블리자드 디도스 공격에 접속장애-디도스가 무엇인가요?

블리자드가 디도스 공격을 받아 배틀넷이 주말에 무려 12시간동안 접속이 안되는 상태가 발생했었습니다.

많은 분들이 황금같은 주말에 게임을 하며 여가시간을 즐겁게 보내길 꿈꿔왔을텐데 참 안타깝네요 ㅠㅠ

여러분은 디도스가 무엇인지 알고 계신가요?

 

목차

1. 디도스의 정의

2. 공격 방법

3. 대응방법

---

블리자드가 받은 디도스 공격! 디도스가 무엇인가요?

분산 서비스 거부 공격(Distributed Denial of Service attack / 약칭 DDoS Attack)이란???

특정 서버(컴퓨터)나 네트워크 장비를 대상으로 많은 데이터를 발생시켜 장애를 일으키는 대표적인 서비스 거부 공격입니다다. 보통 앞글자만 따서 '디도스 공격'이라고 부르죠. 그냥 디도스라고 부르기도 하는데 사실 디도스는 일반적인 오류 상황도 포함하는 개념으로, 많은 이용자가 몰리면 의도치 않게 발생하기도 합니다다.

따라서 특정 공격자나 집단이 의도적으로 '디도스' 상황을 유발하는 것은 '디도스 공격'이라고 따로 구분지어야하며. 서비스 거부 공격들 중에서는 가장 광범위하게 쓰이며 사이버테러로 애용되는 공격 방식이죠.

 

디도스 공격

---

1. 디도스의 정의

간단하게 말하면 접속량을 폭주시켜 고의로 서버를 터뜨리는 것입니다. 디도스 공격 방법은 다양하지만, 사이트를 마비시키기 위하여 여러 클라이언트를 동원해 과도한 접속량을 주어 서버에 무리를 준다는 점은 똑같죠. 이러한 공격은 대상 웹 서버에 비정상적으로 많은 트래픽을 흘려보내면서 웹 서버에 과도한 트래픽 소모 및 프로세스 진행, 과도한 입출력등을 유발시키고 최종적으로 서버가 먹통이 되게 만들어 버립니다. 굉장히 간단해보이지만 의외로 확실하게 막을 방안이 없습니다. 그래서 디도스 공격은 사이버 범죄자들이 가장 오랜 기간 애용하는 공격 기법이기도 합니다. 디도스 공격이 알려진지 오랜 시간이 지났음에도 꾸준히 애용되는 이유는 틀어막는 것 자체가 어렵기 때문입니다. 

---

 

2. 공격방법

1) F5 공격 (지속적인 새로고침)

브라우저에서 특정 웹 페이지를 열어놓고 F5키를 계속 연타하면 서버에 해당 웹 페이지 크기와 F5를 누른 횟수를 곱한 만큼의 트래픽을 주기 때문에 DDoS 공격에 해당됩니다다. 물론 혼자서 해서는 여러 대의 컴퓨터라는 정의에 맞지 않기 때문에 단순 DoS 공격일 뿐이고, 조직적으로 특정한 시간대를 정해 다수의 인원이 동시에 F5키를 연타해 트래픽을 흘려넣으면 DDoS라고 부르는 것이 가능해지는거죠.

 

2) 좀비PC를 이용한 공격

불특정 다수의 PC에 악성코드를 심어 유사시에 공격이 가능한 좀비 PC로 만든 뒤 공격에 동원하기도 합니다. 악성코드에 감염된 수많은 좀비 PC가 공격자의 명령에 따라 일제히 서버에 대량의 트래픽을 전송하는 방식으로 이루어지며, 서버가 허용하는 트래픽 용량을 넘어서게 되면 정상적인 클라이언트가 서버로 접속할 수 없게 만들어버립니다.

