Redirected from page "DDOS"

E,AHRSS

DDoS

last modified: 2015-10-21 11:00:48 Contributors

범죄 행위! HELP!

이 문서는 대한민국의 현행법상 범죄 행위를 다루고 있으며, 이런 행위는 다른 나라에서도 범죄로 규정되었을 가능성이 매우 높습니다.
이 문서의 내용을 전 세계 어디에서든 실행에 옮길 경우 행위자 본인이 모든 책임을 져야 합니다.

경고: 문서 수정 시 범죄를 자세히 묘사하는 서술을 추가하지 마십시오. 범죄 교사 또는 방조에 해당합니다.


정보통신망 이용촉진 및 정보보호 등에 관한 법률

제 48조(정보통신망 침해행위 금지)

③ 누구든지 정보통신망의 안정적 운영을 방해할 목적으로 대량의 신호 또는 데이터를 보내거나 부정한 명령을 처리하도록 하는 등의 방법으로 정보통신망에 장애가 발생하게 하여서는 아니 된다.


제71조(벌칙) 다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다.

10. 제48조제3항을 위반하여 정보통신망에 장애가 발생하게 한 자





Contents

1. 개요
2. 방법
2.1. 단순한 방법
2.2. 좀비 PC
3. 실제 사례
4. 관련 사건
5. 관련 항목
6. DRDoS


1. 개요


(위키니트들이 모이면 이것만큼 쉬운 게 없다 물론 짜잘한 사이트 한정이지만...)

또스디디오에스/디도스, 분산 서비스 거부 공격(Distributed Denial of Service attack)을 뜻하는 것으로 서비스 거부 공격 DoS(Denial of Service attack)에서 한 단계 파워업한 것이다. 인터넷상에서 사이트 공격을 하는 방법 중 하나로 사이버 테러의 대표적인 경우다.

이것은 여러 대의 컴퓨터에서 한 웹 서버에 비정상적인 트래픽을 흘려보내 웹 서버가 과도한 트래픽 소모 및 프로세스 진행, 과도한 입출력등을 통해 서버가 먹통이 되게 만드는 기본적인 서버 공격방법. 쉽게 말해 다구리.
물론 그냥 사이트의 인기가 너무 많아서 정상적인 접속이 폭주해 먹통이 되는 것도 같은 원리지만, DDoS 공격은 아니다. 굵직한 DDoS 사건으로 인지도가 높아져서 비유하는 말로도 쓰인다.

위의 해당 법률을 보면 알겠지만 형이 상상 이상으로 무겁다. 하지 말자. 근데 아청법 보다 가볍다. 망가 번역보단 많이 가볍네

2. 방법

2.1. 단순한 방법

브라우저의 F5키를 연타하는 것도 서버에 웹 페이지 크기만큼의 트래픽을 주기 때문에 DDoS 공격에 해당된다. 물론 혼자서 해서는 여러 대의 컴퓨터라는 정의에 맞지 않기 때문에 단순 DoS 공격일 뿐이고 조직적으로 어떤 시간대에 동시에 F5키를 연타하면 DDoS라고 부르는 것이 가능하다. 디시의 유명 프로그램 방법시리즈가 이 방식이다.

일반인들도 누구나 할 수 있는 방법이다. 하지만 원한이 있다고 DDoS를 남발하지 말자. 서버에 로그가 남기 때문에 적발되는 순간 철창행이다. 대표적인 사건은 수능 갤러리 강제정모. 그리고 폭력조직의 청부폭력에 사용된 사례도 있다. 기사 조폭들도 DDoS로 싸우는 인터넷 강국의 위엄

