본문 바로가기

보안/네트워크

DDoS

영어 수업을 받아 적은 것이라 글이 이해가 안 될 수 도 있습니다.


DDoS 개요

 

1) 총알 장전은 살아있는 C&C 서버로 한다.


2) 서버는 엄청난 트래픽 잼을 겪는다.


3) 많은 디도스 공격은 해커가 이미 호스트 내부에 들어가있고 높은 수준의 권한을 가지고 있다. 

 - 만약 해커가 비록 노말유저 권한을 가지고 있을 지라도 노말 유저 권한의 로컬 내부 파일영역을 볼 수 있을 것이다

 - 또한 프로세스를 포크할 수 있을 것이다. 

 - 그리고 다른 곳과 연결을 할 수도 있을 것이다. 

 - 전체사이즈까지의 로컬 리소스와 맥시멈한계까지의 많은 파일들을 생성, 소비한다. 


4) 이 때 파일. 프로세스, 연결 의 최대값은 다음 값으로 확인할 수 있다.

 - 파일  : 맥스 아이노드는 맥시멈 파일숫자를 말한다. 이것 설치된 파일시스템과 의존적이다.

 - 프로세스 : 맥시멈 프로세스넘버 또한 커널 파라미터이다. 

 - 연결 : 

    - 네트워크 드라이버

- 커널 네트웍스 파라미터 : NDD

- 윈도우 레지스트리 


5) 메일 박스를 이용한 공격  

 - 모든 아이노드 벨류를 다 소비하면 누구도 파일을 더 생성할 수 없게 된다. 

 - 해커는 익스플로잇하기 위해 snmp프로토콜을 사용해 엄청난 양의 이메일을 공격대상에게 보낸다.

 - 이 때 공격대상의 시스템은 다음과 같다.

- 예를 들어서 시스템이 ext2일 때 이것은 몇몇의 서브 파티션으로 나누어져있다고 볼 수 있다.

- 유저는 소프틀리하게 각각의 폴더를 파티션으로 지정할 것이다. 

- 특히 /tmp 또는 /dev/hda4/ 폴더에서는 오에스가 스왑파일을 만드는 방식의 가상메모리를 위해 쓰인다. 

- /var/spool/mqueue/id  만약 새로운 메일의 어드레스가 들어올 경우 이것의 파티션은 제한적이다. 

 - 만약 전체적인 파일사이즈를 2로 사이즈로 지정하고 이메일이 만약 10메가라고 가정하면 

 - 해커는 수만개의 이메일을 보낼려고 시도할 것이다. 

     - 1000000 x 10 Mbytes 만약 이렇게 되면 파일시스템은 쓰레기 메일로 가득찰 것이다.

     - 스왑 폴더가 가득찰 경우 가상메모리는 더이상작동하지못할것이고 메모리는 터져버릴 것이다.

     - 여기서 시스템이 원거리의 서버로부터 많은 메일을 받아올 때 어떻게 오고 어떻게 접근하는지는 나중 문제이다.

 - static spam filter는 쓸모없다. 

    - 해커는 이메일 이름을 수정하고 내용을 수정하기 때문에 이메일 어드레스 또한 바뀌게 된다.

- 만약 해커가 많은 정상 컨테츠를 가득 채운다면 노멀 스팸 필터는 필터링을 할 수 없다

- 이것은 메일 박스에 가득차게 될 것이다

 - adaptive spam filter은 

- 만약에 유저가 정상적으로 10메가 바이트의 20개씩 매일 받는다면? 

    - 그 정도의 평균이메일은 20개~100 메가 바이트정도를 매일 소비할 것이다. 

- 만약 윈도우가 맥시멈 쓰레시홀드 및 타임을 지정했을 경우 

- 오직 50분동안 100개의 이메일이 여기 서버에 들어올 수 있다. 

 - 이후 리모티드한 서버를 꺼버릴 것이다. 

 - 만약 내가 씨쉘에서 서버를 끄려고 한다면 단지 짧은 스크립트를 보내면된다

 - 프람프트에 단지 while 1 엔터 한 뒤

while:} telent 127.0.0.1  80%

while:}

while:} end 1 이렇 게 쓰면..컴퓨터가 꺼진다


6) 가장 쉬운 방법으로 새로운 파일을 만들기 위해서는 커맨드를 터치하면 된다.

