[DDoS 간단 정리]

1) DDoS For Hire : 돈을 받고 DDoS 공격을 수행해주는 시스템
2) Smart Attack : 기술적으로 정교하고 고도화된 DDoS 공격
3) Carpet Bombing : 융탄폭격 이라는 의미로 하나의 IP가 아닌 같은 대역대의 여러 IP로 트래픽을 분산시켜서 공격하는 방식
공격 유무 판별 및 대상 식별이 어려움(2020년 10월부터 발생된 랜섬 디도스 공격이 대부분 해당 공격을 이용하여 발생)
4)랜섬 디도스 : Ransom(협박)과 DDoS 의 합성어로서 공격 전 DDoS 공격 협박을 통해 돈을 갈취하는 형태의 DDoS 공격

 

 

"DDoS" VS "DRDoS"

 

 

DDoS

 

 

DRDoS

- 공격자는 외부에 노출된 취약한 서버를 경유지 서버로 악용 하는데, 이 때 경유지 서버는 적은 요청으로 큰 응답 값을 가져오는 서버를 대상으로 함
- 경유지 서버에 요청할 출발지 IP를 공격대상의 IP로 변조, 대량의 요청을 보낸 후 경유지 서버로부터의 증폭된 응답 값을 공격대상이 받게 함
- 증폭된 응답 값을 통해 공격 대상의 회선 대역폭을 가득 차게 만들어서 공격 대상의 서비스를 마비시키는 공격 기법
- 공격을 반사하여 증폭하는 공격이라고 해서 ‘반사∙증폭공격’이라고 함

 

DNS Reflection Attack (DNS DRDoS)

ANY Type Query : 질의 도메인에 대해 네임서버의 Zone에 등록된 모든 레코드 값을 전부 요청하는 Type의 DNS Query

① 공격자는 사전에 취약한 DNS 서버들의 목록들을 확보
② 피해자의 IP로 스푸핑한 다음 확보한 서버들을 대상으로 가능한 많은 응답 사이즈를 만들어 내기 위해 ANY Type의 DNS Query 패킷을 요청
③ 취약한 DNS서버들은 요청 받은 Query패킷에 대한 증폭된 응답 값을 피해자의 시스템으로 전달 (증폭률 28~54배)
④ 대규모의 DNS Response 패킷이 피해자의 시스템으로 전달되어서 피해서버의 회선 대역폭을 고갈시킴

 

 

NTP Reflection Attack (NTP DRDoS)

반사공격을 수행하는 패킷은 NTP 서버가 응답한 트래픽이므로 출발 포트가 123/UDP 인 패킷을 차단

monlist : 구버전의 NTP서버에서 사용하는 명령어로, 최근 접속한 최대 600개의 접속 호스트에 대한 정보를 응답 받을 수 있는 명령어 (v2.4.7 이상에서는 해당 명령어가 삭제됨)

① 공격자는 사전에 취약한 NTP 서버들의 목록을 확보
② 피해자의 IP로 스푸핑 한 다음 확보한 서버들을 대상으로 가능한 많은 응답 패킷을 만들어 내기 위해 monlist 를 요청하는 명령을 전송
③ 취약한 NTP서버들은 요청 받은 monlist 명령어에 대한 응답 패킷으로 증폭된 응답 값을 피해자의 시스템으로 전달 (증폭률 최대 550배)
④ 대규모의 monlist 패킷이 피해자의 시스템으로 전달되어서 피해서버의 회선 대역폭을 고갈시킴

 

 

CLDAP Reflection Attack (CLDAP DRDoS)

CLDAP(Connection-less Lightweight Directory Access Protocol)이란 네트워크상에서 디렉 토리를 연결/검색/수정하기 위해 사용되는 프로토콜

CLDAP Reflection Attack 패킷은 UDP 프로토콜을 사용하며 389번을 출발지 Port로 사용

① 공격자는 사전에 인터넷에 노출된 CLDAP 서버들의 목록을 확보
② 피해자의 IP로 스푸핑한 다음 확보한 서버들을 대상으로 가능한 많은 응답 패킷을 만들어 내기 위해 Search Entry Request 패킷을 요청
③ CLDAP 서버들은 요청 Packet에 대한 증폭된 응답 패킷을 피해자 시스템으로 전송
④ 대규모의 CLDAP Response 패킷이 피해자의 시스템으로 전달되면서 피해 서버의 회선 대역폭을 고갈 시킴

 

 

SSDP Reflection Attack (SSDP DRDoS)

