DDoS 공격의 원리는 무엇입니까? 인터넷 시대가 도래함에 따라 사이버 보안은 점점 더 중요해지고 있다. 인터넷 보안 분야에서 DDoS (분산
DenialofService) 공격 기술은 은폐성과 효율성으로 인해 사이버 공격자가 가장 많이 사용하는 공격 방법으로 인터넷의 보안을 심각하게 위협하고 있습니다. 다음 문장 중 변쇼는 DDoS 공격의 원리, 표현 및 방어 전략을 소개한다. 너에게 도움이 되었으면 좋겠다.
DDoS 공격 원리 및 보호 조치 소개
첫째, DDoS 공격의 작동 원리
1..1DDOS 의 정의
DDos 의 전신 DoS
DenialofService 공격, 즉 서비스 거부 공격, 응답이 필요한 대량의 정보로 웹 서버를 침수하고, 네트워크 대역폭이나 시스템 리소스를 소비하여 네트워크 또는 시스템에 과부하를 일으켜 정상적인 네트워크 서비스 제공을 중단시키는 것입니다. DDoS 분산 서비스 거부 주요 사용
인터넷상의 기존 기계와 시스템의 취약점이 대량의 네트워킹 호스트를 캡처하여 공격자의 프록시가 되었다. 제어되는 시스템의 수가 어느 정도 되면 공격자는 명령을 보내 이러한 공격자를 제어하면서 대상 호스트나 네트워크에 대한 DoS 공격을 시작합니다. 이로 인해 네트워크 및 시스템 자원이 많이 소모되어 네트워크 또는 시스템이 마비되거나 정상적인 네트워크 서비스 제공을 중지합니다. DDos 의 분산 기능으로 인해 Dos 보다 훨씬 더 공격적이고 파괴적입니다.
1.2 DDoS 의 공격 원리
그림 1 에서 볼 수 있듯이 비교적 정교한 DDos 공격 시스템은 공격자 (주인이라고도 함) 와 꼭두각시 기계 (
해들러), 괴뢰기 (demon, 대리인이라고도 함), 피해자 (
피해자). 2 부와 3 부는 각각 통제와 실제 공격에 쓰인다. 두 번째 부분은 제어기가 명령만 발표하고 실제 공격에는 참여하지 않는다. 셋째, DDoS 의 실제 공격 가방은 괴뢰기를 공격하는 것이다. Part 2 및 part 3 컴퓨터의 경우 공격자는 제어권 또는 부분 제어권을 가지고 해당 DDoS 프로그램을 이러한 플랫폼에 업로드합니다. 이러한 프로그램은 일반 프로그램처럼 실행되며 공격자의 지시를 기다리고 있습니다. 일반적으로 다양한 수단을 사용하여 자신을 숨깁니다. 평소에는 괴뢰기들이 별다른 이상이 없었지만, 일단 공격자가 이들을 연결해 제어하고 지시를 내리면 공격기가 공격자가 되어 공격을 개시한다.
그림 1 분산 서비스 거부 공격 아키텍처
이 구조를 채택하는 중요한 목적 중 하나는 네트워크 연결을 격리하여 공격자가 공격 중 모니터링 시스템에 의해 추적되지 않도록 보호하는 것입니다. 동시에 더 나은 협동공격을 할 수 있다. 공격 수행자가 너무 많기 때문에 한 시스템에서 명령을 내리면 제어 시스템의 네트워크 정체가 발생하여 공격의 갑작스러운 조율에 영향을 미칠 수 있기 때문이다. 그리고 트래픽의 갑작스러운 증가는 공격자의 위치와 의도를 폭로하기 쉽다. 전체 프로세스는 다음과 같이 나눌 수 있습니다.
1) 대량의 호스트를 검사하여 호스트를 침입할 수 있는 대상을 찾습니다.
2) 보안 취약점 및 이득 제어가 있는 호스트;
3) 침입 호스트에 공격 프로그램을 설치합니다.
4) 침입 호스트를 사용하여 침입을 계속 검색합니다.
제어된 공격 에이전트의 수가 공격자의 만족에 도달하면 공격자는 마스터 컴퓨터를 공격하여 언제든지 타격 명령을 내릴 수 있습니다. 메인 컴퓨터를 공격하는 위치가 매우 유연하며 명령을 내리는 시간이 짧아 위치가 매우 은밀하기 때문이다. 공격 명령이 공격 조작자로 전달되면 주 컨트롤러는 추적을 피하기 위해 네트워크를 종료하거나 떠날 수 있으며 공격 조작자는 각 공격 에이전트에 명령을 내릴 수 있습니다. 공격 에이전트가 공격 명령을 받은 후 타겟 호스트에 대량의 서비스 요청 패킷을 보내기 시작했습니다. 이러한 패킷은 위장되어 공격자가 소스 평면을 인식하지 못하게 되며, 이러한 패킷이 요청하는 서비스는 종종 CP 나 네트워크 대역폭과 같은 많은 시스템 리소스를 소비합니다. 수백 또는 수천 개의 공격 에이전트가 동시에 하나의 대상을 공격하면 대상 호스트의 네트워크 및 시스템 리소스가 부족해져 서비스가 정지됩니다. 때로는 시스템 충돌로 이어질 수도 있습니다.