 - %touch filename.확장자  

 - 이것은 사이즈가 0이면서 해당 확장자를 가지면서 해당 파일음을 가진 파일을 만드는 명령어이다.

 - 단 이때, 하나의 아이노드를 소비한다

 - 이러한 내가 만약 몇개의 파일을 쓰는 것은..하드의 한 트랙 일부분에서 하나의 비트스트림을 쓰는 것과 같다

 - 내가 만약 파일을 만든다면 그리고 여기에 접근하면 포인터가 여기를 가리킬 것이다

- 브이노드는 파일의 속성을 포함한다

- 또한 브이노드는 아이노드의 정보를 포함한다

- 여기서의 일부분 자기장치는 매우 제한적이다

- 만약 사이즈가 0이더라도 하나의 트랙은 오로지1000개면 아이노드가 한계이다

- 파일시스템은 제한된 파일을 쓰게 되고 씨쉘은 단지 하나이다

- while1명령을 내리고 touch 'date' 여기서 데이트는 파일을 만들고 시간에 타임을 포함한다

- yyyy-mm-dd hh:... 터치는 이러한 시간정보의 이름을 가진 파일을 만들 것이다.  sleep 1 

- end 1


7) 최대까지 프로세스를 생성

 - 새로운 프로세스를 만들기 위해 

 - #include <stdio.h> main{ while(1){ fork(); } } 이렇게 쓰면 간단하게 시스템은 다운될 것이다

 - 다시 강조하면 모든 이러한 방법은 운영체제가 허락하고 나는 운영체제의 권한을 줄 필요가 없다

 - OS는 커널 파타리터에서 맥시멈 프로세스 및 파일 수를 지정할 수 있다

 - max_uproc 10은 최대 10개의 프로세스만 생성할 수 있다.

 - 시스템관리자는 파일 생성을 제한한다. 노말유저에게.. 맥시멈블락사이즈넘버..이런것을 제한하도록 한다.

 - H-IDPS, SecureOS는 시스템의 AP콜시퀀스를 모니터링하고 만약 OS벤더는 OS의 커널을 공개하지 않는다.

 - 따라서 이러한 시스템을 사용하면 대응할 수 있다

 - 전체적으로 네트워크 커널에서는 방어가 어렵다.

 - 따라서 이러한 시스템을 이용하면 방어레벨을 올릴 수 있지만 나의 시스템가용성은 떨어뜨린다

 - 만약 모든프로세스 및 파일시스템을 모니터링하게 되면 시스템의 리소스를 엄청 소비할 수 있다.

 - 모든 이러한 공격을 패킷을 통해 모니터링하는 것은 단지 패킷만 캡처링하는 것이므로 상당히 제한적이다.


8) 이렇게 디바이스레벨이 취약점을 터뜨리거나, 하드웨어의 자원을 다 소비, 내 시스템이 다운되면 모든 연결이 다 끊어지게 될 것이다. 


DDoS 공격방법




1) 어플리케이션계층공격 : 

 - 핑거밤

- 모든 시스템에는 in.fingerd가 있다.

- %finger -l @  victimhost 그 호스트에 대한 정보를 출력한다.(언제로그인하고, 무엇을 한지)

- 만약 내가 in.sshd 192.168.1.* allow 와 같이

- in.sshd 143.248.*.* deny 라고 작성한 패킷이 안에 들어오면 이후 관련된 모든 트래픽을 거부할 것이다. 

- 그리고 공격이 발견되면 로그에 남길 것이다. 

- 만약 해커머신이 in.fingerd victimhost 라고 보내면

- 희생자 입장에서는 연결을 원하지는않을 것이다. 

- 결론적으로 이런식으로 해커가 공격을 날리면 모든 시스템은 성공적으로 

- victim 컴퓨터 로그에 2014/11/18 06:30 hacker's ip...내 아이피...유저이름 이런식으로로그를 남긴다. 

- 하지만 요즘은 핑거를 잘안쓴다.

