Denial-of-Service(DoS) Attacks

IMS584 (네트워크보안)
Redbook – chapter 8
Fall, 2010
Prof. Huy Kang Kim

Denial-of-Service Attacks
• (Redbook chapter 8) by Aikaterini Mitrokotsa and Christos Douligeris
• The most challenge of today – DoS (denial of service attack)
– It consumes network or server’s availability
– The main aim of a DoS is the disruption of services
– the attack target resources - the fi le system space, the process space, the
network bandwidth, or the network connections.
• Distributed denial-of-service (DDoS) attacks add the many-to-one
dimension to the DoS problem, making the prevention and mitigation of
such attacks more difficult
• and the impact proportionally severe.
– The traffic is usually so aggregated that it is difficult to distinguish legitimate
packets from attack packets.
– the attack volume can be larger than the system can handle.
• The attacks achieve their desired effect by sending large amounts of
network traffic and by varying packet fields in order to avoid
characterization and tracing.
• Extremely sophisticated, “user-friendly,” and powerful DDoS toolkits are
available to potential attackers

DoS attack examples – the old types
• Ping of Death
• SYN Flooding
• Boink, Bonk, Teardrop
• Land
• Win Nuke
• Smurf, Fraggle
• Mail Bomb

DoS attack examples – SYN flooding
• Synk4
– 90년대 후반부터 가장 사랑받는 SYN flooding tool
• http://www.hoobie.net/security/exploits/hacking/synk4.c
– Just compile & run
• 컴파일 : gcc -o synk synk.c
• 공격 실행 : root# ./synk 0 172.16.0.3 80 80
– Source IP address – random spoofed
– Target IP : 172.16.0.3
– Target port 80
• 주목할 점:
– Source IP 를 0.0.0.0~255.255.255.255 까지 모두 spoofing 하는
데 걸리는 비용과 노력이 극히 적음
– 이론상 공격자 PC 의 network bandwidth 와 CPU 성능만큼 패킷
생성 및 전송

DoS attack examples – SYN flooding (defense)
• 아래와 같이 웹 서버가 초당 1000개 이상의 SYN 패킷을 받고
있었다.
앞으로 이런 유형의 공격을(DoS) 방어하기 위한 레지스트리
값을 설정하여라.
• C:>netstat -na | findstr ` SYN_RECEIVED`
TCP 211.241.82.71:80 6.55.194.236:51370 SYN_RECEIVED
TCP 211.241.82.71:80 16.192.252.18:22452 SYN_RECEIVED
TCP 211.241.82.71:80 49.5.243.221:52363 SYN_RECEIVED
TCP 211.241.82.71:80 50.145.99.80:46108 SYN_RECEIVED
TCP 211.241.82.71:80 51.53.109.147:28308 SYN_RECEIVED
TCP 211.241.82.71:80 61.58.85.212:52375 SYN_RECEIVED
TCP 211.241.82.71:80 63.33.85.135:32111 SYN_RECEIVED
TCP 211.241.82.71:80 67.206.19.195:28501 SYN_RECEIVED
TCP 211.241.82.71:80 68.79.239.155:42810 SYN_RECEIVED
TCP 211.241.82.71:80 221.29.79.118:36387 SYN_RECEIVED

DoS attack examples – SYN flooding (defense)
• Related windows registry key (Windows 2000 기준)
• HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ tc
pip\ parameters "
• name hex값(10진)
EnableICMPRedirect 0
SynattackProtect 2
TcpMaxHalfOpen 64(100)
TcpMaxHalfOpenRetried 64(100)
EnableDeadGWDetect 0
EnablePMTUDiscovery 0
KeepAliveTime 493e0(300000)
DisableIPSourceRouting 2
TcpMaxConnectResponseRetransmissions 2
TcpMaxDataRetransmissions 3
PerformRouterDiscovery 0
TcpMaxPortsExhausted 5
NoNameReleaseOnDemand 1