 

3) 웹 스트레서

일정 금액을 지불하고 봇넷 혹은 대용량 대역폭 서버를 가진 업체의 DDoS-For-Hire 서비스를 이용하기도 합니다. 일반인이 접근할 수 있을정도로 간단한 웹 UI, UX를 갖고 있는 경우가 많아, 이 분야의 전문가가 아니더라도 강력한 공격을 수행할 수 있도록 돕는방법입니다. 물론 서비스 제공자 및 이용자 모두 불법입니다. (당연히 처벌받아요 -_-;)

 

 

 

 

---

 

3. 대응방법

1) 임계치 기반 규칙 방어

모든 디도스 대응 솔루션은 임계치 기반 규칙을 포함하고 있습니다. 임계치 기반 규칙은 패킷의 구성 요소를 일일이 셈하여, 기준치 이상의 트래픽이 발생할 경우 디도스 공격으로 탐지해 대응하는 기법입니다. 임계치 기반 규칙은 크게 ‘도스(DoS)’와 ‘디도스(DDoS)’ 규칙으로 구분합니다. 도스의 경우 단일 출발지 IP를 기준으로 패킷의 양을 측정하며, 단일 IP에서 트래픽이 많이 들어오는 관계로 즉각 차단하더라도 문제가 적어 차단·격리 방법으로 주로 대응합니다. 반면 디도스는 다수의 출발지 IP 기준, 보호 대상에 인입되는 트래픽의 양을 측정합니다. 단 디도스의 경우 특정 이벤트에 따라 트래픽이 많아지는 경우가 있어 단순히 차단을 할 경우 수많은 정상 사용자를 차단할 위험이 있죠. 그러므로 인증을 통한 추가 검증 또는 QoS(Quality of Service)를 수행합니다. 임계치 규칙의 경우 일상적인 대용량 공격 대응에 적합하지만, 저용량 정밀 타격 또는 비정상 프로토콜 공격에는 대응이 어렵습니다.

 

2) 인증 기반 대응

인증 기반 대응은 주로 봇(Bot) 기반의 자동화된 공격을 방어합니다. 즉 저용량 공격이더라도 봇을 활용할 경우 해당 인증 기법으로 대응할 수 있죠. 대부분의 디도스 공격은 사람이 직접 수행할 수 없습니다. 99% 이상이 자동화 소프트웨어(봇)을 활용하며, 이러한 공격은 인증을 통해 대응이 가능합니다. 여기서 ‘인증’은 TCP와 HTTP 프로토콜의 특성을 활용한 기법입니다. TCP 인증의 경우 최초 클라이언트(Client)의 SYN 패킷에 일종의 쿠키(COOKIE)를 추가한 SYN/ACK 응답을 생성하여, 쿠키가 포함된 ACK가 전송되는지 확인하는 방법이며, RST을 활용한 방법도 있습니다. HTTP 인증의 경우 HTTP 302 응답코드를 활용해, 정상적인 리다이렉트(REDIRECT)가 진행되는지 확인하는 방법입니다. 위와 같은 방식으로 클라이언트가 정상 사용자인지, 디도스 공격을 수행하는 봇인지 탐지해 대응합니다. 이러한 인증 기능을 수행할 경우 봇 기반의 디도스 공격에 효과적으로 대응할 수 있죠.

 

3) 하이브리드 디도스 공격 대응

우리나라 금융권의 경우 금융보안원이 제공하는 서비스형 보안(SECurity-as-a-Service) 형태의 디도스 공격 대응 서비스 스크러빙센터의 보호를 받을 수 있습니다.

-1차 방어 – 스크러빙센터

-2차 방어 – 금융보안원 비상대응센터

-3차 방어 – 금융회사 자체 디도스 대응

국내 보안회사는 초대용량 디도스 공격 방어를 위한 스크러빙센터를 제공하고 있지 않습니다. 실질적으로 국내 일반 기업이 초대용량 디도스 공격에 노출될 가능성이 굉장히 낮기 때문이죠. 실제 스크러빙센터를 이용할 경우 높은 수준의 비용이 청구되는 관계로, 실제 사용 고객은 극히 적은 편입니다.

스크러빙 센터

 

 

 

---

 

마무리

요약해보자면,

 

쉽게 말해 50명이 이용가능한 여성무인모텔에 투숙객 500명이 갑작스럽게 몰린다면 어떻게 될까요.....????

 

우리는 여러가지 대응을 하게됩니다. 미성년자를 확인해서 내보내고, 남성분들을 내보내고......또한 전혀 모텔을 이용할 것 같지 않은 사람이 영업방해를 하는것 같으면 내보내겠죠??

 

도저히 감당이 안된다면 무인모텔이 아니라 상주직원(스크러빙센터)을 뽑아야겠지요......