 - HTTP Slow Read Dos attack, HTTP slowloris attack 이 공격은 어플리케이션 기반 공격이다

 - 이것은 TCP/IP 문제에 의해 발생되었다.

 - 이러한 공격을 위해 해커는 GET 리퀘스트를 날린다. 

 - 겟커맨드를 포함한..클라이언트 서버는 TCP 버퍼 에 이것을 담아둔다. 

 - 만약 내가 너무 바쁠 경우 서버는 나중에 리퀘스트를 보낼 것이다.

 - 만약 클라이언트가 엄청 큰 리퀘스트를 보내고 자기는 바쁘다고 하면

 - 서버는 이것을 버퍼에 두고 기다려야 한다. 이것은 서버를 다운시킬 것이다.

 - 그들은 일반적으로 리눅스 머신을 설치한다. 그리고 이놈들은 윈도우 피씨에게 멀웨어를 심는다.  


2) 최근 동향

 - 10년전만 해도 좀비머신은 핸드바이핸드..하나씩 연결되어있었다. 

 - 수천개의 좀비피씨는 5달라정도이다. 매우 싸다.

 - 만약 충분한 시간이 있다면 usenix leet 이것을 검색해봐라. 

 - 이것은 스팸,디도스이것은 매우 실천적인 컨퍼런스이다. 

 - zeus는 유명한 좀비피씨로 유명한 C&C 시스템이다. 

 - MS로부터 공격을 당하여 지금은 자신을 숨기고 malware creator 에게 많은 돈을 벌고 있다. 

 - 검찰, 경찰은 그들은 모두 질문을 가지고 있다. 왜 이러한 사람들은 중국인들은 항상 50만원을 요청할까

 - 이들은 많은돈을 요청할 수 도 있을텐데

 - 만약 작은 쇼핑몰을 운영한다면 이러한 쇼핑몰은 아마도 50만원정도를 벌 것이고

 - 1천만원을 쓴다면 다 막을 수 있는장비를 설치할 수 있기 때문이다.

 - 좀비피씨는 C&C와 협력이고.. IRC은 요즘음 사용되지 않는다. 

 - 1천만원을 쓴다면 다 막을 수 있는장비를 설치할 수 있기 때문이다.



3) DDoS 공격 분류



상위 그림은 디도스 공격의 종류이다.

몇가지만 설명을 하면

 - Degrading

- 서버를 매우 느리게 만든다. 

    - 해커는 서버를 다운시킬 원하지만 킬을 시키지 못하는 경우가 크다. 

- 그럴때 는 동작을 느리게 만든다.

 - fluctuating

이 안티 디도스 어택은 threshold가 갑자기 전보다 20퍼세트를 넘으면 탐지하는 방법이었다.

- 만약 넘으면 디도스를 방어하는데 

- 이 경우는 사인파형으로 패킷을 보내어 안티디도스는 탐지를 못한다.

 - Increasing

- 아주 천천히 패킷을 증가시킨다. (5%) 

- 이러면 이 안티디도스시스템은 임계치에 도달하는 것을 천천히올리면 걸러내지못할것이다.

 - Flood (ICMP)

- 좀비피씨와 C&C서버와의 rare traffic (HTTP..)커넥션을 할 필요가 없다. 

 -Amplification 

- 받은패킷이 깨져있기 떄문에 다시 전송을 요청한다.

 - Protocol exploit & malformed packet

- 프로토콜, 멀폼드는 이미 2개의 스머프 프래글어택을 포함한다. 

- 스머프는 앰플리피케이션에 포함되어있지만 멀웨어패킷에도 포함된다. 

- 이러한 공격은 소스아이피 어드레스로 들어올것이다.



DDoS 방어 방법



행동과 장소에 따라 위 도표과 같이 탐지한다.



1) 2개 IPS   vs  1개 IPS + 3개 IDS


네트워크 기반 IPS는 값이 매우 비싸다. 

하지만 위와 같이 비용이 같을 경우엔 2개의 IPS를 사용하는 것이 성능에 좋다.

공격을 막기 위해선 자동화 시켜서 값을 얻는 것이 효과적이기 때문이다.