DoS attack examples – SYN flooding (defense)
• 관련 key 예제
레지스트리 값 항목 대책으로 인한 영향
악용 가능성
EnableICMPRedirect RRAS(라우팅 및 원격 액세스 서비스)가 ASBR(Autonomous System
Boundary Router)로 구성된 경우 연결된 인터페이스 서브넷 경로를 올
바로 가져올 수 없습니다. 대신 이 라우터는 OSPF(Open Shortest Path
First) 경로에 호스트 경로를 삽입합니다. OSPF 라우터를 ASBR 라우터
로 사용할 수 없기 때문에 연결된 인터페이스 서브넷 경로를 OSPF로 가
져오면 라우팅 테이블이 이상한 라우팅 경로와 혼동됩니다.
ICMP(Internet Control Message
Protocol) 리디렉션을 통해 스택은 호
스트 경로를 연결하게 됩니다. 이 경로
는 OSPF 생성 경로를 덮어씁니다.
이 동작 자체는 예상 가능한 것입니다.
문제는 ICMP 리디렉션 연결 경로의
10분 제한 시간으로 인해 관련 네트워
크에 블랙홀이 생긴다는 점입니다.
SynAttackProtect
KeepAliveTime
이 레지스트리 값은 TCP가 SYN-ACK 재전송을 조정하도록 합니다. 이 SYN 대규모 공격에서 공격자는 연속
값을 구성하면 SYN 공격이 발생할 경우 연결 응답이 더 빨리 시간 초과 SYN 패킷 스트림을 서버에 보내고 서
됩니다. 이 값은 연결 표시가 지연되도록 하여 SYN 공격이 진행될 때 버는 무력화되어 더 이상 합법적인 요
TCP 연결 요청이 더 빨리 시간 초과되도록 합니다. 이 설정을 구성하면 청에 응답할 수 없을 때까지 부분 공
초기 RTT(Round Trip Time) 및 창 크기 등 각 어댑터 소켓 옵션에 구성 개 연결을 열어 둡니다.
된 TCP 매개 변수 및 조정 가능한 창이 더 이상 작동하지 않습니다.
이 값은 TCP가 활성 상태 패킷을 보내 유휴 연결이 그대로 있음을 확인
하는 빈도를 결정합니다. 원격 컴퓨터에 여전히 연결 가능한 경우 TCP
는 활성 상태 패킷을 확인합니다.
기본적으로 활성 상태 패킷은 보내지지 않습니다. 프로그램을 통해 연
결 시 이 값을 구성할 수 있습니다. 이 값을 기본값인 2시간에서 5분으
로 낮추면 비활성 세션의 연결이 더 빨리 끊어집니다.
네트워크 응용 프로그램에 연결할 수
있는 공격자는 많은 연결을 설정하여
DoS 조건을 발생시킬 수 있습니다.
Reference:
http://www.microsoft.com/korea/technet/security/prodtech/windows2000/win2khg/05t
cpip.mspx#EYB

DoS attack examples – SYN flooding (defense)
• SYN flooding 공격
– 가장 단순하면서도 가장 위력적
– TCP IP 구조상의 헛점을 노림
• 대응방법 권고안
– OS level 에서 백 로그 큐 사이즈 늘임 (windows registry 수정,
UNIX 에서 ndd 커맨드 사용 커널 파라메터 튜닝)
– 시스템 튜닝, 메모리 증설
– 결론: 시스템 단에서의 튜닝을 통한 대응은 사실 백약이 무효
• 물론 효과가 아주 없는 것은 아니나 현실성이 너무 떨어짐

DoS attack example – application level (defense)
• Application 단에서의 방어 방식 (예)
• HTTP GET flooding attack
– Apache web server - mod_evasive 를 통한 방어
• http://www.zdziarski.com/blog/page_id=442
– 결론: application 단에서의 튜닝을 통한 대응은 백약이 무효
• 물론 효과가 아주 없는 것은 아니나 임계치 값 기반 대응
• Network bandwidth 자체가 consuming 이 된 경우 server 는 응답가
능한 상태라 할지라도, network 을 통한 통신 자체가 불가능

DoS attack examples – boink, bonk, teardrop
• Boink, Bonk, TearDrop
– Boink, Bonk, TearDrop은 패킷의 순서, 손실된 패킷의 유무, 손
실된 패킷의 재전송 요구 등 3가지 사항을 위반함으로써 공격 대
상 시스템에 DoS 공격을 가하는 것
– Boink, Bonk: Bonk는 처음 패킷을 1번으로 보낸 후 두 번째, 세 번째 패킷 모두 시퀀
스 넘버를 1번으로 조작해서 보냄, Boink 공격은 처음 패킷을 정상적으로 보내다가 중간에서
계속 일정한 시퀀스 넘버로 보냄
– TearDrop : 패킷을 겹치게 또는 일정한 간격의 데이터가 빠지게
전송

