분산 서비스 거부 (DDoS) 공격

DDoS 공격의 작동 방식

DDoS 공격은 다음과 같이 시작됩니다.봇넷.봇넷은 DDoS 공격 및 기타 악의적인 용도로 설계된 악성 소프트웨어에 감염된 컴퓨터로 구성된 네트워크입니다.사용자는 소프트웨어 및 운영 체제의 알려진 익스플로잇을 악용하여 피싱 이메일, 감염된 웹 사이트, 심지어 소셜 네트워크를 통해 감염된 소프트웨어를 다운로드하도록 속일 수 있습니다.

이러한 컴퓨터가 감염되면 봇넷 “랭글러”가 사용자 모르게 하나의 애플리케이션에서 원격으로 이러한 모든 시스템을 제어할 수 있습니다.봇넷의 규모가 충분히 커지면 네트워크를 사용하여 모든 대상을 공격할 수 있습니다.

봇넷이 준비되면 공격자는 시작 명령을 보내 봇넷의 모든 시스템이 의도한 대상으로 대량의 요청을 보내도록 할 수 있습니다.공격이 방어 체계를 벗어나면 대부분의 시스템을 순식간에 제압하여 서비스가 중단되고 서버가 다운될 수 있습니다.

봇넷을 만든 많은 공격자들은 온라인 및 다크넷 마켓플레이스에서 대가를 받고 서비스를 제공하여 누구에게든 DDoS 공격을 시작할 수 있는 기능을 제공합니다.

DDoS 공격 유형

DDoS 공격은 공격자가 무엇을 하려고 하는지에 따라 다양한 형태로 나타납니다.세 가지 주요 범주는 볼륨 기반 공격, 프로토콜 공격, 애플리케이션 계층 공격입니다.

볼륨 기반 공격

이러한 유형의 공격은 대상과 인터넷 간에 사용 가능한 모든 대역폭을 사용하려고 시도합니다.이를 수행하는 한 가지 방법은 증폭을 통해 DNS 서버에 스푸핑된 IP 주소 (대상의 IP 주소) 를 넘치게 하여 대상에 대한 대규모 DNS 응답을 트리거하는 것입니다.SNMP 및 NTP 프로토콜은 볼륨 기반 공격에도 사용됩니다.결국 대상이 받는 응답으로 인해 네트워크가 막히고 들어오는 트래픽이 차단됩니다.

프로토콜 공격

프로토콜 공격은 로드 밸런서 및 방화벽과 같은 네트워크 장비의 리소스를 소진시켜 서비스를 방해합니다.이러한 공격은 프로토콜 스택의 네트워크 및 데이터 링크 계층을 대상으로 합니다.프로토콜 공격의 한 유형을 SYN 플러드라고 합니다.이 유형의 공격은 TCP 핸드셰이크를 사용하여 네트워크를 플러딩합니다.봇넷은 스푸핑된 IP 주소를 사용하여 대상에게 대량의 TCP 초기 연결 요청 SYN 패킷을 보냅니다.대상 시스템의 리소스가 고갈되어 이러한 모든 요청의 마지막 단계가 완료될 때까지 기다리게 됩니다.

애플리케이션 계층 공격

이러한 유형의 DDoS 공격은 네트워크에서 실행되는 애플리케이션, 특히 HTTP 요청에 응답하는 웹 애플리케이션을 대상으로 합니다.HTTP 요청은 클라이언트의 경우 경량이지만 응답을 생성하려면 서버에서 많은 리소스가 필요할 수 있습니다.요청 하나에는 코드 실행, 여러 이미지 요청, 데이터베이스 쿼리가 포함될 수 있습니다.애플리케이션 계층 공격을 사용하는 봇넷은 각 노드에서 동시에 동일한 웹 페이지를 공격하기만 하면 서버가 다운될 수 있습니다.