2) 최근 경향


4세대의 Firewall은 막고 IDS는 디텍션하는 방식이다.

보통 IPS는 wire 위에서 작동한다  


하지만 최근 CIsco air defense motorola's air tight)에서는 wireless IPS를 제공한다.

하지만 이 방식의 경우 

만약에 나의 컴퓨터가 몇몇의 문서를 가지고 있는데 각각의 직원이 합법적으로 밖의 AP에 접근한다면..

이것은 매우 위험하다. 

우리는 방화벽을 주위에 설치할 것이고 그들은 직접적으로 접근하지 못할 것이다.

이 때 wireless IPS는 불법적인 연결을 막는다.

하지만 allowed AP..(MAC registered MAC address)가 회사에 접근하더라도 air 기반의 연결은 전기적인 엄청난 파워를 필요하다. 

파워풀한 안테나가 높은 성능의 주파수를 내보내면 밖의 AP접근을 지워버릴 수 있다는 단점도 있다.


1990s~2010 은


1) ACL : SYN-cookie 

- 방법 : verify traffic from spoofed IP address

- 아이피주소의 헤더는 스푸핑되고 이걸막으면되었는데

- 요즘은.. 요즘은 진짜 아이피로 보내기 때문에 스푸핑은 답이없다.


2) IP-traaceback 

 - TCP맺는데 10초걸린다고 가정하면

 - 서버는 서버는 메모리를 사용해야하기 때문에 타임아웃을 체크한다. 

 - 방법 : 서버를 사용하기 보단 네트워크스위치는 클리어한다. 

 - 이는 매우 빠르게 들어오고 응답을 한다. 하지만 서버의 리소스는 남는다.

 - 들어오는 패킷을 막기 위해 첫번째 미션은 to find out the origin IP 이다.

 - 모든 라우터에 보내기 위해선 타임스탬프가 주어져야 한다. 

 - 이 패킷을 확실히 하기위해서 모든 라우터가 아닌 선택적으로 임의 라우터에 스탬프를 찍게 한다.

 - 만약 스푸핑된 아이디 어드레스를 이용한 DDoS공격에 시

 - 패킷 마크 펑션은 스푸피된 아이피 주소를 다른 쪽 라우터로 보내버린다.

 - 처음 origin 주소는 공격자가 처음보낼 때 처음 받는라우터가 가지고 있다?

 - 하지만 몇년뒤에 이러한 방법은 사용이되지 않는다


3) anti ddos hardware(n/w device)

 - 10 gpbs , 50gpbs 모든 라우터의 성능이 증가하면서? 모든패킷을 확인? CPU 성능이 증가했다.

 - 이것이 새로운 방법

 - 매우 성능이 좋은 네트워크 하드웨어기반

 - 이들은 어떠한 기능을 가지고 있지 않다. 

 - 들어오는 SYN UDP 베이스기반의 공격에 대해, 그들은 anti 디도스 공격을 막는다. 

 - 시스코는 이러한 안티 디도스 박스덕분에 깨끗하게 통신을 할 수 있다.

 - 또한 이 방법은 적은 사이즈의 디도스 공격에 매우 유용하다.

 - 만약 들어오는 라인이 적다면 이방법은작동하지 않는다 

 - 들어오는 라인이 많아야 한다 ::::여러라인:::[안티디도스박스] - 여러 네트워크

 - 새로운 IDS IPS 를 설치할 필요가 없다?

 - 정부 에이전시는 이를 서포트한다. 


 4) ISP collaboration (Security Agency) => traffic shurt


ISP -->---R-----your company N/W

|                  |

-->------ddos shelter  ---다시 컴패니에 다시전송(일단 보관하고 있다가...)


초반에는 디도스양이 몇십메가밖에안됬다. 따라서 라우터안에서 해결할려고한게아니라 프로토콜을 해결할려고했다

들어오는 SYN 에 쿠키발행을 해서 이상한 트래픽을 발생하지 않도록 아이피트레이스백은 어떻게든 원점을 찾아 여기서 막아보자 였다.

아이피 헤더가 비록 스푸핑되었을지더라도..라우터 전단계를 찾아서 계속 가다보면...결국 출발지를 찾는다.