2.2. 좀비 PC

유포한 악성코드를 통해서 PC들을 순식간에 '유사시에 공격이 가능한' 좀비 PC로 만든 뒤 공격에 동원하기도 한다. 뉴스 같은 곳에서 중국이 어쩌구... 하며 나오는 DDoS는 거의 이것이다. 감염된 수많은 컴퓨터가 일제히 서버에게 대량의 트래픽을 전송하여 서버가 허용하는 트래픽 용량을 넘어서게 되면 정상적인 클라이언트가 서버로 접속할 수 없게 된다.[2] 근래 들어 수많은 컴퓨터가 좀비 PC가 되었다가 맛이 가는 사례가 뉴스에 종종 보도되니 주의하자. 다만 좀비 PC가 맛이 가는 경우는 DDoS 공격 자체의 특성이 아니고 좀비 PC를 조종하는 측에서 파괴 명령을 내린 것이다.[3] 그렇지 않다면 좀비 PC측의 피해는 컴퓨터가 느려지는 정도.[4] 그 외에 좀비 PC에서 개인정보를 꺼내가기도 한다. 공인인증서를 하드디스크에 저장했다면 삼가 고인의 명복을 빈다.[5] 경험담같다 조심 또 조심

위의 것과는 다른 방식으로 디도스를 실행하기도 한다. 악성스크립트를 이용하는 방식으로 방법은 이렇다. 접속량 많은 제 3의 사이트를 해킹해서 A사이트에 디도스를 실행해라 라는 스크립트를 삽입한다. 제 3의 사이트를 접속하는 사람은 자신도 모르게 A사이트를 접속해 공격하고 있다. 이 방식은 탐지하기 힘들다. 해킹당한 제 3의 사이트는 자신의 사이트에 아무런 영향이 없기에 해킹당했다는 것을 알지 못해 해킹에 대응하지 않고 공격을 하는 접속자는 자신의 컴퓨터가 감염된것이 아니기에 디도스에 악용되고 있다는 상황을 인지하지 못한다. 보안부분에서 제 3의 빈 공간이 생겨서 헛점이 만들어지는 것이다. 안랩기사 안랩 기술적 설명(악성 스크립트 부분)

결론은 절대 해서는 안 되는 짓. 만일 이런 형태의 DDoS 공격을 한 사람이 있다면 평생 까이고 까여도 부족함이 없다. 그런데 그걸 실제로, 그것도 정치인들이 그랬다!


3. 실제 사례

  • 2003년 초에 전국적인 인터넷 대란이 터진 것도 한국의 DNS 서버에 DDoS 공격이 집중되어서 DNS 서버가 다운된 것.[6] 2009년 7월 7일에도 한국과 미국 주요 사이트에 DDoS로 인해 여기저기 문제가 생기는 등 인터넷 대란이 일어났다.
  • 그 외에 디씨인사이드도 이 DDoS 공격을 받아 2009년 3월 3일~4일까지 먹통이 된 적이 있었다. 그 당시 정상적으로 접속이 되진 않았지만 그나마 서버가 살아있던 디씨뉴스의 디씨 공격관련기사에 수백개의 빨리 디씨 복구해주세요 현기증 난단 말이에요 라는 내용의 리플이 올라와 장관을 이룬 적이 있다.
  • 대학교수강신청 기간에는 아무도 의도하지 않았더라도 엄청난 양의 트래픽 때문에 이 공격을 당한 것과 비슷한 상태가 된다.

  • 엔젤하이로에서도 엔하 본관이 복구된 지 한 시간만에 또 터져서 게시판에 누군가에 대한 논쟁 중에서 DDoS 공격을 한 것으로 추측하고 있다. 한 시간만에 사이트 트래픽이 소모되는 것은 정상적인 웹서핑만으로는 불가능하기에. 그리고 결국 엔하 본관을 뻗게 만들었다. 엔젤하이로 임시볼트로 가자... 고 했으나 임시볼트마저 무너졌다. 일단 엔젤하이로 비상대책실로 재망명했으나 다시 임시볼트를 탈환해 엔젤하이로 알파센타우리라는 이름으로 부활. 하지만 2011년 들어 알파센타우리의 접속 불가 현상이 발생, 아예 엔하위키 도메인 자체에 게시판을 만들었다(...)

