차단한다..

스캔 공격 

• 개념: 스캔 공격은 네트워크에서 취약한 시스템을 찾기 위해 사용하는 다양한 스캔 기법을 말하는데 공격자는 포트 스캔, 서비스 탐색 등을 통해 시스템의 취약점을 찾는다.
• Sweep
  • 개념: 여러 IP 주소에 대해 동일한 포트를 스캔하는 방식이고 네트워크에서 특정 서비스가 활성화된 시스템을 찾기 위해 사용된다.
  • 장점: 대규모 네트워크에서 특정 서비스가 실행되는 시스템을 빠르게 식별할 수 있다
  • 단점: 대량의 스캔 트래픽을 생성하여 탐지 가능성이 높다
  • 방어: 스캔 탐지 시스템을 통해 비정상적인 스캔 트래픽을 차단한다.
• TCP 스캔 
  • 개념 설명: TCP 연결을 통해 열린 포트를 식별하는 스캔 방식
  • Full Scan: 모든 3-way handshake를 완료하여 포트 상태를 확인한다
    • 장점: 정확도가 높다
    • 단점: 탐지 가능성이 매우 높다
  • Half Scan : 3-way handshake의 절반만 수행하여 포트 상태를 확인한다
    • 장점: 상대적으로 탐지 가능성이 낮다
    • 단점: 일부 방화벽에서 차단될 수 있다
  • 방어 방법: 방화벽 설정을 강화하여 비정상적인 TCP 스캔 시도를 차단한다
• 스텔스 스캔
  • 개념 설명: 스캔이 탐지되지 않도록 다양한 기술을 사용하여 시도하는 스캔 방식
  • 장점: 탐지 가능성을 낮춤
  • 단점: 일부 고급 보안 시스템은 여전히 스텔스 스캔을 탐지할 수 있다
  • 방어: 최신 보안 시스템을 도입하여 스텔스 스캔을 탐지하고 차단한다
• FIN, NULL, XMAS 스캔
  • 개념: 비정상적인 패킷 플래그 조합을 사용하여 포트 상태를 확인하는 스캔 방식
    • FIN Scan: FIN 플래그만 설정된 패킷을 보냄
    • NULL Scan: 플래그 없이 패킷을 보냄
    • XMAS Scan: FIN, URG, PSH 플래그를 설정한 패킷을 보냄
  • 장점: 일부 방화벽이나 보안 시스템을 우회할 수 있다
  • 단점: 최신 보안 시스템에서 쉽게 탐지될 수 있다
  • 방어 방: 비정상적인 플래그 조합을 탐지하고 차단하는 보안 규칙을 설정한다
• TCP ACK 스캔
  • 개념: ACK 플래그가 설정된 패킷을 전송하여 방화벽 규칙을 확인하는 스캔 방식
  • 장점: 방화벽 규칙을 탐지하는 데 유용하다
  • 단점: 포트 상태를 직접 확인하지 않으므로 제한적인 정보를 제공한다
  • 방어: 비정상적인 ACK 패킷을 탐지하고 차단한다
• 디코이 스캔
  • 개념: 다수의 디코이 IP 주소를 사용하여 스캔의 출처를 숨기는 방식이다
  • 장점: 공격자를 식별하기 어렵게 만든다
  • 단점: 고급 보안 시스템에서는 디코이 스캔을 탐지할 수 있다.
  • 방어: 트래픽 분석을 통해 디코이 스캔 시도를 탐지하고 대응한다

스니핑 

• 개념 설명: 스니핑은 네트워크에서 주고받는 패킷을 가로채고 분석하는 행위이고 주로 비인가된 정보를 수집하기 위해 사용된다
• 장점: 네트워크 트래픽을 분석하여 유용한 정보를 수집할 수 있다
• 단점: 탐지될 경우 법적 처벌을 받을 수 있다
• 방어 방법: 네트워크 암호화 및 침입 탐지 시스템을 사용하여 스니핑을 방어한다
• 허브에서의 스니핑
  • 개념 설명: 허브는 트래픽을 네트워크의 모든 장치로 전달하므로, 스니퍼가 모든 트래픽을 쉽게 가로챌 수 있다.
  • 장점: 모든 네트워크 트래픽을 감시할 수 있음
  • 단점: 현대 네트워크에서 허브가 거의 사용되지 않음
  • 방어 방법: 허브 대신 스위치를 사용하고, 트래픽을 암호화하여 보호한다
• 스위치에서의 스니핑
  • 개념: 스위치는 특정 목적지 주소로 트래픽을 전달하므로, 스니핑이 어려움
    • 스위치 재밍: 스위치의 MAC 주소 테이블을 오버플로우시켜 허브처럼 동작하게 만듦
    • ARP 스푸핑 : 가짜 ARP 메시지를 전송하여 트래픽을 스니퍼로 유도함
    • ARP 리디렉트 : 가짜 ARP 메시지를 이용하여 특정 트래픽을 다른 방향으로 재설정
    • ICMP 리디렉트 : 잘못된 경로 정보를 통해 트래픽을 다른 경로로 유도
  • 방어: ARP 및 ICMP 패킷에 대한 엄격한 필터링을 설정하여 스니핑을 방어한다