하지만 이러한 방법소용없는 것이 트래픽이 조금만 만커지면 이방법은 불가능하다..따라서 이 방법은 4~5년까지 대세였는데 최근에는 무의미해졌다.

2번째 방법은..이것 덕분에 막을 수는 있었지만..트래픽이 꽉차서 병목이 생겨서 전송이 안되게 된다

3번째 따라서 현재는 ISP와 협업하는 방법밖에 대응이없다.

웜에 대해 대응을 하는 방법이 유일하게 남아있다.

웜이 퍼져나가면 네트워크 엔트로피가 확증가하니까그것을 막자라는 주의였는데

요즘은 내가 관리하는 서브넷이 몇퍼센트 감염되면 거기를 다 막아버리고 감시하는 것이 더 낫다.

요즘은 어떻게하면정규식을 최적화할것인가;

하드웨어를 싸게 하자가 이게 요즘 연구중심이다.



DDoS 봇넷


1. 소개

봇넷 : 악성 프로그램에 감염된 머신 네트웍스

 - 봇 마스터는 C&C 서버에서 공격을 시도함

 - 제 3자가 봇넷 서비스를 의뢰하고 봇 마스터는 봇넷을 이용해 공격을 시작함.

 - 메일 계정, 은행 계정 정보 등을 가져감

 - 디도스 공격

 - 스팸 메일


2. Torpig

: 진보된 봇넷 이름 

- 카드, 은행 계좌, 개인 정보 등을 가져감

 - injection URL을 이용해 phishing attack 을 시도함

 - 웹사이트처럼 생기나 리다이렉트 되어 있다.

 - Mebroot : 루트킷 프로그램

 - 과정

   1) victim : 취약한 웹서버 접속(GET방식)

   2) Mebroot에 패킷 전송

   3) Mebroot는 gnh5.exe를 통해  3개의 Torpig DLL 파일을 얻음

   4) 개인정보를 C&C 서버에 보냄

   5) 인젝션 서버는 피싱된 HTML을 보냄

 - 결론 : 네트웍 정보, 개인정보를 가져감

 - 모든 정보를 다 캡쳐함

 - 드라이브 바이 다운로드 어택을 통해 감염됨

 - (DBD 어택이란 : 결과에 대한 이해 없이 파일을 다운 함)

 - domain flux라 불리는 기술을 이용

     - 하나의 도메인은 아이피를 자유롭게 바꾼다.

     - 봇넷은 C&C 서버에 자유롭게 접근할 수 있다.

     - 도메인 플럭스는 C&C서버에서 생성한다

     - C&C서버는 도메인 생성 알고리즘을 이용

1) 도메인 이름을 매주마다 수정

         - dw.com -> dw.net -> dw.biz

2) 모든 도메인이 실패하면 현재날짜에 의존하여 도메인 주소가 바뀜

- 도메인을 나열하고 그 중에 빈번하게 하나를 바꾸어 돌려줌


3. 봇넷 분석

 - 봇넷의 크기를 추정 대략 182,800 개

 - 그중 49294는 새롭게 감염된 봇

 - 지하경제에서 83000~8300000 달러의 수익을 냄

 - 297,962개의 계정과 비밀번호는 재사용되거나 크랙될 위험이 있음

 - 봇넷이 가동되면 약 17기가bps의 대역폭으로 DDOS 공격이 수행될 수 있음


5. 결론

 - 헤더 필드의 사이즈발견

 - 민갑한 정보를 가져옴

 - 패스워드의 취약점 발견

 - 잡는 방법 DNS 등록시 부터 추적

   1) 문자열 간의 유사도를  추적

   2) 보통 DNS 주소는 사람이 읽을 수 있도록 구성되어있다. 

- 조금 바꾸면 그것은 단어가 아니다. 

- 예를 들어 brother 인데 drother 이런식으로 바꾸면..이런식으로 단어가 아닌 방법으로 찾는다.

   3) 또는 정상단어와 몇개가 다른지 찾는다.



DDoS 봇넷을 막으려면? 


우리는 이 공격에 대해 막을 방법이 없다.

