디도스란?
Distribute Denial of Service attack(DDoS)여러 대의 컴퓨터를 일제히 동작하게 하여 특정 사이트를 공격하는 해킹 방식의 하나.
서비스 거부(DoS)란 해킹수법의 하나로 한명 또는 그 이상의 사용자가 시스템의 리소스를 독점하거나, 파괴함으로써 시스템이 더 이상 정상적인 서비스를 할 수 없도록 만드는 공격 방법이다.
이 수법은 특정 컴퓨터에 침투해 자료를 삭제하거나 훔쳐가는 것이 아니라 목표 서버가 다른 정당한 신호를 받지 못하게 방해하는 작용만 한다.쉽게 말해 대량의 접속을 유발해 해당 컴퓨터를 마비시키는 수법이다.
■ 분산 서비스거부(DDoS)
분산 서비스거부(DDoS) 공격은 여러 대의 컴퓨터를 일제히 동작하게 하여 특정 사이트를 공격하는 방식이다. 특정 사이트를 공격하기 위해 해커가 서비스 공격을 위한 도구들을 여러 컴퓨터에 심어놓고 목표사이트의 컴퓨터 시스템이 처리할 수 없는 엄청난 분량의 패킷을 동시에 범람시키면 네트워크의 성능 저하나 시스템 마비를 가져온다.
시스템 과부화로 정상고객들이 접속을 할 수 없는 상태가 되는 것.
한 전화번호에 집중적으로 전화가 걸려오면 일시 불통되는 현상과 같다고 보면 된다. 이용자의 정상접속이 불가능해 지는 것은 물론 심하면 주컴퓨터 기능에 치명타를 입힐 수도 있다.
또한 수많은 컴퓨터 시스템이 운영자도 모르는 사이에 이 방법에 의해 해킹의 숙주로 이용될 수 있다. 분산 서비스거부 공경의 대표적인 도구로는 '트리누(Trinoo)'와 '트리벌 플러드(TFN;Tribal Flood Network)', '슈타첼드라트 (Stacheldraht)' 등이 있다.
최근에는 빈발하는 웜ㆍ바이러스에 분산서비스거부(DDoS) 공격 프로그램이 내장돼어 특정 웹사이트를 공격하기도 한다.
신종 분산서비스거부공격(DDoS)에 따른 "주의" 경보발령
□ 악성코드 감염 PC 증상
o 윈도우 서비스 형태로 등록되어 컴퓨터 시작과 함께 자동으로 실행됨
o 방화벽 설정 비활성화
o 다수의 특정 도메인을 대상으로 HTTP / UDP / ICMP Ping 패킷을 지속적으로 전송
- 악성코드의 명령제어(C&C) 서버 접속 없이 악성코드 감염 시 생성된
공격 대상 도메인 목록 파일을 기반으로 자동 공격
- 각 도메인으로 향하는 공격 트래픽은 1.0 ~ 25.3 KBPS 수준임 (분당 트래픽으로 환산하면 57.2 KB ~ 1.5 MB)
- 하나의 감염 PC에서 발생시키는 총 트래픽은 54.2 KBPS로 해당 PC에 큰 무리를 주지 않음 (분당 약 3.3 MB)
- HTTP GET Flooding으로 발생하는 트래픽의 비율이 전체 공격 트래픽의 92.4%로 대부분을 차지하는 반면 UDP와 ICMP Ping 트래픽은 약 4%에 해당함
□ 피해 사이트에서 관찰되는 증상
o HTTP 헤더의 User-Agent 항목을 다음과 같이 서로 다른 5가지의 유형으로 변경해가면서 지속적으로 요청을 수행
- User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; GTB6; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
- User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB6; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
- User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.20) Gecko/20081217 Firefox/2.0.0.20 (.NET CLR 3.5.30729)
- User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2; MAXTHON 2.0)
- User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; GTB6; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
o HTTP GET 수신과 더불어 UDP 80번 포트로 유입되는 트래픽 및 ICMP Ping 수신이 꾸준하게 관찰됨
□ 감염 시 조치 방법
o 일반 인터넷 이용자 - 최신 업데이트된 백신을 이용하여 치료 ※ 7월 8일 12시 현재, 아래의 국내 6개 주요 백신 모두 진단함 V3 (안철수연구소), 바이로봇 (하우리), 바이러스체이서 (에스지알아이) 알약 (이스트소프트), nProtect (잉카인터넷), 피시그린 (네이버) ※ 현재 6개 업체 모두 전용 백신을 배포하고 있음(아래 링크 참조) ◇ 안철수 전용백신 : 다운로드 ◇ 하우리 전용백신 : 다운로드 ◇ 바이러스체이서 전용백신 : 다운로드 ◇ 알약 전용백신 : 다운로드 ◇ 네이버PC그린 전용백신 : 다운로드 ◇ 잉카인터넷 전용백신 : 다운로드
o 네트워크 및 시스템 관리자
- 네트워크 DDoS 트래픽 모니터링 강화
- 방화벽, IDS, IPS 등에 DDoS 트래픽 차단 규칙 적용
※ 위에 제시된 User-Agent 문자열을 이용하여 차단 규칙을 만들 수 있으나 정상적인 이용자의 접속에 장애를 일으킬 가능성이 있으므로 주의
진단 및 치료백신
예방 및 대응방법
DDoS 하드디스크 손상 대응방법, DDoS 예방 대책 10계명
관련정보
KISA 인터넷침해사고대응지원센터, 보호나라, 관련뉴스모음
대책방안
악성코드는 사용자 PC에 존재하는 문서파일 등 주요파일을 손상시킨 후 부팅에 관여하는 하드디스크 MBR(마스터 부트 레코드) 정보를 파괴하여 PC를 부팅불가 및 데이터복구 불가 상태로 만듭니다.
