Certification/2. 정보보안기사
[2. 네트워크 보안] [DoS] DRDoS
by 행태정보수집가
2024. 7. 21.
학습 목표
- DoS vs DDoS vs DRDoS
- 공격 방법
- 보안 방법
DoS vs DDoS vs DRoS
- DoS (Denial of Service) : 1 vs 1 공격
- DDoS (Distributed Denial of Service) : 좀비PC를 이용한 N vs 1 공격
- DRDos (Distributed Reflection Denial of Service) : 분산시스템을 이용한 공격
공격 방법
- 공격자는 IP를 공격 대상 서버 IP로 위장하여 반사 서버(경유지 서버)로 전달 (IP Spoofing)
- 반사서버는 응답 패킷을 공격 대상 서버로 전달 (대량 트래픽)
[출처 : 한국인터넷진흥원, 디도스 공격 대응 가이드]
보안 방법
Default : 1) 내부 서버는 외부에서 접근 불가 2) Reflection 서버 출발지 Port 차단 3) 시스템/앱 업그레이드
- DNS Reflection Attack : DNS 통신은 DNS 서버간의 통신이기에, 출발지 포트가 53/UDP이면서 목적지 주소가 DNS 서버가 아닌 패킷을 차단, DNS Query 패킷에 대한 임계치 값을 설정
- NTP Reflection Attack : 출 발 포트가 123/UDP인 패킷을 차단 , 패킷에 monlist 값이 포함될 경우 차단
- 외부망 NTP 사용 : 화이트리스트 정책
- CLDAP Reflection Attack : 외부로부터 들어오는 CLDAP Response 패킷(UDP 프로토콜을 사용하며 출발지 Port는 389번을 사용함)은 차단
- SSDP Reflection Attack : 외부로부터 들어오는 SSDP Response 패킷(UDP 프로토콜을 사용하며 출발지 Port는 1900번을 사용함)은 차단
- Memcached Reflection Attack : 외부로부터 인입되는 Memcached Response 패킷 (UDP 프로토콜을 사용하며 출발지 Port는 11211번을 사용함)은 차단
- WS-Discovery Reflection Attack : 외부로부터 인입되는 UDP 프로토콜(출발지 Port 3702)을 차단해야 함
- ARMS Reflection Attack : 외부에서 UDP 프로토콜로 3283번 Port로 인입되는 패킷은 차단해야 함
- CoAP Reflection Attack : 외부 노출이 되지 않아야 하기 때문에 5683번 Port 로 인입되는 UDP 프로토콜 패킷은 차단해야 함
- Jenkins Reflection Attack : UDP 프로토콜 중 출발지 Port를 33848번으로 사용하는 패킷(Jenkins Response Packet)에 대하여 차단하는 정책 설정
- SNMP Reflection Attack : 161번을 출발지 Port로 사용하는 패킷을 최상단에서 차단