Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보Wreckuests Tool - DDoS HTTP/TCP flood
작성일 2017-06-26 조회 991

 

 

 

 DDoS(Distributed DoS)공격이란 DoS(Denial of Service Attack) 서비스 거부 공격을 좀비 PC 처럼 여러 대의 공격자를 분산적으로 배치해 동시에 서비스 공격을 하는 공격이다. DDoS 공격은 인터넷이 발전하면서 공격 방법이 점점 고도화 되고 있다. DDoS 공격에 가장 무서운 점은 정상적인 패킷으로 이루어 지는 경우가 많아 대처가 쉽지 않다는 점이다. 그런 패킷을 활용하여 공격하는 서버 내 자원을 모두 소비시켜 서비스 불가 상태로 만드는 것이다.

 

 

 

사람이 한 자리수 더하기 문제를 1분에 한 문제 푸는 것은 쉽다.

하지만 1분에 50만개의 문제를 풀어야 한다면 쉽지 않은 상황에 직면할 것은 확실하다.

문제가 세계 7대 불가사의도 아닌 누구나 풀 수 있는 한 자리수 더하기 문제일지라도 말이다.

 

[출처:https://m.blog.naver.com/PostList.nhn?blogId=samsungfund&categoryNo=0]

 

 

최근 이슈가 되는 Wreckuests Tool에 대해 살펴보자. 

기본적인 원리는 공격자가 무작위 Proxy에 Victim 서버를 공격하는 신호를 전달한다.

 

 

Header, Payload, Keyword 는 모두 Random으로 선택한다. 

 

[그림1] random.choice 를 활용한 변수 랜덤 추출

 

 

하지만 상기 random.choice는 Tool 내 미리 작성된 txt 파일을 참고한다.

 

[그림2] 미리 저장된 text file

 

 

24개의 User-Agents, 210개의 referers, 1,000개의 Keywords를 랜덤으로 조합해 Header와 Payload를 만들어 554개의 Proxy에 차례로 전달한다.

 

[그림3] 정상적으로 Loaded 된 파일

 

 

http://1.1.1.1 Victim 서버에 대해 공격을 진행한다. 뒤에 추가되는 URI 는 keyword에서 랜덤으로 선택해 전송하게 된다. 결국 모든 Payload와 Header의 값을 고정이 아니며 reference와 User-Agents는 정상패턴이기 때문에 해당 DDoS에 대해 패턴으로 탐지하는 것은 무리가 있다. 이러한 이유때문에 DDoS 공격은 과거와 현재, 그리고 미래에도 많이 사용되는 공격이라고 단언할 수 있다.

 

[그림4] 공격자가 Proxy Server에 전송한 URI 값

 

[그림5] User-Agent 및 Referer 값

 

 

User-Agent와 Referer 값은 proxy.txt / reference.txt 내 저장되어 있는 값 중에 각 패킷마다 랜덤 값을 전송한다. 

 

[그림6] reference.txt

 

[그림7] reference.txt

 

 

한 대의 공격 단말 당 초당 2,000개의 패킷을 보낸다. 만 대의 좀비 PC가 동원된다면 초당 2천만 패킷을 처리해야한다. 그것도 정상패킷이기 때문에 서버는 모든 요청을 받아들이게 되고 Victim 서버 내 자원은 금방 소비가 될 것이다. 

 

[그림8] 실제 패킷 전송도

 

 

DDoS 공격은 쉽고 간단하며 툴 또한 구하기 어렵지 않다. 그렇기 때문에 매년 크고 작은 DDoS 공격 사건이 뉴스에 오르곤 한다. 최근에는 DDoS 공격을 멈추는 대가로 '비트코인'을 요구하기도 한다. DDoS를 완벽하게 차단 할 수 있는 방법은 존재하지 않는다. 아무리 DDoS에 대한 방어 계확을 세운다 하더라도 실제 공격이 들어온다면 대처하지 못하는 경우가 많다.

 

누구나 그럴싸할 계획을 가지고 있다. 실제로 맞기 전까지 - 마이크 타이슨

 

하지만 피해를 최소화 하는 방법은 자사에서 제공하는 탐지룰과 함께 지속적인 모니터링으로 신속 / 정확한 대응이 필요하다. 

 

[SYN Flooding 패턴]

 

- TCP SYN Flooding(DDoS)

-> 모니터링 후 고객사 환경에 맞게 임계치 조정

첨부파일 첨부파일이 없습니다.
태그   Wreckuests  HTTP  Flood  Tool  SYN