  • 2010년 10월 7일에는 아이템 거래중계 사이트에 중국 해커를 동원해 2008년 12월부터 2009년 2월까지 지속적인 디도스 공격을 감행해 사이트를 마비시키고 협박 등으로 4천만원 상당의 금품을 뜯어낸 경쟁사의 전 이사가 구속되었다.기사 바로가기

  • 2011년 4월에는 미러위키, 4camel, 스레딕이 동시에 털렸다. 덕분에 한동안 미러위키를 사용하지 못했다. 이제 다시 위키질을 하는 거야

  • 2012년 3월에는 10대 청소년 몇 명이 여성가족부의 행동이 맘에 안 든다는 이유로 여성가족부를 공격하는 일도 있었다.존나좋군? 거러취

  • 2012년 12월에는 당월 13일 좌파 사이트 연합 공격을 막아내었다는 승리감에 방심하고 있던 일베저장소가 다음날인 14일 약 40Gbps 정도 규모로 DDoS 공격을 받았다고 운영진이 밝혔다. 40Gbps는 일반적 규모를 초월한 것이라고.[7] 공식입장

  • 2013년 2월 19일에 다시 일베저장소가 DDoS 공격을 받았으나 이번에는 방어에 실패(...)하여 2월 20일 새벽까지 접속이 안되다가 아침이 돼서야 접속이 가능해졌다. 추가바람 [8] 4월 8일 다시 접속이 끊켰다.

  • 2013년 2월 25일 현재 국내 토렌트 사이트가 DDos 공격으로 서버 접속 불가 상태.수많은 야동러들이 절망했을듯?

  • 2013년 4월 8일 일베저장소가 DDoS 공격을 받아 0시부터 오후 3시 30분까지 서비스 장애가 이어졌다. 공지

  • 2013년 4월 18일 디시인사이드가 DDoS 공격을 받아 10시간 넘게 전 갤러리가 마비상태에 가까운 렉을 먹고 있다. 새벽에 잠시 복귀가 되었다가 19일 오전 10시부터 재공격을 받아 접속이 되고있지 않다 디시이슈

  • 2013년 6월 25일 오후 4시부터 일베저장소가 다운되었다. 해킹과 DDoS 공격을 동시에 받았으며 2013년 6월 26일 오전 9시에 복구하였으나 [9] 복구 후 현재도 서버 상태가 영 좋지 않다. 운영진에 따르면 공격을 방어 하면서 서비스 중이라 그렇다고 한다. 2013년 6월 26일 오후 4시 현재는 어느정도 안정된것으로 보인다.... 는 훼이크고 가끔 500 에러가 뜨고 심지어는 다른 사람이 쓴 글이 섞이는 이상한 현상이 잠시 발견되었으나 2013년 6월 27일 현재 속도도 평상시 속도로 돌아왔고 에러도 잘 안뜬다. 확실하게 서버가 안정화 된듯하나 아직 2차 공지가 나오지 않았다. 잠도 못자고 복구하느라 바쁜듯. 2차 공지 예측대로 6월 25일 새벽 4시에 백업해둔 데이터를 복구했으며 후에도 계속 공격을 당하기도 했었다.

  • 2013년 7월 1일 오후 7시 경부터 오늘의유머가 40기가 이상의 DDoS 공격을 받아 다운되었다. 공지 임시서버를 마련하여 약 8시 30분경 복구되었으나 복구 이후에도 속도가 약간 느렸고 [10] 로그인 문제등 여려가지 버그가 있었다. 당시 상황 사실 달렉공격이라는 설이 있다. 7월 3일 새벽부터 60기가 규모의 공격이 재개되어 2013년 7월 15일까지 이어졌다.

5. 관련 항목

6. DRDoS

DDoS (Distributed Denial of Service) 보다 한층 발전된 서비스 거부 공격 기술로 DRDoS (Distributed Reflection Denial of Service Attack, 분산 반사 서비스 거부 공격) 라는 공격 기술이 존재한다. 이 기술의 근간은 IP Spoofing으로, IP 프로토콜의 약점과 서버들의 응답성을 악용한 공격이다.

