[특집 : 최신 DDoS 공격 동향과 대응 방안] DDoS 공격의 대부분은 Flooding 공격
최근 DDoS 공격의 유형에는 어떤 것들이 있을까? DDoS 공격의 대부분은 Syn Flooding, Udp/Icmp Flooding 등과 같은 Flooding 공격이다. 이러한 Syn Flooding 공격의 경우는 Syn Cookie 방식을 이용하여 방어하는 것이 대부분이며 나머지 Flooding 방어는 크게 3가지 방법으로 나누어진다. 첫째는 고유의 알고리즘으로 공격의 패턴을 인식해서 차단하는 방법과 둘째는 Rate Limited 방식으로 일정 이상의 트래픽이 왔을 때 차단하는 방법, 그리고 세 번째는 Whitelist를 이용해 신뢰할 수 있는 사람만 허용하는 것이다. Flooding 공격 유형은 다음과 같다.

● SYN Flooding
SYN Flooding 공격은 특정 시스템에 대한 불법적인권한을 얻는 적극적인 방법이 아니라 네트워크와 시스템의 자원을 공격 대상으로 하는 공격방법의 하나이다. 이것은 TCP가 데이터를 보내기 전에 연결을 먼저 맺어야 하는 연결지향(Connectionoriented)성을 이용한 방법이다. 즉, SYN Flooding은 TCP의 연결 과정인 Three-way handshaking를 이용하여 공격자(Attacker)가 대상 시스템(Victim)에 source IP address를 spoofing하여 SYN 패킷을 특정 포트로 전송하게 되면 이 포트의 대기 큐(BacklogQueue)를 가득차게 하여 이 포트에 들어오는 연결요청을 큐가 빌 때까지 무시하도록 하는 방법이다. 
● UDP Flooding
UDP(User Datagram Protocol)를 이용한 패킷전달은 비연결형(connectionless) 서비스로서 포트 대 포트로 전송한다. 대표적인 응용 서비스로 TFTP, SNMP, 실시간 인터넷 방송들이 이에 해당된다.
UDPFlooding은 UDP의 비연결성 및 비신뢰성 때문에 공격이 용이한 방법이다. UDP는 source address와 source port를 spoofing하기 쉽다. 이러한 약점들을 이용해 과다한 트래픽을 victim에 전송함으로써 spoof되는 victim간 네트워크를 마비시킨다. 공격자가 victimA에게 source IP address를 victim B의 IP address로 spoofing하여 대량의 UDP 패킷을 전송하면 victimA와 victim B는 계속해서 서로 패킷을 주고받게 되어 두 시스템 사이의 네트워크에 과부하가 초래된다. 이 공격은 주로 echo와 chargen서비스를 이용한다.
● ICMP Flooding
ICMP(Internet Control Message Protocol)는 IETF RFC792에 정의된 프로토콜로써 호스트간 혹은 호스트와 라우터간의 에러 상태 혹은 상태 변화를 알려주고 요청에 응답을 하는 기능을 담당하는 네트워크 제어프로토콜이다.
활성화된 서비스나 포트가 필요하지 않는 유일한 프로토콜이다. 이러한 ICMP의 특징을 악용한 ICMP Flooding은 대량의 ICMP패킷을 공격자가 직접 victim에게 전송하는 방법으로, 그 변종의 예로 Smurf, Welchia worm 등이 있다.
Smurf는 공격자가 source IP address를 victim의 IP address로 설정한 후, broadcast address로 ICMP echo request패킷을 전송하면 그 하위 모든 시스템들이 ICMPecho reply 패킷을 victim으로 전송하게 되어 대량의 패킷들이 집중하여 네트워크 부하를 높이게 된다. 흔히 Smurf 공격이라고 부르는 ICMP echo reply amplifier는 10.1.1.255에 echo 패킷 하나를 보냈는데 그 패킷이 엄청난 양이 되어 나가므로 Amplifier 공격이라고도 한다. 최근 발견된 Welchia worm은 감염 시스템에 대하여 IP address의 B클래스를 고정시키고 C클래스부터 증가시키며 ICMP 패킷을 전송하여 다른 감염대상을 찾고 감염 시스템의 성능을 저하시키는 형태이다.
● Trinoo
Trinoo는 1996년 미네소타 대학에서 발생했으며 솔라리스 2.x 시스템에서 처음 발견됐다. 최소 227개의 시스템이 공격에 사용된 것으로 알려졌다. 이 Trinoo는 많은 소스로부터 통합된 UDP flood 서비스 거부 공격을 유발하는데 사용되는 도구로 Trinoo 공격은 몇 개의 서버들(혹은 마스터들)과 많은 수의 클라이언트들(데몬들)로 이루어진다. 공격자는 Trinoo 마스터에 접속하여 Master에게 하나 혹은 여러 개의 IP 주소를 대상으로 서비스 거부 공격을 수행하라고 명령을 내린다. 그러면 Trinoo 마스터는 특정한 기간으로 하나 혹은 여러 개의 IP 주소를 공격하도록 데몬들과 통신한다.
● CC(Cache-Control) Attack
2008년 하반기에 발표된, CC(Cache-Control) Attack은 웹 부하 공격이라고도 하며 웹 서버와 DB 서버에 과부화를 발생시키는 공격이다. 이 공격은 많은 대역폭을 전송하는 것이 아니라 좀비PC의 양을 늘리고 대역폭을 줄여 아주 LOW하게 GET메시지를 서버로 전송한다. 어떻게 보면 대역폭 증가는 많이 늘지 않지만 보면 CPU가 순식간에 올라가게 된다.
<글 : 정보보호21c 편집자 주>

[월간 정보보호21c 통권 제105호 (info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>