DoS attack examples – LAND attack
• LAND attack
– 패킷을 전송할 때 출발지 IP와 목적지 IP을 공격대상자의IP으로
보냄
– 시스템은 처음 시도된 Syn에 대한 Reply 패킷을 출발지 IP 주소
값을 참조하여 그 값을 목적지 IP 주소 값으로 설정하여 패킷을 보
낸다. 하지만 이 값은 자기자신의 IP 주소 값이므로 네트워크 밖으
로 나가지 않고 자신에게 다시 돌아온다.
– Syn Flooding처럼 동시 사용자 수를 점유, CPU 부하 증가
– Switch/Router 를 직접 공격하는데 이용되어서, 대부분의
network 장비 IOS 에서는 이를 차단하는 option 이 enable 되
어 있음

DoS attack example – mail bomb
• Mail bomb
– Mail server /var/spool/mail 디렉토리에 garbage mail 을 계속 생
성시켜서 더 이상 메일 수신을 받지 못하게 함
– /var partition 이 / partition 과 같은 partition 인 경우, 시스템 동
작에도 악영향을 미침

DoS attack example – local resource attacks
(defense)
• How to defend
– OS 의 process, disk quota 제약 기능을 이용
– E.g. Solaris 2.x /etc/system
– edquota command
• System 내에서의 방어는 H-IDPS, SecureOS 를 통해 쉽게
대응이 가능
– 피해가 발생하여도 해당 system 내부로 한정
• Network 단에서의 방어는 극히 어려운 상태
– 피해가 발생하면 network 내에 속한 모든 서버에 문제가 발생

Types of DoS attack (from textbook- redbook)
• 1. network device level - by taking advantage of bugs or
weaknesses in software or by exhausting the hardware
resources of network devices.
– a buffer overrun error in the password checking routine. Using
this, certain routers could crash if the connection to the router is
performed via telnet and extremely long passwords are entered.
source: pp.119, Chap.8 Network Security - current status and future directions, edited by Christos Douligeris et al.

Types of DoS attack (from textbook- redbook)
• 2. operating system (OS) level DoS attacks - take advantage of the
ways protocols are implemented by OSs.
– E.g. ping of death
• 3. Application-based attacks - try to settle a machine or a service
out of order either by exploiting bugs in network applications that
are running on the target host or by using such applications to drain
the resources of their victim.
– E.g. finger bomb , finger war by TCP/Wrapper
• 4. data flooding attacks - an attacker attempts to use the bandwidth
available to a network, host, or device at its greatest extent by
sending it massive quantities of data to process.
– E.g. flooding
• 5. protocol features attack - take advantage of certain standard
protocol features.
– E.g. several attacks exploit the fact that IP source addresses can be spoofed.
– E.g. attack the domain name system (DNS) cache on name servers.

DoS Defense problems
• 1. Highly Interdependent Internet security
– The Internet has few built-in protection mechanisms to deal with DoS
attacks. no matter how secure a host is, it is always under threat while the
rest of the Internet is insecure.
• 2. Inherently Difficult to Detect DoS Attacks
– Detecting the origin of DoS attacks is quite difficult. Taking advantage of the
stateless nature of the Internet, attackers use IP source address spoofing to
hide the identity of the attacking machines and hide their identity behind
handler machines.
• 3. limited resources
– The large number of packet streams that need to be generated in massive
DoS attacks require large amounts of resources. The systems and networks
that comprise the Internet are composed of limited resources that can be
easily exhausted during the detection of DoS attacks.
• 4. Automated Tools
– DoS tools are available on the Internet accompanied with instructions that
allow easy and effective use even from nontechnically skilled users.

DoS Defense problems (cont’)
• 5. target rich environments
– There are many hosts and networks in the Internet that are
vulnerable and may be exploited and provide fertile ground to
launch DoS attacks.
– Characteristics and requirements of DoS defense system
• High security – have to be ensured that a DoS defense system cannot
be used as a victim of a DoS attack.
• DoS defense system should be reliable in detecting DoS attacks and
have no false positives.
• DoS defense system should be efficient in detecting and responding to
a DoS attack in order to mitigate the effectiveness of the attack.
• DoS defense mechanism should be realistic in design and applicable in
existing security infrastructures without requiring important changes in
the Internet infrastructure.
• DoS defense mechanism should not require many resources and should
have low performance cost to avoid the degradation of the performance
of the attacked network.

DDoS attack example – concept
• 공격자(Attacker) : 공격을 주도하는
해커의 컴퓨터 (overmind)
• 마스터(Master)/핸들러 (handler)
– Master : 공격자에게서 직접 명령
을 받는 시스템으로 여러 대의 에이
전트(Agent)를 관리하는 시스템
– handler : Master에서 agent 를
다루는데 이용되는 프로그램
• Attack daemon/Agent
– Agent 공격대상(Target)에 직접
적인 공격을 가하는 시스템
– Attack daemon: Agent 에서 공
격 역할을 수행하는 프로그램
– Zombie hosts
• Victim hosts
source: pp.121, Chap.8 Network Security - current status and future directions, edited by Christos Douligeris et al.

