Denial-of-Service(DoS) Attacks
Denial-of-Service(DoS) Attacks
Denial-of-Service(DoS) Attacks
- No tags were found...
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
IMS584 (네트워크보안)<br />
Redbook – chapter 8<br />
Fall, 2010<br />
Pr<strong>of</strong>. Huy Kang Kim
<strong>Denial</strong>-<strong>of</strong>-<strong>Service</strong> <strong>Attacks</strong><br />
• (Redbook chapter 8) by Aikaterini Mitrokotsa and Christos Douligeris<br />
• The most challenge <strong>of</strong> today – <strong>DoS</strong> (denial <strong>of</strong> service attack)<br />
– It consumes network or server’s availability<br />
– The main aim <strong>of</strong> a <strong>DoS</strong> is the disruption <strong>of</strong> services<br />
– the attack target resources - the fi le system space, the process space, the<br />
network bandwidth, or the network connections.<br />
• Distributed denial-<strong>of</strong>-service (D<strong>DoS</strong>) attacks add the many-to-one<br />
dimension to the <strong>DoS</strong> problem, making the prevention and mitigation <strong>of</strong><br />
such attacks more difficult<br />
• and the impact proportionally severe.<br />
– The traffic is usually so aggregated that it is difficult to distinguish legitimate<br />
packets from attack packets.<br />
– the attack volume can be larger than the system can handle.<br />
• The attacks achieve their desired effect by sending large amounts <strong>of</strong><br />
network traffic and by varying packet fields in order to avoid<br />
characterization and tracing.<br />
• Extremely sophisticated, “user-friendly,” and powerful D<strong>DoS</strong> toolkits are<br />
available to potential attackers
<strong>DoS</strong> attack examples – the old types<br />
• Ping <strong>of</strong> Death<br />
• SYN Flooding<br />
• Boink, Bonk, Teardrop<br />
• Land<br />
• Win Nuke<br />
• Smurf, Fraggle<br />
• Mail Bomb
<strong>DoS</strong> attack examples – SYN flooding<br />
• Synk4<br />
– 90년대 후반부터 가장 사랑받는 SYN flooding tool<br />
• http://www.hoobie.net/security/exploits/hacking/synk4.c<br />
– Just compile & run<br />
• 컴파일 : gcc -o synk synk.c<br />
• 공격 실행 : root# ./synk 0 172.16.0.3 80 80<br />
– Source IP address – random spo<strong>of</strong>ed<br />
– Target IP : 172.16.0.3<br />
– Target port 80<br />
• 주목할 점:<br />
– Source IP 를 0.0.0.0~255.255.255.255 까지 모두 spo<strong>of</strong>ing 하는<br />
데 걸리는 비용과 노력이 극히 적음<br />
– 이론상 공격자 PC 의 network bandwidth 와 CPU 성능만큼 패킷<br />
생성 및 전송
<strong>DoS</strong> attack examples – SYN flooding (defense)<br />
• 아래와 같이 웹 서버가 초당 1000개 이상의 SYN 패킷을 받고<br />
있었다.<br />
앞으로 이런 유형의 공격을(<strong>DoS</strong>) 방어하기 위한 레지스트리<br />
값을 설정하여라.<br />
• C:>netstat -na | findstr ` SYN_RECEIVED`<br />