고등학생도 쉽게 만드는 이 공격은 TCP/IP를 통해서 들어오는 것을 디자인했다. 

TCP/IP의 취약점은 처음 프로토콜 작성 시 초창기의 ARPANET .. 이들은 오직 200-300 네트웍 노드였고 서로의 아이피를 알았기 때문에 DNS가 필요없었다.

이것은 오늘날 재앙으로 다가왔고 모든 디도스 공격은 TCP/IP프로토콜의 취약점으로 들어왔다.

모든 미래의 인터넷은 이런 DDoS 공격은 영원히 계속 될 것이다.



1) ping of 데스 : 

- ICMP에서 큰 사이즈의 데이터를 보낸다. 

- 25바이트 60바이트를 보내는데 충분히 라우터를 체크할 수 있었다. 

-라지사이즈의 패킷의 경우 이것인 CPU의 타겟 라우터의 워크로드를 저하시킨다. QoS의 최대값으로 보낸다.


2) SYN 플러딩 :

 - TCP/IP의 쓰리핸드쉐이킹

- syn이가면 큐에 포트하나를 (6초동안) 소비한다. 

- 해커가 많은 패킷을 보낼 경우 큐에 타겟의 포트를 저장할 것이고 이것은 모든 큐를 다 소비할 것이다

- 이 타겟의 포트에 새롭게 접근하면 (정상적인 사용자) 접근을 못할 것이다. 

- 이러한 syn 플루딩은 가용성에 문제를 줄것이다.

- 대응방법 권고안 

- OS level 에서 백 로그 큐 사이즈 늘임 (windows registry 수정, UNIX 에서 ndd 커맨드 사용 커널 파라메터 튜닝)

- 시스템 튜닝, 메모리 증설

- 결론: 시스템 단에서의 튜닝을 통한 대응은 사실 백약이 무효


3) 랜드어택

 - 모든 유저는 루트권한을 가지고 있는데 패킷의 헤더를 바꿀 수 있다. 

 - 해커가 아이피 어드레스를 소스아이피와 타겟의 아이피에서 같은 것으로 보내버린다. 

 - 이러면  계속 자신에게 보내어 모든 메모리(큐)를 소비하게된다. 

 - 자신에게 응답을 하면서 메모리를 사 소비하게 된다.


4) 보잉크 봉크 티어드랍

 -Boink, Bonk: 

- Bonk는 처음 패킷을 1번으로 보낸 후 두 번째, 세 번째 패킷 모두 시퀀스 넘버를 1번으로 조작해서 보냄, 

- Boink 공격은 처음 패킷을 정상적으로 보내다가 중간에서 계속 일정한 시퀀스 넘버로 보냄

 -Teardrop : 패킷을 겹치게 또는 일정한 간격의 데이터가 빠지게 전송


 - 1024 사이즈 long bytes에 4바이트를 추가해서 보낸다. 

 - 이러한 조각난 패킷은 떄 1024는4바이트를 조각내서 마지막꺼는 안보낸다. 

 - 그러면 내가 만든 4바이트를 합쳐서 패킷을 합칠 때

 - 암튼메모리엄청소비하게 된다.

 - 만약 패킷을 #1, #2, #3을 보낼 때  #1을늘려 #2를 중복된 부분을 함께 보내면 컴퓨터의 성능을 엄청써야한다.

 - 길이가 맞지 않기 때문에..#1을 다시 맞춰서보내면 이제서야합친다.

 -1번과 2번 3번중에서 1번 3번만보내면또한기다리게된다.



5) 봇넷 탐지

 - 해쉬값은 새롭게 프로그램을 만들기 때문에 탐지가 어렵다.

 - 과거는 IRC로 디도스를 탐지했는데 방식이 너무 튀고 플레인텍스트가 가장 큰 문제이다.

 - connection oriented protocol (IRC)

-> easy to be detected

--> 세션을 유지 시키는 방식을 하면 너무 탐지가 쉽다.

---> 좀비 마스터의 IP가 노출되고 있기 때문에.

----> 따라서 connection-less protocol 같은 방식이 쓰이게 된다(HTTP)

-----> 따라서 IRC는 connection oriented porotocl 방식이므로 안쓰인다.