SSDP(Simple Service Discovery Protocol)는 UPnP 장치를 탐색할 때 주로 사용되는 프로토콜로서 네트워크상의 다른 장치를 찾거나 알리는 역할을 수행
SSDP 프로토콜은 웹캠, 공유기, 미디어, 스마트TV, 프린터 등 스마트 홈을
구성하는 IoT 기기들에 널리 사용되고 있음
SSDP Reflection Attack은 이러한 SSDP 기능을 악용하여 가능한 한 많은 데이터를 요청하는 Search 명령을 보내서, 스푸핑된 피해자의 서버 IP로 대규모 응답이가게 만드는 공격기법

SSDP Reflection Attack 패킷은 UDP 프로토콜을 사용하며 1900번을 출발지 Port로 사용함

① 공격자는 사전에 취약한 IoT 기기들의 목록을 확보
② 피해자의 IP로 스푸핑한 다음 확보한 목록을 대상으로 더 많은 응답 패킷을 만들어 내기 위해 ssdp:all 혹은 ssdp:rootdevice 값이 포함된 Search 명령을 요청 
③ IoT 기기들은 요청 받은 Search 패킷의 크기와 비교하여 훨씬 더 많은 크기의 응답 패킷을 피해자의 시스템으로 전달 (증폭률 최대 30배)
④ 대규모의 SSDP Response 패킷들이 피해자의 시스템으로 전달되어서 피해 시스템의 회선 대역폭을 고갈 시킴

 

 

Memcached Reflection Attack (Memcached DRDoS)

Memcached 서비스는 내부에서 DB부하감소 및 응답속도 증가를 위해 분산된 메모리에 데이터를 캐싱하는 서비스
내부에서만 접근하여 사용하도록 설계되었으며, “Key”값으로 “Data”를 매핑하는 구조

Memcached 서버의 기능을 악용하여 저장된 캐싱 데이터를 가능한 한 많이 요청하는 request 명령을 요청하고, 스푸핑된 피해자의 IP로 대규모 응답이 가게 만드는 공격기법

Memcached Reflection Attack 패킷은 UDP 프로토콜을 사용하며 11211번을 출발지 Port로 사용

① 공격자는 사전에 외부에 노출된 Memcached 서버들의 목록을 확보
② 확보한 Memcached 서버들에서 공격으로 악용할 Key값 및 Data값을 확보 (공격자가 외부에서 데이터를 작성하여 캐싱 시킬 수 도 있음)
③ 피해자의 IP로 스푸핑 한 후 확보한 Memcached 서버들에게 사전에 확보한
Key값에 대한 Data를 요청
④ Memcached 서버들은 요청 받은 Key값과 매핑된 Data값을 피해자의 시스템으로 응답 (증폭률 최대 51,000배)
⑤ 대규모의 Memcached Response 패킷들이 피해자 시스템으로 전달되면서 피해 시스템의 회선 대역폭을 고갈 시킴

 

 

WS-Discovery Reflection Attack (Memcached DRDoS)

WS-Discovery 서비스는 윈도우 기반 기계들이 네트워크 프린터 등을 자동으로 찾아서 연결 설정을 완료하는데 사용되는 서비스이며, 원래는 내부 네트워크(비인터넷)망에서만 사용되지만 인터넷망에 노출될 경우에는 디도스 공격으로 악용

WS-Discovery Reflection Attack은 윈도우 기반 기기들에게 요청을 할 때 고의적으로 XML오류 응답 메시지를 반복적으로 유발시키는 명령을 요청하고, 스푸핑 된 피해자의 IP로 대규모 응답이 가게 만드는 공격기법

WS-Discovery Reflection Attack 패킷은 UDP 프로토콜을 사용하며 3702번을 출발지 Port로 사용함

① 공격자는 사전에 외부에 노출된 WSD 사용 기기들의 목록을 확보
② 피해자의 IP로 스푸핑한 후 확보한 WSD 사용 기기들에게 XML오류 응답 메시지를 반복적으로 유발시키는 명령을 대량 요청
③ 취약 기기들은 해당 요청에 대한 응답 값으로 대량의 XML 에러 메시지를 피해자의 시스템으로 발송(증폭률 최대 500배)하여 회선 대역폭을 고갈시킴

 

 

Apple Remote Management Service Reflection Attack (ARMS DRDoS)

ARMS는 Apple社 기기(mac OS)들의 원격 제어 기능을 활성화 할 때 사용되는 데스크 탑 원격 제어 프로토콜로서 TCP/UDP 3283번 Port를 사용

ARMS Reflection Attack은 피해자의 IP로 출발지 IP를 변조한 후 취약한 Apple Mac 컴퓨터를 대상으로 원격접속 요청을 보내고, 돌아오는 응답 Packet을 피해자 시스템으로 보내는 공격기법