또한 대상 네트워크의 방화벽, 라우터 등의 네트워크 장치를 차단하여 네트워크 정체를 더욱 가중시킬 수 있습니다. 결과적으로 대상 호스트는 사용자에게 서비스를 전혀 제공할 수 없습니다. 공격자가 사용하는 프로토콜은 매우 일반적인 프로토콜과 서비스입니다. 이렇게 하면 시스템 관리자가 악의적인 요청과 활성 연결 요청을 구별하기 어렵고 공격 패킷을 효과적으로 분리할 수 없습니다.
둘째, DDoS 공격 식별
DDoS (서비스 거부) 공격의 주요 목적은 지정된 대상이 알림 없이 정상 서비스를 제공하거나 인터넷에서 사라지게 하는 것입니다. 현재 가장 강력하고 어려운 공격 중 하나입니다.
2. 1 DDoS 성능
DDoS 는 크게 두 가지 형태로 제공됩니다. 하나는 주로 네트워크 대역폭에 초점을 맞춘 트래픽 공격입니다. 즉, 대량의 공격 패킷으로 인해 네트워크 대역폭이 차단되고, 합법적인 네트워크 패킷이 거짓 공격 패킷으로 가득 차서 호스트에 도달할 수 없습니다. 또 다른 하나는 자원 고갈 공격입니다. 주로 서버 호스트에 대한 정치적 공격입니다. 즉, 대량의 공격 패킷으로 인해 호스트 메모리 또는 CPU 코어 및 애플리케이션이 소진되어 네트워크 서비스를 제공할 수 없게 됩니다.
2.2 공격 식별
트래픽 공격을 식별하는 두 가지 주요 방법이 있습니다.
1) Ping 테스트: Ping 시간 초과 또는 심각한 패킷 손실이 발견되면 공격을 받을 수 있습니다. 동일한 스위치의 서버도 액세스할 수 없는 경우 기본적으로 트래픽 공격으로 확인할 수 있습니다. 테스트의 전제는 피해 호스트와 서버 간의 ICMP 프로토콜이 라우터, 방화벽 등에 의해 차단되지 않는다는 것입니다.
2) 을 참조하십시오
텔넷 테스트: 원격 터미널 연결 서버 실패, 상대 트래픽 공격 및 리소스 소진 공격을 쉽게 판단할 수 있다는 특징이 있습니다. 사이트 방문이 갑자기 느리거나 액세스할 수 없지만 Ping 을 할 수 있다면 공격당할 가능성이 높다. Netstat-na 명령을 사용하여 서버에서 대량의 데이터를 관찰한다면
SYN_RECEIVED, TIME_WAIT, FIN_
WAIT_ 1 등. EASTBLISHED 는 매우 적기 때문에 자원 고갈 공격으로 판단될 수 있습니다. 피해 호스트가 동일한 스위치의 서버를 Ping 할 수 없거나 패킷 손실이 심각한 것이 특징이다. 시스템 코어 또는 어플리케이션의 CPU 사용률이 100% 에 도달하여 Ping 명령에 응답할 수 없기 때문이다. 그러나 동일한 스위치의 호스트는 대역폭이 있어 Ping 할 수 있다.
셋째, DDoS 공격 모드
DDoS 공격과 그 변종은 여러 가지가 있다. 그들의 공격 수단으로 볼 때, 가장 유행하는 DDoS 공격은 세 가지가 있다.
3. 1 SYN/ACK 홍수 공격
이런 공격 방식은 각종 시스템의 인터넷 서비스를 죽일 수 있는 고전적이고 효과적인 DDoS 공격 방식이다. 주로 피해 호스트에 소스 P 와 소스 포트를 위조한 SYN 또는 ACK 패킷을 대량으로 전송함으로써 호스트 캐시 자원이 부족하거나 응답 패키지 전송으로 인해 서비스가 거부됩니다. 출처가 모두 파괴되어 추적하기 어렵다. 단점은 실현이 어렵고 고대역폭 좀비 호스트의 지원이 필요하다는 것이다. 이러한 공격이 적으면 호스트 서버에 액세스할 수 없게 되지만 ping 을 수행할 수 있습니다.