TCP 211.241.82.71:80 6.55.194.236:51370 SYN_RECEIVED<br />
TCP 211.241.82.71:80 16.192.252.18:22452 SYN_RECEIVED<br />
TCP 211.241.82.71:80 49.5.243.221:52363 SYN_RECEIVED<br />
TCP 211.241.82.71:80 50.145.99.80:46108 SYN_RECEIVED<br />
TCP 211.241.82.71:80 51.53.109.147:28308 SYN_RECEIVED<br />
TCP 211.241.82.71:80 61.58.85.212:52375 SYN_RECEIVED<br />
TCP 211.241.82.71:80 63.33.85.135:32111 SYN_RECEIVED<br />
TCP 211.241.82.71:80 67.206.19.195:28501 SYN_RECEIVED<br />
TCP 211.241.82.71:80 68.79.239.155:42810 SYN_RECEIVED<br />
TCP 211.241.82.71:80 221.29.79.118:36387 SYN_RECEIVED
<strong>DoS</strong> attack examples – SYN flooding (defense)<br />
• Related windows registry key (Windows 2000 기준)<br />
• HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ <strong>Service</strong>s\ tc<br />
pip\ parameters "<br />
• name hex값(10진)<br />
EnableICMPRedirect 0<br />
SynattackProtect 2<br />
TcpMaxHalfOpen 64(100)<br />
TcpMaxHalfOpenRetried 64(100)<br />
EnableDeadGWDetect 0<br />
EnablePMTUDiscovery 0<br />
KeepAliveTime 493e0(300000)<br />
DisableIPSourceRouting 2<br />
TcpMaxConnectResponseRetransmissions 2<br />
TcpMaxDataRetransmissions 3<br />
PerformRouterDiscovery 0<br />
TcpMaxPortsExhausted 5<br />
NoNameReleaseOnDemand 1
<strong>DoS</strong> attack examples – SYN flooding (defense)<br />
• 관련 key 예제<br />
레지스트리 값 항목 대책으로 인한 영향<br />
악용 가능성<br />
EnableICMPRedirect RRAS(라우팅 및 원격 액세스 서비스)가 ASBR(Autonomous System<br />
Boundary Router)로 구성된 경우 연결된 인터페이스 서브넷 경로를 올<br />
바로 가져올 수 없습니다. 대신 이 라우터는 OSPF(Open Shortest Path<br />
First) 경로에 호스트 경로를 삽입합니다. OSPF 라우터를 ASBR 라우터<br />
로 사용할 수 없기 때문에 연결된 인터페이스 서브넷 경로를 OSPF로 가<br />
져오면 라우팅 테이블이 이상한 라우팅 경로와 혼동됩니다.<br />
ICMP(Internet Control Message<br />
Protocol) 리디렉션을 통해 스택은 호<br />
스트 경로를 연결하게 됩니다. 이 경로<br />
는 OSPF 생성 경로를 덮어씁니다.<br />
이 동작 자체는 예상 가능한 것입니다.<br />
문제는 ICMP 리디렉션 연결 경로의<br />
10분 제한 시간으로 인해 관련 네트워<br />
크에 블랙홀이 생긴다는 점입니다.<br />
SynAttackProtect<br />
KeepAliveTime<br />
이 레지스트리 값은 TCP가 SYN-ACK 재전송을 조정하도록 합니다. 이 SYN 대규모 공격에서 공격자는 연속<br />
값을 구성하면 SYN 공격이 발생할 경우 연결 응답이 더 빨리 시간 초과 SYN 패킷 스트림을 서버에 보내고 서<br />
됩니다. 이 값은 연결 표시가 지연되도록 하여 SYN 공격이 진행될 때 버는 무력화되어 더 이상 합법적인 요<br />
TCP 연결 요청이 더 빨리 시간 초과되도록 합니다. 이 설정을 구성하면 청에 응답할 수 없을 때까지 부분 공<br />
초기 RTT(Round Trip Time) 및 창 크기 등 각 어댑터 소켓 옵션에 구성 개 연결을 열어 둡니다.<br />
된 TCP 매개 변수 및 조정 가능한 창이 더 이상 작동하지 않습니다.<br />
이 값은 TCP가 활성 상태 패킷을 보내 유휴 연결이 그대로 있음을 확인<br />
하는 빈도를 결정합니다. 원격 컴퓨터에 여전히 연결 가능한 경우 TCP<br />
는 활성 상태 패킷을 확인합니다.<br />
기본적으로 활성 상태 패킷은 보내지지 않습니다. 프로그램을 통해 연<br />
결 시 이 값을 구성할 수 있습니다. 이 값을 기본값인 2시간에서 5분으<br />
로 낮추면 비활성 세션의 연결이 더 빨리 끊어집니다.<br />
네트워크 응용 프로그램에 연결할 수<br />
있는 공격자는 많은 연결을 설정하여<br />
<strong>DoS</strong> 조건을 발생시킬 수 있습니다.<br />
Reference:<br />
http://www.micros<strong>of</strong>t.com/korea/technet/security/prodtech/windows2000/win2khg/05t<br />