스푸핑

• 개념: 스푸핑은 다른 사람이나 시스템을 가장하여 트래픽을 전송하는 행위이고 이를 통해 공격자는 자신의 정체를 숨기고 불법적인 접근을 시도할 수 있다
• 장점: 공격자가 자신의 정체를 숨길 수 있다
• 단점: 탐지될 경우 신뢰성이 손상될 수 있다
• 방어: 패킷 인증 및 필터링을 통해 스푸핑 공격을 방어한다
• ARP 스푸핑
  • 개념: ARP 스푸핑은 가짜 ARP 메시지를 사용하여 트래픽을 공격자의 시스템으로 유도하는 공격 방식이다.
  • 장점: 네트워크 트래픽을 쉽게 가로챌 수 있다
  • 단점: 탐지될 경우 네트워크에서 큰 문제가 발생할 수 있다
  • 방어: 동적 ARP 검사 및 스위치에서의 보안 기능을 활용하여 ARP 스푸핑을 방어한다
• IP 스푸핑
  • 개념 설명: IP 스푸핑은 가짜 IP 주소를 사용하여 트래픽을 전송하는 방식입니다. 이를 통해 공격자는 자신의 위치를 숨기고 다른 시스템을 가장할 수 있습니다.
  • 장점: 트래픽 소스를 숨길 수 있다
  • 단점: 특정 공격에는 제한적일 수 있다
  • 방어 방법: IP 필터링 및 스위치에서의 보안 기능을 통해 IP 스푸핑을 방어한다.

DDoS 공격 

• 개념 설명: DDoS 공격은 다수의 시스템을 사용하여 특정 서버나 네트워크를 대상으로 대량의 트래픽을 전송하여 서비스 거부 상태를 유발하는 공격이다.
• 장점: 표적 시스템을 쉽게 마비시킬 수 있다
• 단점: 대규모의 트래픽이 필요하며, 흔적이 남을 수 있다
• 방어 방법: 트래픽 필터링, 로드 밸런싱 및 DDoS 방어 솔루션을 사용하여 대응한다.
• 멀티플리케이션 공격 
  • 개념: 특정 서비스의 응답 크기를 증폭시켜 표적 시스템에 과부하를 주는 방식입니다. 주로 DNS, NTP, SSDP 등에서 발생한다.
  • 장점: 적은 양의 트래픽으로 큰 영향을 줄 수 있다
  • 단점: DNSSEC 등의 최신 보안 기술로 방어 가능하다
  • 방어: 트래픽 필터링 및 DNSSEC 도입을 통해 멀티플리케이션 공격을 방어한다.

중간자 공격 

• 개념 설명: 중간자 공격은 두 시스템 간의 통신을 가로채고 수정하거나 도청하는 공격 방식이다.
• 장점: 민감한 정보를 수집하거나 통신 내용을 조작할 수 있다
• 단점: 탐지될 경우 네트워크 보안이 크게 위협받을 수 있다
• 방어 방법: 통신 암호화 및 인증 절차를 통해 중간자 공격을 방어한다.

세션 하이재킹 

• 개념 설명: 세션 하이재킹은 사용자가 로그인한 세션을 가로채고 제어권을 탈취하는 공격 방식이다.
• 장점: 피해자의 세션을 완전히 제어할 수 있다
• 단점: 탐지될 경우 피해가 크며, 고급 보안 시스템에서 방어가 가능하다
• 방어 방법: 세션 암호화 및 타임아웃 설정을 통해 세션 하이재킹을 방어한다.
• 세션 하이재킹 방법:
  • 사전 요약: 공격자는 주로 네트워크 스니핑을 통해 세션 쿠키를 가로채거나, 크로스 사이트 스크립팅(XSS) 등의 기술을 사용하여 세션을 탈취한다.