DDoS attack example – the old type
1. Trinoo
-1999년 6월 말부터 7월 사이에 퍼지기 시작
- 미네소타 대학의 사고 주범, 원래 이름은 Trin00
- 처음 솔라리스 2.x 시스템에서 발견, 최소 227 개의 시스템이 공격에
쓰였던 것으로 알려져 있음
- UDP를 기본으로 하는 공격을 시행하며 rpc.statd, rpc.cmsd,
rpc.ttdb 데몬이 주 공격대상
주요 이용 포트
접속자 접속대상 프로토콜 포트
공격자 마스터 TCP 27665
마스터 에이전트 UDP 27444
에이전트 마스터 UDP 31335
에이전트 공격대상 UDP

DDoS attack example – the old type
2. TFN, TFN 2K
- Teletubby Flood Network
- Trinoo와 마찬가지로 ‘statd, cmsd, ttdb' 데몬의 취약점을 공격
- 마스터에 클라이언트라는 용어를 쓰고 있음, 클라이언트를 구동하면
패스워드가 사용되지 않고, 클라이언트와 데몬 간에는 ICMP Echo
Request 패킷이 사용되며, TCP, UDP 연결도 이루어지지 않는다. 따라
서 이를 모니터링하는 일은 쉽지 않다. 클라이언트의 각 명령은 ICMP
Echo Request 패킷에 16비트 이진수로 데몬에 전송되며, 시퀀스 넘버
는 0x0000으로 설정되어 있어, TCP Dump로 모니터링하면 ping의 최
초 패킷처럼 보이기 때문이다.
TFN은 공격자 시스템과 마스터 시스템간 연결이 암호문이 아닌 평문
으로 전달되는 약점을 가지고 있다. 이는 데이터가 다른 해커나 관리자
에게 스니핑되거나 세션 하이 재킹될 수 있으며, 공격자를 노출시키는
등 치명적일 수 있다.
20

DDoS attack example – the old type
TFN 2K의 특징
1. 통신에 특정 포트가 사용되지 않고 암호화되어 있으며, 프로그램에 의해
UDP, TCP, ICMP가 복합적으로 사용되며 포트 또한 임의로 결정된다.
2. TCP Syn Flooding, UDP Flooding, ICMP Flooding, Smurf 공격을 쓰고
있다.
3. 모든 명령은 CAST-256 알고리즘으로 암호화된다.
4. 지정된 TCP 포트에 백도어를 실행시킬 수 있다.
5. 데몬은 인스톨 시 자신의 프로세스 이름을 변경함으로써, 프로세스 모니터
링을 회피한다.
6. UDP 패킷의 헤더가 실제 UDP 패킷보다 3바이트만큼 더 크다.
7. TCP 패킷의 헤더의 길이는 항상 0이다. 정상적인 패킷이라면 절대로 0일
수 없다.
21

DDoS attack example – the old type
3. Stacheldraht
Stacheldraht는 독일어로서 '철조망'이라는 뜻이다 1999년 10월 처음
출현한 것으로 알려져 있으며, TFN을 발전시킨 형태다.
Stacheldraht 역시 TFN2K처럼 공격자와 마스터, 에이전트, 데몬과의
통신에 암호화 기능이 추가되었다. 공격자가 마스터에 접속하면, 마스
터는 현재 접속을 시도한 이가 올바른 공격자인지 확인하기 위해 패스
워드 입력을 요구한다. 이때 입력되는 패스워드는 최초 설치되기 전에
‘Authentication‘의 ‘Passphrase’를 사용하여 암호화된 상태로 공격자
에게서 핸들러로 보내진다.
22

DDoS attack procedures
• 1. selection of agents
• 2. compromise
• 3. communications
• 4. attack
• The latest generation of DDoS attacks do not wait for a
trigger from the aggressor but instead monitor a public
location on the Internet
– a chat room could be monitored and the attack may start
automatically as soon as a particular key word or phrase is typed.
– in this way the aggressor is more or less untraceable.
– IRC (Internet Relay Chat) channels are used to achieve
communication between the agents and the attacker
• Nowadays, IRC based DDoS is not usually used. (P2P or
obfuscated traffic are chosen)
– Old IRC based DDoS tool : Trinity, Plague, Knight and Kaiten

DDoS attack categories
source: pp.124, Chap.8 Network Security - current status and future directions, edited by Christos Douligeris et al.