DRDoS의 공격 방식은 간단하다. IP 헤더에 들어가는 송신자 IP 주소를 희생자의 IP로 조작하여, 정상적인 서비스를 하는 서버들에게 요청을 보낸다.[11] 그렇게 하면 서버들은 송신자 IP를 보고 그 IP로 응답을 하므로 희생자에게 모든 응답이 돌아가게 되며 이를 반복하여 대량의 트래픽을 유발, DDoS 공격의 형태로 만든다. 여기서 IP가 위조된 트래픽을 받아 희생자에게 의도치 않게 공격을 가하게 되는 서버들을 반사체(Reflector), 또는 반사 서버(Reflection Server) 라고 하며, 인터넷 상에 연결 되어 외부의 요청에 대한 응답을 하는 어떠한 컴퓨터라도 반사체로 악용 될 가능성이 있다. 물론 여러분의 PC도 반사체가 될 수 있다.

DRDoS가 궁극적으로 일반적인 DDoS보다 강력한 이유는 크게 두가지가 있는데 반사체 (Reflector)를 사용하여 IP Spoofing을 적극적으로 사용하고, IP 주소가 위조되어 있으므로 실제 공격자의 추적이 극도로 어려워지며 [12] 이들의 응답성을 이용한 트래픽 증폭이라는 충격과 공포의 공격이 가능하다는것이다. 트래픽 증폭이 안되면 공격력은 DDoS와 똑같던지 오히려 손해를 보기 쉽다. 그러므로 단순히 DRDoS니까 강하다는 말은 사실이 아니다. 그렇다고 증폭이 된다고 해서 혼자서 서버를 수십개씩 터트린다느니 하는 것도 불가능하다. 개인이 낼 수 있는 증폭량도 한계가 있기 때문이다. [13]

특히 DRDoS의 증폭 특성은 적어도 수십배는 되며 많으면 수백배까지 트래픽 증폭이 가능하기 때문에 소규모의 좀비를 가지고도 대규모의 공격이 가능하며[14] 충분한 증폭량을 확보한 DRDoS는 좀비를 모을 것도 없이 공격자 단독으로도 상상 이상의 공격량을 만들어 낼 수 있다.[15]

이 역시 창과 방패의 싸움이 되기 마련인데, 좀비가 가미된 증폭된 DRDoS는 트래픽 규모가 워낙 크므로 통상적인 방법으로는 막기가 대단히 어렵지만 Anycast를 활용하여 300Gbps급의 세계 최대 규모 반사 DDoS를 방어한 사례도 있다. 이때 방어에 사용된 서버는 4대로, 75Gbps씩 분산 방어하였다. 이제 방어도 물량전으로 갈 듯.


2014년 2월 경, 프랑스에서 이보다 규모가 33% 증가한 400Gbps급의 DRDoS 공격이 발생하였다. 이번 DRDoS는 이전의 300Gbps급 DRDoS와 공격 방식이 다르며 더 규모를 키우기 용이했으며 CloudFlare에서 방어에 성공하였다. CloudFlare CEO는 최근 DDoS 공격의 규모가 빠르게 커지고 있음을 강조하였으며 블리자드의 배틀넷이나 리그 오브 레전드, EA의 Origin등의 DRDoS 공격의 표적이 되기 쉬운 회사들에게 주의를 당부하였다. 그 외에 같은 날에 OVH도 350Gbps의 공격을 받았다.