cpip.mspx#EYB
<strong>DoS</strong> attack examples – SYN flooding (defense)<br />
• SYN flooding 공격<br />
– 가장 단순하면서도 가장 위력적<br />
– TCP IP 구조상의 헛점을 노림<br />
• 대응방법 권고안<br />
– OS level 에서 백 로그 큐 사이즈 늘임 (windows registry 수정,<br />
UNIX 에서 ndd 커맨드 사용 커널 파라메터 튜닝)<br />
– 시스템 튜닝, 메모리 증설<br />
– 결론: 시스템 단에서의 튜닝을 통한 대응은 사실 백약이 무효<br />
• 물론 효과가 아주 없는 것은 아니나 현실성이 너무 떨어짐
<strong>DoS</strong> attack example – application level (defense)<br />
• Application 단에서의 방어 방식 (예)<br />
• HTTP GET flooding attack<br />
– Apache web server - mod_evasive 를 통한 방어<br />
• http://www.zdziarski.com/blog/page_id=442<br />
– 결론: application 단에서의 튜닝을 통한 대응은 백약이 무효<br />
• 물론 효과가 아주 없는 것은 아니나 임계치 값 기반 대응<br />
• Network bandwidth 자체가 consuming 이 된 경우 server 는 응답가<br />
능한 상태라 할지라도, network 을 통한 통신 자체가 불가능
<strong>DoS</strong> attack examples – boink, bonk, teardrop<br />
• Boink, Bonk, TearDrop<br />
– Boink, Bonk, TearDrop은 패킷의 순서, 손실된 패킷의 유무, 손<br />
실된 패킷의 재전송 요구 등 3가지 사항을 위반함으로써 공격 대<br />
상 시스템에 <strong>DoS</strong> 공격을 가하는 것<br />
– Boink, Bonk: Bonk는 처음 패킷을 1번으로 보낸 후 두 번째, 세 번째 패킷 모두 시퀀<br />
스 넘버를 1번으로 조작해서 보냄, Boink 공격은 처음 패킷을 정상적으로 보내다가 중간에서<br />
계속 일정한 시퀀스 넘버로 보냄<br />
– TearDrop : 패킷을 겹치게 또는 일정한 간격의 데이터가 빠지게<br />
전송
<strong>DoS</strong> attack examples – LAND attack<br />
• LAND attack<br />
– 패킷을 전송할 때 출발지 IP와 목적지 IP을 공격대상자의IP으로<br />
보냄<br />
– 시스템은 처음 시도된 Syn에 대한 Reply 패킷을 출발지 IP 주소<br />
값을 참조하여 그 값을 목적지 IP 주소 값으로 설정하여 패킷을 보<br />
낸다. 하지만 이 값은 자기자신의 IP 주소 값이므로 네트워크 밖으<br />
로 나가지 않고 자신에게 다시 돌아온다.<br />
– Syn Flooding처럼 동시 사용자 수를 점유, CPU 부하 증가<br />
– Switch/Router 를 직접 공격하는데 이용되어서, 대부분의<br />
network 장비 IOS 에서는 이를 차단하는 option 이 enable 되<br />
어 있음
<strong>DoS</strong> attack example – mail bomb<br />
• Mail bomb<br />
– Mail server /var/spool/mail 디렉토리에 garbage mail 을 계속 생<br />
성시켜서 더 이상 메일 수신을 받지 못하게 함<br />
– /var partition 이 / partition 과 같은 partition 인 경우, 시스템 동<br />
작에도 악영향을 미침
<strong>DoS</strong> attack example – local resource attacks<br />
(defense)<br />
• How to defend<br />
– OS 의 process, disk quota 제약 기능을 이용<br />
– E.g. Solaris 2.x /etc/system<br />
– edquota command<br />
• System 내에서의 방어는 H-IDPS, SecureOS 를 통해 쉽게<br />
대응이 가능<br />
– 피해가 발생하여도 해당 system 내부로 한정<br />
• Network 단에서의 방어는 극히 어려운 상태<br />
– 피해가 발생하면 network 내에 속한 모든 서버에 문제가 발생
Types <strong>of</strong> <strong>DoS</strong> attack (from textbook- redbook)<br />
• 1. network device level - by taking advantage <strong>of</strong> bugs or<br />
weaknesses in s<strong>of</strong>tware or by exhausting the hardware<br />
resources <strong>of</strong> network devices.<br />
– a buffer overrun error in the password checking routine. Using<br />
this, certain routers could crash if the connection to the router is<br />