DDoS attack categories – degree of automation
• Based on the degree of automation of the attack, DDoS
attacks can be divided into manual, semiautomatic, and
automatic attacks.
– The early DDoS attacks were manual
– Semi automatic attacks belong in the agent–handler attack
model, and the attacker scans and compromises the handlers
and agents by using automated scripts.
• Attacks with direct communication include attacks during which it is
necessary for the agent and handler to know each other’s identity in
order to communicate. This approach includes the hard coding of
the IP address of the handler machines.
– The main drawback - if the identity of one compromised host is
revealed the whole DDoS network may be exposed.
• Attacks with indirect communication achieve greater survivability.
Examples of this kind of attack are the IRC-based DDoS attacks.
– automatic DDoS attacks the attacker and agent machines do not
need to communicate.

DDoS attack categories – Exploited vulnerability
• Can be divided into flood attacks, amplification attacks,
protocol exploit attacks, and malformed packet attacks.
• flood attack
– the agents send a vast amount of IP traffic to a victim system in
order to congest the victim system’s bandwidth. The impact of
packet streams sent by the agents to the victim varies from
slowing it down or crashing the system to saturation of the
network bandwidth.
• UDP flood attacks and ICMP flood attacks
• UDP flood attack is possible when a large number of UDP packets
are sent to a victim system
• ICMP flood attacks exploit the ICMP, which enables users to send an
echo packet to a remote host to check whether it is alive
• agents send a large number of ICMP_ECHO_REPLY packets (“ping”)
to the victim.
• During an ICMP flood attack the technique of IP spoofing is used.

DDoS attack categories – amplification attacks
• the attacker or the agents exploit the broadcast IP address feature
that most routers have.
• This feature is exploited in order to achieve amplification and
reflection of attacks by sending messages to broadcast IP addresses.
– all the routers that are in the network sending the packets to all the IP
addresses that are in the broadcast range
• Reflector
– The intermediary nodes that are used as attack launchers in amplification
attacks
• During an amplification attack the attacker sends spoofed packets
that require responses to the reflectors. The source addresses of the
packets are spoofed with the address of the victim. After receiving
the spoofed packets, the reflectors respond to the victim accordingly.
– In an amplification attack some predetermined reflectors are necessary.
– The reflectors may be dispersed on the Internet
– The packets sent from the reflectors are normal packets with legitimate
origin and thus cannot be captured and eliminated through filtering and
route-based mechanisms.

DDoS attack categories – protocol
exploit/malformed attacks
• Protocol exploit attacks exploit a specific feature or
implementation bug of some protocol
• Malformed packet attacks
– rely on incorrectly formed IP packets that are sent from agents
to the victim that will lead to the crash of the victim’s system.
Malformed packet attacks can be divided into IP address attack
and IP packet options attack. In an IP address attack, the packet
has the same source and destination IP addresses.

DDoS attack categories - Attack Rate Dynamics
• Continuous-rate attacks
– comprise attacks that after the onset of the attack are executed
with full force and without a break or decrement of force. The
impact of such an attack is very quick.
• Variable-rate attacks,
– “vary the attack rate” and thus avoid detection and immediate
response.
• fluctuating-rate : it has a wavy rate that is defined by the victim’s
behavior and response to the attack, at times decreasing the rate to
avoid detection.
• Increasing-rate attacks gradually lead to the exhaustion of a victim’s
resources, something that may delay detection of the attack.

DDoS attack categories - Impact
• Disruptive attacks
– It leads to complete denial of the victim’s service to its clients.
• degrading attacks
– This results in delay of the detection of the attack and much
damage to the victim’s system.

현재의 DDoS 공격 방식과 과거 방식과의 차이
• 기본적인 원리는 다르지 않음
• 현재는 DDoS agent 확보의 효율을 위해
– 대규모 악성코드 전파 (SPAM, web site 해킹 후 악성 script 삽입
등) zombie PC 를 이용한 BOTNET 을 만드는 기법이 보다 정
교해 진 상태

DDoS attack defense mechanism
source: pp.128, Chap.8 Network Security - current status and future directions, edited
by Christos Douligeris et al.