Netstat-na 명령은 많은 수의 syn 의 존재를 관찰합니다.
수신 상태, 이러한 공격의 상당수는 Ping 실패, TCP/IP 스택 실패, 시스템 경화, 즉 키보드 마우스가 응답하지 않을 수 있습니다. 대부분의 일반적인 방화벽은 이러한 공격을 막을 수 없습니다.
공격 프로세스는 그림 2 에 나와 있습니다. 정상적인 TCP 연결은 세 번의 핸드쉐이킹으로 시스템 b 가 시스템 a 에 SYN/ACK 패킷을 보낸 후 SYN 에서 멈춥니다.
시스템 a 가 ACK 패키지를 반환할 때까지 기다리는 RECV 상태; 이 시점에서 시스템 B 에는 연결 준비를 위한 리소스가 이미 할당되어 있습니다. 공격자 시스템 A 가 위조된 소스 IP 를 사용하는 경우 시스템 B 는 시간이 초과된 후 연결이 연결 대기열에서 지워질 때까지 항상 "반연결" 대기 상태입니다. 타이머 설정 및 전체 접속 대기열로 인해 시스템 A 는 위조 소스 IP 가 있는 접속 요청을 시스템 B 에 고속으로 지속적으로 전송하면 시스템 B 를 단시간 내에 성공적으로 공격할 수 있지만 시스템 B 는 다른 정상적인 접속 요청에 더 이상 응답할 수 없습니다.
그림 2 SYN 플러드 공격 프로세스
3.2 TCP 전체 접속 공격
이 공격은 기존 방화벽의 검사를 우회하는 것을 목표로 한다. 일반적으로 대부분의 기존 방화벽에는 필터링 기능이 있습니다.
TearDrop, Land 등의 DOS 공격은 정상적인 TCP 연결에는 면했지만 많은 네트워크 서비스 프로그램 (예: IIS)
아파치와 같은 웹 서버는 제한된 수의 TCP 접속을 받아들일 수 있습니다. 대량의 TCP 연결이 이루어지면, 정상적인 경우에도 사이트 방문은 매우 느리고 심지어 접근할 수도 없다. TCP 전체 연결 공격은 많은 좀비 호스트를 통해 지속적으로 피해 서버와 대량의 TCP 연결을 설정하는 것으로, 서버의 메모리와 같은 자원이 고갈되어 서비스가 거부될 때까지 계속됩니다. 이런 공격은 일반 방화벽의 보호를 우회하여 공격의 목적을 달성할 수 있는 것이 특징이다. 단점은 많은 좀비 호스트를 찾아야 하고, 좀비 호스트의 IP 노출로 인해 이런 DDOs 공격자가 쉽게 추적된다는 점이다.
3.3 TCP 브러시 스크립트 공격
이 공격은 주로 ASP, JSP, PHP, CGI 등의 스크립트에 대해 MSSQL Server, My SQL Server,
Oracle 과 같은 데이터베이스 웹 사이트 시스템은 서버에 정상적인 TCP 연결을 설정하고, 스크립트 프로그램에 데이터베이스 리소스를 많이 소비하는 쿼리, 목록 등의 호출을 지속적으로 제출하는 것이 특징이며, 일반적으로 작고 넓은 공격 방식을 사용합니다. 일반적으로 GET 또는 POST 명령을 제출하면 클라이언트의 소비와 대역폭을 거의 무시할 수 있지만 서버는 수만 개의 레코드에서 레코드를 찾아야 요청을 처리할 수 있습니다. 이 처리 과정은 대량의 자원을 소모한다. 일반적인 데이터베이스 서버는 수백 개의 쿼리 명령어를 동시에 실행하는 것을 거의 지원하지 않으므로 클라이언트에게는 쉽기 때문에 공격자가 통과하기만 하면 됩니다.
프록시 에이전트는 호스트 서버에 대량의 쿼리 명령을 제출하여 단 몇 분 안에 서버 자원을 소모하여 서비스를 거부할 수 있습니다. 일반적인 현상은 웹 사이트가 달팽이처럼 느리고, ASP 프로그램이 실패하고, PHP 연결 데이터베이스가 실패하고, 데이터베이스 마스터 프로그램이 CPU 를 많이 차지하는 것이다. 이러한 공격은 일반적인 방화벽 보호를 완전히 무시하고 공격을 위해 일부 Poxy 에이전트를 쉽게 찾을 수 있다는 특징이 있습니다. 단점은 정적 페이지에 대한 웹 사이트 효과가 크게 떨어지고 일부 에이전트가 DDOS 공격자의 IP 주소를 노출한다는 것입니다.