6) 봇넷 유형


 - 봇넷의 가장 큰 단점은 마스터만 막으면 봇넷은 감염되었지만 공격은 하지 않게 된다.

 - 하지만 모든 좀비가 스스로 돌면서 자기 차례가 되면 서버가 되는 그런 방식이 있다.

 - 모든 애들을 박멸해야만 하는 어려움이 있다.


 - 중앙 집중형 구조로 중앙끼리 HTTP로 통신한다. 만약 HTTP 통신이 안되면 ICMP방식으로 바꾼다.

 - 난독화가 너무잘되면 또 리버싱이 힘들다.

 - 봇넷프로그램이 특정 트위터를 팔로우 하는 방식이있다.



7) 봇넷 가격

 - 감염PC 천대당 5달러...

 - 천대 당 20달러 인곳.

 - 천대당 100달러인곳도있다. 

 - 왜 그러냐면..그나라에 감염이 많으면 싸고..

 - 디도스공격을날릴때 호주는 노드수가 매우 적고 너무 멀어서 디도스 효력이 적다. 따라서 값이 싸다



8) Zeus vs Eyebot


- 서로 자기것이 더 좋다고 싸우다가 Zeus가 이김



9) DNS sinkhole

 - DNS sinkhole 국내의 서비스이다.(키사)

 - 상업적이고 매우 비싸다

 - 이 메카니즘은 매우 간단한데...

0. 주소를 보낸다(www.naver.com)

1. 클라이언트는 DNS 서버를 look up 한다.(찾는다) ->  해당하는 주소 : 아이피

2. 다시 보내준다 (192.1.1.1)

    3. 공격이 들어오면 원래 IP주소가 아니라 Null 라우팅(sink hole) 패스로 보낸다.


 - 만약 해커가 DNS로 공격이 들어온다면 ISP에 잡힐 것이고

 - 이 때 DNS 서버의 아이피를 바꿔준다. 널라우팅 IP로

 - 일반 사용자에게는 원래의 아이피는 여전히 살아있기 때문에 

 - 원래의 아이피를 www.naver2.com로 매칭해 알려준다면 사용이 가능하다.

 - 공격이 끝나면 원래대로 매칭시킨다.

 

 - 다른방식으로

 - 마지막의 C&C 서버의 탑..아이피주소가 143.248.1.1이고 NULL 라우팅 주소는 XXX이면.

 - 공격이 들어올 시 이때의 주소에 해당하는 아이피를 127.0.0.1 으로 바꿔버린다.

 - 이러면 자기자신으로 공격하게 된다.

- 가장큰문제는..GRE 터널을 잘못설치하면 잘 못된 경로로 보내버릴 수 있다. 

 - 요즘은 distributed 싱크홀이 더 중요할 것이다.


 - DNS를 바꿔서 매칭시킬려면 라우터는 GRE 터널을 가지고 있어야 한다

 - GRE 터널 : 희생자를 싱크홀과 연결시키고 필터링해서 제대로 연결시켜줌(DNS를 바꿔서..)


 - 키포인트는 

- Cleaning DDoS Traffic 트래픽을 지워버리고

- Reverse proxy 원할때만 트래픽을 분석할 수가 있다 (허니팟처럼...)

- on-Demand traffic analysis


1) 전문가 : expect traffic analysis to make filter packet

2) GRE 터널이 없으면 무용지물 : set up GRE tunnel quickly

3) 가장큰문제는 이런 것을 제공할려면 백본이 엄청좋아야한다 infro (N/W bandwidth 10gbps ~20Gbps) (키사는 그렇게 대역폭이 크지 않다..)

4) 키사가 며칠만 지원해준다 : DDoS Shelter service for free

(지금은 일처리가 굉장히 빠르다. 차라리 팩스 보내는게 더오래걸린다.)

5) 싱크홀의 정상은 살아있다..

 

'보안 > 네트워크' 카테고리의 다른 글

공유기 (wireless router)  (0) 2015.03.09
VPN  (0) 2015.03.06
Slow Read  (0) 2015.03.05
Fire Walking  (0) 2015.03.05
DiD (Defense in Depth)  (0) 2015.03.04