DDoS attack defense mechanism
• First category (by activity)
– Intrusion prevention
– Intrusion detection
– Intrusion response
– Intrusion tolerance and mitigation
• Second category (by location)
– Victim network
– Intermediate network
– Source network

DDoS attack defense mechanism – intrusion
prevention
• Intrusion prevention
– attacking packets can be stopped before they cause serious damage.
– ingress filtering, egress filtering, route-based distributed packet
filtering, history-based IP (HIP) filtering
• In ingress filtering
– set up to block out of the network incoming packets with
illegitimate origin.
• Egress filtering
– filtering method on outbound traffic, which allows packets only from
a specific set of IP addresses to leave the network.
• Route-based distributed packet filtering
– an approach capable of filtering out a large portion of spoofed IP
packets and preventing attack packets from reaching their targets
as well as to help in IP traceback.
• HIP filtering
– the edge router admits the incoming packets according to a prebuilt
IP address database.

DDoS attack defense mechanism – intrusion
prevention
• Disabling unused services
– If network services are not needed or unused, the services should be disabled to prevent
attacks.
– (e.g.) if UDP echo is not required, disabling this service will make the system more secure
against this kind of attack.
• Applying security patches
– It can armor the hosts against DDoS attacks
• Changing the IP address is a simple way to guard against a DDoS attack.
– “moving the target defense.” All Internet and edge routers are informed when the IP
address is changed in order to drop malicious packets
– only for local DDoS attacks based on IP addresses.
– attackers can render this technique useless by adding a DNS tracing function to the DDoS
tool.
• disabling IP broadcasts
– Defense for reflectors in Smurf and ICMP flood attacks.
– can be effective only if all the neighboring networks have also disabled IP broadcasts.
• Load balancing
– a simple approach that enables network providers to increase the provided bandwidth on
critical connections and prevent their crash in case an attack is launched against them.
– Additional failsafe protection can be the replication of servers in case some crash during a
DDoS attack.
• Honeypots

DDoS attack defense mechanism – intrusion
detection
• Prevention is the utmost required way. Detection is the
second line.
– Anomaly detection
– Misuse detection
• Even detection is not easy
– Degradation of performance is not only from DoS attack

DDoS attack defense mechanism – intrusion
response
• IP traceback
– IP traceback traces the attacks back to their origin, so one can find
the true identity of the attacker and achieve detection of
asymmetric routes as well as path characterization.
– ICMP traceback, link-testing traceback, probabilistic packet marking
(PPM), hash-based IP traceback, Sleepy Traceback, and CenterTrack
• Traffic pattern analysis
– During a DDoS attack, traffic pattern data can be stored and then
analyzed after the attack in order to find specific characteristics and
features that may indicate an attack
• Analysis of event logs
– The selection of event logs recorded during the setup and the
execution of the attack can be used to discover the type of DDoS
attacks and do a forensic analysis.
– Log sources: Network equipment such as firewalls, packet sniffers,
server logs, and honeypots

DDoS attack defense mechanism – Intrusion
Tolerance and Mitigation
• We already know that it is impossible to prevent or stop
DDoS attacks completely
– Then, let’s just focus on minimizing the attack impact and
maximizing the quality of its services
• Fault tolerance
– it is a research area whose designs are built in critical
infrastructures and applied in three levels: hardware, software,
and system. Duplicating server, application or network resources
– Distribute resource in everywhere : CDN (Contents distribution
network)
• QoS
– the ability of a network to deliver predictable results for some
applications.
– Many intrusion-tolerant QoS techniques and intrusion-tolerant
QoS systems have been developed to mitigate DDoS attacks

Consensus Roadmap for Defeating Distributed
Denial of Service Attacks
• http://www.sans.org/dosstep/roadmap.php

Advices for writing your paper
• DDoS 에 대해서 좋은 논문을 쓰려면…
• Micro-level
– DDoS 탐지 알고리즘 개발
– Radomness 발생, DDoS 자체도 state-transition 이 있음을 착안
• ISP-wide view 를 보여주어야 함
• 다른 application 과의 연동성 주목
– 예: DDoS 는 zombie PC 에 의해 발견된다. DDoS 를 근본적으로
막는 것은 불가능하니 zombie PC 에서 C&C server 를 먼저 찾는
것
– Zombie PC 는 DDoS 만 보내는 것이 아니라 평소에는 spam mail
을 보내는데 이용됨
– Spam mail 의 75%~80% 는 Zombie PC 에 의해 보내짐
– Spam mail 을 tracking 하여 zombie PC 를 찾고 이를 통해 C&C
server 를 찾아보자