그러나 이런 화려함과 다르게 안타깝게도(?) DRDoS도 점점 입지가 좁아질 것이다. 안그래도 숫자가 적은 DRDoS 공격이 가능한 좀비는 지속적으로 줄어들것이기 때문이다.[16] 그에 반해 현재 Prolexic은 최대 1.8Tbps[17]급 공격을 방어하는 떡장갑을 두르고 있으며 CloudFlare도 위에 언급했던 400Gbps급 공격을 방어한 전적이 있다 과연 DRDoS를 넘어 점점 커지는 규모를 압도 할 만한 기술이 또 등장할지?
----
  • [1] 한국에 사이버 수사대가 하루의 500건의 사건을 해결하고 있다는것을 까먹지 말자.
  • [2] 개인 컴퓨터 레벨에서 이런 DDoS 공격을 받게 되면 간혹 블루스크린이 뜰 가능성은 있으나 이것은 소프트웨어적인 문제인거지 기계적으로 뭔가 이상이 있는것은 아니다. PC는 주는대로 받아먹는 서버도 아니고 어차피 ISP에서 QoS로 100Mbps가 넘는 트래픽은 PC로 넘겨주지 않는다.
  • [3] 주로 흔적을 지우기 위해 파괴 명령을 내린다.
  • [4] 좀비는 특정 컴퓨터(또는 서버)를 공격하기 위해 재사용 될 수 있기 때문에 일회용이 아닌 한 대부분의 경우 파괴되는 일은 많지 않다.
  • [5] 주변을 둘러보면 이런 일이 의외로 흔하다. 공인인증서는 주민번호와 마찬가지로 매우 중요한 개인정보이므로 주의하자.
  • [6] 자세히 설명하자면 당시 SQL 서버들의 취약점을 이용해 슬래머웜이 침투하여 혜화 전화국에 DDoS 공격을 하여 발생 한 것이다.
  • [7] 40Gbps도 전세계적으로 보자면 그리 강하지는 않다. 120~300Gbps의 트래픽이 상상이 되는가?
  • [8] 다만 위의 DDoS 공격 주장은 자신이 IDC 직원이라 주장하는 거짓이라 주장하고 있다.
  • [9] 공격받기 하루 전으로 복구한것으로 보임.
  • [10] 임시서버를 이용한 복구 이후에도 공격을 당했다고한다
  • [11] 요청으로 뭘 보낼지는 DRDoS의 구현 방식에 따라 다르다.
  • [12] 단순 IP Spoofing의 경우는 ISP의 지원을 받아 라우팅 경로를 역추적 당할 여지가 있으나 DRDoS는 반사체들에 의해 라우팅 경로가 산개 되므로 역추적도 어렵게 된다.
  • [13] 반사체는 일반적으로 수천개~수만개까지 사용하기 때문에 반사체 몇개 없어진다고 성능이 확 떨어지는건 아니며 애초에 반사체는 공격 매체일뿐, 그 숫자가 증폭량에 영향을 주지는 않는다. 증폭량을 결정하는건 구현 되어 있는 프로토콜이다. 반사체의 숫자는 분산력과 최대 공격력의 상한선을 결정한다.
  • [14] 증폭량은 DRDoS 구현 방식에 따라 다른데 인터넷에 흔히 알려진 정보와 달리 TCP와 ICMP는 서버 공격은 커녕 PC를 상대로도 버거운 수준으로 성능이 정말 나쁘다. 대체로 흔히 사용되는 타입은 50배~700배까지 트래픽 증폭이 가능하다.
  • [15] 여기서 좀비를 쓸 필요가 없다는 말을 좀비를 사용하지 않는다고 알아듣는건 DRDoS의 특징을 제데로 이해하지 못한 것이다. 당연히 DRDoS도 좀비를 이용해 공격망을 구성할 수 있으며 이렇게 되면 좀비 하나하나의 공격 능력이 말 그대로 기절 할 정도로 높아지기 때문에 국제적 규모의 DDoS 공격도 가능하다.
  • [16] 서비스 거부 공격과 관련된 문서를 본 사람들은 알겠지만 DRDoS의 기반이 되는 IP Spoofing은 오래전부터 즐겨 쓰이던 기술이고 해커의 추적을 힘들게 하기 때문에 전 세계적으로 차단하려고 하는 것은 당연하다.
  • [17] 무려 1800Gbps이며 400Gbps급 DRDoS 공격의 5배에 달하는 규모다. 이 회사의 홈페이지에 가보면 대놓고 1.8Tbps 라고 규모를 자랑할 정도.