DDoS 공격의 증상

DDoS 공격의 증상은 명백하고 갑자기 속도가 느려지거나 응답하지 않는 사이트 또는 서비스이지만 모든 느린 사이트가 공격을 받는 것은 아닙니다.트래픽 급증과 정당한 서버 문제로 인해 이와 같은 유형의 무응답 현상이 발생할 수 있습니다.

DDoS 공격을 받고 있는지 확인하려면 트래픽 분석 도구를 사용하여 추가로 조사하여 트래픽의 유형, 트래픽 출처, 경로를 파악해야 합니다.DDoS 공격의 일부 징후는 다음과 같습니다.

• 단일 IP 주소 또는 주소 범위에서 발생하는 트래픽의 양이 비정상적으로 많음
• 하루 중 이상한 시간대, 제한된 시간 동안 또는 특정 패턴을 따르는 트래픽 급증
• 단일 웹 페이지 또는 서비스에 대한 갑작스러운 트래픽 폭주
• 지리적 위치, 브라우저 버전 또는 기기 유형과 같이 비슷한 프로필을 가진 사용자로부터 유입되는 트래픽 폭주

DDoS 공격 방지

DDoS 공격으로부터 네트워크를 보호하는 것은 가장 간단한 작업이 아닙니다.감염된 시스템에서 제거할 수 있는 멀웨어나 바이러스와는 다릅니다.DDoS 공격은 네트워크 외부에서 발생하므로 자세히 살펴보기 전까지는 일반 트래픽처럼 보일 수 있습니다.이러한 유형의 공격은 몇 분 만에 웹 사이트 또는 서비스를 중단시킬 수 있으므로 DDoS 공격이 탐지되면 신속하게 조치를 취하는 것이 중요합니다.

라우터 보안

라우터는 네트워크 내부 및 외부의 게이트웨이입니다.봇넷의 봇이 라우터를 통과하지 못하더라도 해당 봇넷의 어떤 서비스에도 영향을 미치지 않습니다.이는 1차 방어선이므로 우선 순위에 따라 트래픽을 필터링하고 위협적인 데이터나 트래픽을 차단하도록 구성해야 합니다.

안전한 IoT 디바이스

노트북과 휴대폰을 보호하는 많은 사람들은 IoT 장치에 기본 암호를 남기는 것에 대해 두 번 생각하지 않습니다.대부분의 IoT 디바이스는 완전한 Linux 운영 체제를 실행하는데, 이러한 운영 체제는 봇넷에서 봇으로 노릇을 하는 멀웨어의 표적이 될 수 있으며 이러한 운영 체제는 이미 멀웨어의 공격 대상이 되기도 합니다.이 때문에 이들이 가장 좋아하는 표적이 되고 있습니다.강력한 비밀번호로 IoT 디바이스를 보호하면 봇넷에서 또 다른 봇이 되는 것을 방지할 수 있습니다.

머신 러닝 사용

DDoS 공격 탐지에는 트래픽 분석이 포함됩니다.수동으로 이 작업을 수행할 수도 있지만 머신 러닝 기술을 통해 악성 트래픽을 빠르게 탐지할 수 있습니다.트래픽을 실시간으로 분석하여 알려진 DDoS 패턴과 이상 징후가 있는지 확인할 수 있으며, 서비스 또는 웹 사이트의 속도를 저하시키기 전에 의심스러운 트래픽을 차단할 수 있습니다.

결론

분산 서비스 거부 또는 DDoS 공격은 웹 사이트 또는 서비스에 대한 액세스를 차단하여 시스템에 과부하를 가하려는 시도입니다.공격자는 자신이 선택한 사이트나 서비스를 표적으로 삼는 데 사용할 수 있는 멀웨어를 여러 대의 컴퓨터에 감염시켜 이를 공격합니다.DDoS 공격의 문제 해결 및 방지는 간단하지 않으며 트래픽에 이상 징후가 있는지 분석해야 합니다. 하지만 올바른 도구를 사용하면 DDoS 공격을 최소화하거나 방지할 수 있습니다.