① 공격자는 사전에 외부에 노출된 Apple社 기기들의 목록을 확보
② 피해자의 IP로 스푸핑한 후 확보된 기기들에게 대량의 request 패킷 요청
③ Apple 기기들은 해당 요청에 대한 응답 패킷을 피해자의 시스템으로 발송하여 피해자 시스템의 회선 대역폭을 고갈시킴 (증폭률 최대 35.5배)

 

 

 

Constrained Application Protocol Reflection Attack (CoAP DRDoS)

Constrained Application Protocol이란 IoT 기기들을 위해 사용되는 프로토콜의 일종으로서, 주로 저전력 컴퓨터들을 위해 만들어진 간단한 UDP 프로토콜
HTTP 형식과 유사한 모양을 보이며 UDP프로토콜의 5683번 Port를 사용

CoAP Reflection Attack은 피해자 IP로 스푸핑한 출발지 IP에서 외부 노출된 IoT 기기 및 모바일 장치들을 대상으로 변조된 GET Request를 보내고, 돌아오는 응답 Packet을 피해자 시스템으로 보내서 피해시스템의 회선 대역폭을 고갈시키는 공격기법

① 공격자는 사전에 외부에 노출된 CoAP 프로토콜 사용기기의 목록을 확보
② 피해자의 IP로 스푸핑 한 후 확보한 기기에 CoAP GET Request를 전달
③ CoAP기기는 요청 받은 CoAP GET Packet의 응답을 피해자 시스템으로 보내서 피해시스템의 회선 대역폭을 고갈시킴(증폭률 최대 50배)

 

 

Jenkins Reflection Attack (Jenkins DRDoS)

Jenkins란 소프트웨어 개발 시 지속적으로 통합 서비스를 제공해주는 툴

Jenkins가 DDoS로 악용 될 수 있는 원인은 취약버전에서 Jenkins 검색을 위해 사용되는 UDP 프로토콜(포트 33848번)의 요청을 검증없이 응답
자동 검색 프로토콜이 활성화된 상태에서 검색 요청 Packet을 받으면 요청 값에 관계없이 Jenkins 메타 데이터의 XML 결과값을 응답 
피해자의 IP로 스푸핑 한 후 검색 요청 Packet을 보낸다. 그 결과 XML 형식의 응답이 피해 시스템으로 전달되어 피해 시스템의 회선 대역폭을 고갈 시킴

Jankins Reflection Attack 패킷은 UDP 프로토콜을 사용하며 33848번을 출발지 Port로 사용

① 공격자는 사전에 외부에 노출된 취약한 Jenkins 서버 목록을 확보
② 피해자의 IP로 스푸핑한 후 확보한 Jenkins 서버들에게 자동검색 Packet을 요청
③ Jenkins 서버는 피해자 IP로 요청 받은 검색 Packet에 대한 증폭된 응답Packet을 전달함으로써 피해 시스템의 회선 대역폭을 고갈 시킴(증폭률 최대 100배)

 

 

SNMP Reflection Attack
① 내용
SNMP(Simple Network Management Protocol) 장치들을 반사 기기로 악용한 공격으로서 UDP프로토콜을 사용하며 출발지 Port로 161번을 사용함
② 대응 방안
다른 반사공격들과 마찬가지로 회선 대역폭을 고갈시키는 공격이며, UDP 프로토콜을 사용하면서 161번을 출발지 Port로 사용하는 패킷을 최상단에서 차단

Chargen Reflection Attack
① 내용
Chargen 프로토콜은 네트워크를 통해 문자열을 생성하고 보내는 프로토콜로서,
반사공격에선 생성된 문자열을 payload로 활용함 UDP 프토토콜을 사용하며 출발지 Port로 19번을 사용함
② 대응 방안
다른 반사공격들과 마찬가지로 회선 대역폭을 고갈시키는 공격이며, UDP 프로토콜을 사용하면서 19번을 출발지 Port로 사용하는 패킷을 최상단에서 차단

SunRPC Reflection Attack
① 내용
RPC(Remote Procedure Call) 프로토콜은 원격으로 함수를 호출하여 사용할 수 있게 하는 프로토콜로서 UDP 프로토콜 111번 Port를 사용하며 RPC mapper라는 서비스를 통해 이뤄짐 SunRPC Reflection Attack은 RPC mapper를 악용하여 RPC mapper response 패킷을 피해시스템에게 보내 대역폭을 고갈 시킴
② 대응 방안
다른 반사공격들과 마찬가지로 회선 대역폭을 고갈시키는 공격이며, UDP 프로토콜을 사용하면서 111번을 출발지 Port로 사용하는 패킷을 최상단에서 차단

 

 

 

 

ref. https://www.krcert.or.kr/filedownload.do?attach_file_seq=3168&attach_file_id=EpF3168.pdf