이에 아래 조치 가이드를 활용하여 즉시 예방조치 하실 것을 권해 드립니다.
(본 문서는 Windows 2000/XP/Vista/7/2003/2008 OS에 모두 해당됩니다.)
1. 현재 사용 중인(전원이 켜있는) 컴퓨터의 예방조치 방법
A. 안철수연구소의 전용백신 다운로드 후 검사
2. 현재 사용 중이지 않은(전원이 꺼진) 컴퓨터의 예방조치 방법
A. 안전모드로 부팅
B. 안철수연구소의 전용백신 다운로드 후 검사
위 상황에 맞게 아래 문서를 참고하세요.
1. 현재 사용 중인(전원이 켜있는) 컴퓨터의 예방조치 방법
2011년 3월 3일부터 국내 웹사이트를 겨냥한 DDoS 공격 및 감염PC의 시스템 손상을 일으키는 악성코드가 발견 되었습니다. 악성코드는 사용자 PC에 존재하는 문서파일 등 주요파일을 손상시킨 후 부팅에 관여하는 하드디스크 MBR(마스터 부트 레코드) 정보를 파괴하여 PC를 부팅불가 및 데이터복구 불가 상태로 만듭니다.이에 아래 조치 가이드를 활용하여 즉시 예방조치 하실 것을 권해 드립니다.(본 문서는 Windows 2000/XP/Vista/7/2003/2008 OS에 모두 해당됩니다.)
※ V3 사용자는 최신엔진 업데이트 후, 검사하시면 됩니다.
전용백신으로 다시 검사할 필요 없습니다.
전용백신 다운로드 받기
B. F8키 동작이 되지 않을 경우
i. 부팅시 F5 키를 연속적으로 눌러 ‘부팅관리자’를 실행한다.
ii. 부팅관리자’에서 F8키를 눌러 ‘고급부팅옵션’을 실행하여 안전모드(네트워킹 사용)을 선택
B. 보호나라 홈페이지(http://www.boho.or.kr) 접속
i. 메인 팝업창에서 '안철수연구소 전용백신 다운로드' 클릭
4.
B. 보호나라 홈페이지 안철수연구소 전용백신
5. 악성코드
ii. 전체치료 클릭
iii. ‘재부팅 하시겠습니까’ 예(Y) 선택시 치료와 동시에 재부팅 진행
B. 보호나라 홈페이지 안철수연구소 전용백신
i. 악성코드 발견
ii. 악성코드 치료
6. 검사 완료되면 ‘종료’ 클릭 후 PC 재부팅)
※ V3 사용자께서는 V3를 최신버전으로 업데이트 후 실시간 감시를 꼭 켜 두십시오
2. 현재 사용 중이지 않은(전원이 꺼진) 컴퓨터의 예방조치 방법A. 안전모드로 부팅B. 안철수연구소의 전용백신 다운로드 후 검사
전용백신 다운로드 받기
B. F8키 동작이 되지 않을 경우 i. 부팅시 F5 키를 연속적으로 눌러 ‘부팅관리자’를 실행한다.
ii. 부팅관리자’에서 F8키를 눌러 ‘고급부팅옵션’을 실행하여 안전모드(네트워킹 사용)을 선택
3. 최신 전용백신 다운로드 및 실행속
B. 보호나라 홈페이지(http://www.boho.or.kr) 접속
i. 메인 팝업창에서 '안철수연구소 전용백신 다운로드' 클릭
4. 전용백신 실행 후 '검사' 클릭B. 보호나라 홈페이지 안철수연구소 전용백신
ii. 전체치료 클릭
iii. ‘재부팅 하시겠습니까’ 예(Y) 선택시 치료와 동시에 재부팅 진행
B. 보호나라 홈페이지 안철수연구소 전용백신 i. 악성코드 발견
ii. 악성코드 치료
※ V3 사용자께서는 V3를 최신버전으로 업데이트 후 실시간 감시를 꼭 켜 두십시오.
디도스 관련 문서.hwp'네트워크 > WEB 이야기' 카테고리의 다른 글
| IE 9 한국에서 에러, ActiveX와의 충돌 (0) | 2011.03.25 |
|---|---|
| 파이어폭스 4, 써보실래요!? (0) | 2011.03.25 |
| 앞으로 무한발전할 '온라인 마케팅' 이야기 - 1 (0) | 2011.02.16 |
| [동영상강좌] 다중 웹사이트 등록 (0) | 2011.01.04 |
| 제로보드 스크립트 공격 버전업그레이드 요망 (0) | 2010.12.31 |