Reference sites for writing your paper
• CAIDA
– http://www.caida.org/research/security/
• Denial-of-Service Attack Backscatter
– Backscatter-2008 Dataset
– Backscatter-2007 Dataset
– Backscatter-2006 Dataset
– Backscatter-2004-2005 Dataset
– Backscatter-TOCS Dataset
• SCO Offline from Denial-of-Service Attack (2003)
– [DoS Attack] Around 2:50 AM PST Thursday morning, December 11, the
attacker(s) began to attack SCO's ftp (file transfer protocol) servers in addition to
continuing the web server attack. Together www.sco.com and ftp.sco.com
experienced a SYN flood of over 50,000 packet-per-second early Thursday
morning. By mid-morning Thursday (9 AM PST), the attack rate had reduced
considerably to around 3,700 packets per second. Throughout Thursday morning,
the ftp server received the brunt of the attack, although the high-intensity attack
on the ftp server lasted for a considerably shorter duration than the web server
attack. In spite of rumors that SCO has faked the denial-of-service attack to
implicate Linux users and garner sympathy from its critics, UCSD's Network
Telescope received more than 2.8 million response packets from SCO servers,
indicating that SCO responded to more than 700 million attack packets over 32
hours.

Reference sites for writing your paper
• http://imdc.datcat.org/
– Currently got some problems

BOT, BOTNET
• 봇(Bot) : 사용자의 PC를 감염시켜 감염된 PC와 시스템을 해커가 마
음대로 조종할 수 있게 하는 악성코드의 일종. 변종이 많고 감염여부
도 일반인들이 쉽게 인지할 수 없어 치료하기가 쉽지 않음
• 봇 마스터(Botmaster) : 악성 행위를 수행하도록 봇들에게 명령을 내
리는 프로세스
• 좀비 PC (zombie PC) : 봇(Bot) 에 감염되어 자신도 모르게 다양한 불
법 행위에 악용되는 PC. 좀비 PC는 PC 사용자가 모르는 사이에 해커
에 의해 원격 조정되며, DDoS 공격, 불법 프로그램의 유포, 스팸메일
발송, 개인정보 유출, 애드웨어 및 스파이웨어 설치 등에 악용됨
• 봇넷(Botnet) : 악성소프트웨어인 봇에 감염된 다수의 컴퓨터들이
봇과 조종자로 구성된 네트워크로 연결되어 있는 형태를 말한다

BOT/BOTNET 의 특징
• 좀비 컴퓨터를 망가트리진 않음 (자연계의 바이러스도 숙주를 직접
죽이지는 않음)
• 잠복 기간에는 특별한 증상 없음
• DDoS 공격, 정보 유출, 스팸, 취약성 스캔, 악성코드 유포
• IRC 방식 HTTP, P2P 방식으로 진화. 통신 프로토콜을 암호화 또는
자체 통신 프로토콜을 이용
– 봇 제어서버 (C&C)에 대한 추적/차단이 어려워지는 추세

왜 BOTNET 이 위험한가
• BOTNET 으로 할 수 있는 해킹/불법 행위
– 애드웨어 설치, 금융정보 수집, 피싱사이트 활용 등 금융범죄를 위한 정보수
집으로 활용
– 스팸발송의 대표적인 수단으로 활용(70~80% 차지)

왜 BOTNET 이 위험한가
• 봇넷을 통한 공격이 증가하고 있으며, 점차 범죄화 양상을 띰
– 서비스 업체에 협박하여 금품 갈취하는 사건 발생 증가
• ※ 게임 업체 웹사이트를 DDoS 공격해 서비스를 못 하게 한 후 협박해 돈을 갈취한 일
당 구속
• ※ 2007년 9월 말부터 20여일간 아이템베이 등 아이템 거래업체 서비스 장애 유발 및
현금요구 협박
• ※ 홍커(중국해커), “공격 안할게 돈내놔”, DDoS 공격으로 서버를 다운시키겠다고 협
박해 받아가는 상납금이 연간 10억원을 넘음(2008) 신고되지 않은 금액과
2009~2010 까지의 누계를 감안하면 수백억원에 이를 것으로 예상

아이템베이 공격 사례
• 외국자본이 포함된 아이템 중계사이트들의 난립
• 경쟁사간 공격을 BOTNET 을 이용하여 수행
• 결과적으로, 국내 아이템 거래 사이트들의 경영이 어려워짐
– 영세, 동종업계로부터 통일화된 목소리를 내기 어려움, 게임업계의
외면
• 관련 기사
• “DDoS 공격, P2P 사이트 노리는 까닭”, 아이뉴스24
• http://itnews.inews24.com/php/news_view.phpg_menu=020
200&g_serial=305058
• “아이템베이 DDoS 공격 범인은 경쟁사 임원”, 디지털타임즈
• http://www.dt.co.kr/contents.htmlarticle_no=201010070201
9931749002