넷째, DDoS 보호 전략
DDoS 의 보호는 시스템 엔지니어링으로, 어떤 시스템이나 제품에 의존하여 DDoS 를 예방하는 것은 비현실적이다. 현재 DDoS 를 완전히 소멸하는 것은 불가능하지만, 적절한 조치를 통해 대부분의 DDoS 공격을 막을 수 있다는 것은 확실하다. 공격과 방어는 모두 비용이 많이 들기 때문에 적절한 조치를 통해 DDoS 에 저항하는 능력이 향상되면 공격자의 공격 비용이 증가한다는 의미이므로 대부분의 공격자는 더 이상 포기할 수 없으며 DDoS 공격에 성공적으로 저항하는 것과 같습니다.
4. 1 고성능 네트워킹 장비 사용.
DDoS 공격에 대한 저항은 우선 네트워크 디바이스가 병목 현상이 될 수 없도록 해야 하므로 라우터, 스위치, 하드웨어 방화벽 등을 선택할 때는 신뢰도가 높고 평판이 좋은 제품을 선택해야 합니다. 그렇다면 인터넷 공급업체와 특별한 관계나 합의가 있다면 더 좋을 것이다. 대량의 공격이 발생할 때 특정 유형의 DDoS 공격에 대항하기 위해 네트워크 접점에서 트래픽 제한을 수행하도록 요청하는 것이 매우 효과적입니다.
4.2 가능한 한 NAT 사용을 피하십시오
라우터든 하드웨어 보호 벽 장치든 네트워크 주소 변환에 NAT 를 사용하지 않는 한 NAT 를 사용하지 않는 것이 좋습니다. 이 기술은 네트워크 통신 기능을 크게 저하시킬 수 있기 때문입니다. 그 이유는 NAT 가 주소를 앞뒤로 변환해야 하고, 변환 과정에서 네트워크 패킷의 체크섬을 계산해야 하기 때문에 CPU 시간이 많이 낭비되기 때문입니다.
4.3 충분한 네트워크 대역폭 보장
네트워크 대역폭은 공격에 저항하는 능력을 직접 결정합니다. 대역폭이 10M 밖에 없는 경우 어떤 조치를 취해도 전류를 견디기 어렵다.
SYNFlood 공격, 현재 최소한 100M * * 대역폭을 선택해야 합니다. 1000M 대역폭이 더 좋을 것입니다. 하지만 호스트의 NIC 는 1000M 이고 100M 에 연결된 대역폭도 100 메가바이트의 대역폭을 의미하는 것은 아닙니다. 인터넷 서비스 업체가 스위치에서 실제 대역폭을 10M 으로 제한할 가능성이 높기 때문입니다.
4.4 호스트 서버 하드웨어 업그레이드
네트워크 대역폭을 보장하면서 하드웨어 구성을 최대한 향상시킵니다. 초당 65438+ 백만 SYN 공격 팩에 효과적으로 대응하려면 서버 구성이 최소한 P4 이상이어야 합니다.
2.4G/DDR5 12M/SCSI-HD, CPU 및 메모리가 중요한 역할을 합니다. 메모리는 반드시 DDR 의 고속 메모리를 선택해야 하고, 하드 드라이브는 가능한 한 SCSI 를 선택하여 안정적인 하드웨어 성능을 보장해야 합니다. 그렇지 않으면 높은 성능 대가를 치르게 됩니다.
4.5 웹 사이트를 정적 페이지로 만들기
수많은 사실들이 사이트를 가능한 한 정적으로 만드는 것은 공격방지 능력을 크게 높일 뿐만 아니라 해커에게도 많은 번거로움을 초래할 수 있다는 것을 증명했다. 지금까지 HTML 은 아직 넘치지 않았고 시나닷컴 소호 인터넷 등 포털은 모두 정적 페이지를 위주로 하고 있다.
또한 데이터베이스를 호출해야 하는 스크립트에서 프록시 액세스를 거부하는 것이 좋습니다. 경험에 따르면 우리 웹 사이트의 80% 의 프록시 액세스가 악의적이기 때문입니다.
동사 (verb 의 약어) 요약
DDoS 공격은 점점 더 강해지고, 은밀하고, 표적화되고, 복잡해지고, 인터넷 보안에 큰 위협이 되고 있습니다. 동시에 시스템이 업그레이드되면서 새로운 시스템 취약점이 생겨나고 DDoS 공격 기술의 향상으로 DDoS 보호의 어려움이 가중되고 있습니다. 이러한 공격에 효과적으로 대응하는 것은 시스템 공학으로, 기술자들이 방호 수단을 탐구할 뿐만 아니라 사이버 사용자가 사이버 공격의 기본 의식과 수단을 갖추어야 한다. (존 F. 케네디, Northern Exposure (미국 TV 드라마), 공격명언) 기술적 수단과 수단만 채택한다. 관련 링크