글 작성자: nouu

http://www.yes24.com/Product/Goods/83538369

 

보안 실무자를 위한 네트워크 공격 패킷 분석 - YES24

저자의 풍부한 실무 경험을 바탕으로 보안 업무를 담당하고 있는 실무자와 보안에 입문하고자 하는 독자를 위해 쓰였다. 이 책은 포트 스캔, DDoS, SMB 해킹, 웹 해킹, RAT 악성 코드, 메일 서버 해킹

www.yes24.com

 

해당 서적을 참고하여 작성하였습니다. 

 

 

DDOS 공격이란? 

DDOS는 과도한 트래픽을 공격 대상에게 일방적으로 전송해서 특정 서비스를 불가능하게 하는 공격이다. 보안의 3요소 중 가용성에 대한 침해를 가하는 공격이며, 패킷 단위로 분석한다면 역시 TCP/IP를 비롯한 통신의 기본 원리들을 이용한 공격 기법이라고 해석할 수 있다. 

 

 

 

통신의 3요소? 

DDOS 공격은 통신의 기본을 이루는 세 가지 요소중 한가지 이상 과도한 트래픽 또는 장비의 부하를 발생시켜 정상적인 통신이 불가능하게 만드는 공격이다. 각 요소에 대한 공격을 설명하는 것은 다음에 차근차근 정리할 것이며 통신의 3요소는 다음과 같다. 

 

1. 전송 매체(케이블) : End-to-End 노드를 연결해주는 통로이며, 각 전송 매체는 종류별로 수용 가능한 대역폭을 보유한다.

 

 

전송 매체별 수용 가능한 대역폭이 존재하며, 자신이 수용 가능한 대역폭 이상의 트래픽이 전송될 경우 전송된 트래픽을 수용하지 못하여 정상적인 통신이 불가능해진다. 

 

ex) UTP 케이블은 1Gbps의 대역폭을 수용할 수 있지만 그보다 더 큰 2Gbps의 트래픽을 의도적으로 보낸다,

     광 케이블은 보통 10Gbps 대역폭을 수용할 수 있지만 그보다 더 큰 20Gbps 트래픽을 의도적으로 보낸다.

 

 

 

2. 장비(노드) : End-to-End 간에 또는 그 중간에 연결되는 장비이며 각각 처리할 수 있는 최대 성능이 존재한다. 최대 성능은 CPU/메모리 등 장착되는 부품에 따라 달라진다. 

 

각 장비가 처리 가능한 성능 이상의 요청이 발생할 경우에 부하가 생겨 정상적인 통신이 불가능해진다.

 

 

 

3. 프로토콜 : 인터넷 통신을 위한 규약 또는 규칙이며, 정상적인 통신을 위해 미리 정의된 규약에 맞추어 통신해야된다. (통신의 약속)

 

인터넷 환경에서 가장 많이 사용되는 프로토콜이 4계층의 TCP와 UDP이며, 이는 DDOS 공격에서도 마찬가지다. 각각의 프로토콜은 특정 요청에 대해서 어떤 액션을 할지 정해진 규약을 존재한다. 해당 프로토콜의 특징과 허점을 이용해서 운영체제 or 설치된 어플리케이션이 비정상에 빠지게 된다.

 

 

 

 

DOS와 DDOS의 차이 

DOS 또는 DDOS 공격은 해킹과 같이 시스템 파일을 유출하거나 변조하는 무결성과 기밀성과는 무관하며, 기본 통신 3요소중 하나 이상의 통신을 마비시켜 정상 사용자들이 더 이상 사용하지 못하도록 만드는 것이 목적이다.

 

DOS 나 DDOS는 공격의 목적은 똑같다. 하지만 공격 형태의 차이가 존재한다. DOS 공격은 Denial Of Service (서비스 거부 공격)의 약자이며, 특정 공격 PC 또는 서버 1대가 피해 서버 1대로 과도한 트래픽이나 패킷을 보내는 1:1의 형식 공격이다. (공격자 1 : 1 희생자)

 

하지만 서버 및 중간 노드의 장비들의 성능이 향상됨에 따라서 DOS와 같은 1:1 공격은 큰 효과를 낼 수 없게 되었으며, 이에 발맞춰 나온 공격이 DDOS 공격이다. DDOS(Distributed Denial Of Service) 공격은 악성 코드에 감염된 여러 대의 좀비PC들을 이용하여 동시에 공격하므로 N : 1(공격자 N : 1 희생자) 형태를 띠며, 여러대의 분산된 시스템으로부터 DOS를 발생시킨다는 의미로 분산 서비스 거부 공격 이라고 한다.