BOTNET 프로그램의 대중화, 무료화
• 예: BlackEnergy (러시아 해커에 의해 제작)
– DDoS 공격, 악성코드 배포까지 쉽게 지원

BOTNET 의 유형
• 중앙집중형 명령/제어 방식에서 P2P 방식을 사용하는 분산형 명령/제어 방
식으로 발전
• 중앙집중형 방식에 있어서, 탐지 및 차단을 어렵게 하기 위해 IRC 방식에서
HTTP 방식으로 전환
• 탐지방해 : 암호 통신, 포트 변경, 명령/제어 서버의 주기적인 이주 등

BOTNET 의 유형 진화
• 명령/제어를 위해 2가지 이상의 프로토콜을 사용하는 하이브리드 형
태로 진화
– 2008년 2월 Damballa에서 보고된 P2P 봇넷(MayDay Worm)
– 봇 클라이언트와 C&C 서버는 기본적으로 HTTP를 이용하여 통신
– HTTP 채널을 생성하지 못할 경우 TCP 또는 암호화된 ICMP를 이용하여
봇들끼리 통신

BOTNET 의 유형 진화
• 다수의 중앙 집중 포인트(C&C서버)가 존재하는 하이브리드형태로
진화
– 다수의 C&C서버는 P2P 프로토콜을 이용해 명령을 전달 받음
– 봇에 감염된 좀비 PC는 초기 C&C접속 목록(Peer list)를 이용해 임의의
C&C로 접속
– 특정 C&C가 탐지되더라도 나머지 봇넷은 그대로 유지됨

좀비피씨 거래
• http://channel.pandora.tv/channel/video.ptvch_userid=yunhap&prgid=3570859
2
• (서울=연합뉴스) 박대한 기자 = 분산서비스거부(DDoS) 공격으로 인해 감염 PC에
대한 경각심이 높아진 가운데 이러한 감염 PC가 온라인에서 거래되면서 추가 범죄
에 활용되는 것으로 나타났다.
이와 관련 우리나라의 감염 PC는 온라인에서 1천대 당 평균 5달러라는 저렴한 가
격에 거래되는 것으로 조사됐다.
21일 정보통신연구진흥원에 따르면 보안 솔루션 업체인 핀잔소프트웨어(Finjan
Software)는 지난달 중순 발표한 보고서를 통해 감염 PC들이 골든 캐쉬 네트워크
(Golden Cash Network)와 같은 온라인 매매 플랫폼에서 거래되고 있다고 밝혔다.
• 감염 PC의 매입가격은 국가별로 차이가 있는데 우리나라와 일본, 중국 등 동아시
아 국가의 감염 PC는 1천대당 5달러 수준이었다.
네덜란드, 스웨덴, 캐나다, 불가리아, 프랑스, 터키 등은 1천대당 20달러, 독일, 스페
인은 30달러, 미국은 50달러, 영국은 60달러, 호주는 100달러 수준에서 매입되는
것으로 조사됐다.
사이버 판매자들은 일반적인 경제활동과 마찬가지로 낮은 가격에 감염 PC를 매입
해 높은 가격에 판매하는데, 예를 들어 호주의 경우 감염 PC는 1천대 당 500달러
정도에 판매되면서 판매자가 400달러 정도의 차익을 남기는 것으로 나타났다.
보고서는 "감염 PC는 더 이상 개별 사이버 범죄에 이용되는 일회성 자산이 아니라
사이버 범죄자들이 몇 번이고 반복해서 온라인을 통해 거래할 수 있는 디지털 자
산으로 전환되고 있다"면서 "이 PC는 새 소유자에 의해 구매될 때마다 악성소프트
웨어에 감염된 뒤 다른 소유자에게 팔릴 가능성이 있다"고 진단했다.

BOTNET 간 전쟁
• 전통 봇넷 "Zeus“ vs 신흥 봇넷 "EYEBOT" (2010.4.9,
TRENDMICRO 사 보고서)
– Zeus : z-bot 악성코드를 이용하여 확산
– Eyebot : z-bot 의 활동을 감시/차단
• Eyebot 이 zeus bot 의 활동을 감시하는 기능 포함
• Why

결론
• BOTNET 의 위험성
• BOTNET 기술과 대응기술은 계속 상호 진화 중
• 터미네이터 – 스카이넷
• 활발히 연구가 진행되고 있는 분야
• 개인사용자들의 PC 보안 관리 효과 >> ISP, 정부차원의
네트워크 단의 보안효과

References
• www.botnet.co.kr
• 봇넷 대응 기술 동향 – 원유재, KISA