performed via telnet and extremely long passwords are entered.<br />
source: pp.119, Chap.8 Network Security - current status and future directions, edited by Christos Douligeris et al.
Types <strong>of</strong> <strong>DoS</strong> attack (from textbook- redbook)<br />
• 2. operating system (OS) level <strong>DoS</strong> attacks - take advantage <strong>of</strong> the<br />
ways protocols are implemented by OSs.<br />
– E.g. ping <strong>of</strong> death<br />
• 3. Application-based attacks - try to settle a machine or a service<br />
out <strong>of</strong> order either by exploiting bugs in network applications that<br />
are running on the target host or by using such applications to drain<br />
the resources <strong>of</strong> their victim.<br />
– E.g. finger bomb , finger war by TCP/Wrapper<br />
• 4. data flooding attacks - an attacker attempts to use the bandwidth<br />
available to a network, host, or device at its greatest extent by<br />
sending it massive quantities <strong>of</strong> data to process.<br />
– E.g. flooding<br />
• 5. protocol features attack - take advantage <strong>of</strong> certain standard<br />
protocol features.<br />
– E.g. several attacks exploit the fact that IP source addresses can be spo<strong>of</strong>ed.<br />
– E.g. attack the domain name system (DNS) cache on name servers.
<strong>DoS</strong> Defense problems<br />
• 1. Highly Interdependent Internet security<br />
– The Internet has few built-in protection mechanisms to deal with <strong>DoS</strong><br />
attacks. no matter how secure a host is, it is always under threat while the<br />
rest <strong>of</strong> the Internet is insecure.<br />
• 2. Inherently Difficult to Detect <strong>DoS</strong> <strong>Attacks</strong><br />
– Detecting the origin <strong>of</strong> <strong>DoS</strong> attacks is quite difficult. Taking advantage <strong>of</strong> the<br />
stateless nature <strong>of</strong> the Internet, attackers use IP source address spo<strong>of</strong>ing to<br />
hide the identity <strong>of</strong> the attacking machines and hide their identity behind<br />
handler machines.<br />
• 3. limited resources<br />
– The large number <strong>of</strong> packet streams that need to be generated in massive<br />
<strong>DoS</strong> attacks require large amounts <strong>of</strong> resources. The systems and networks<br />
that comprise the Internet are composed <strong>of</strong> limited resources that can be<br />
easily exhausted during the detection <strong>of</strong> <strong>DoS</strong> attacks.<br />
• 4. Automated Tools<br />
– <strong>DoS</strong> tools are available on the Internet accompanied with instructions that<br />
allow easy and effective use even from nontechnically skilled users.
<strong>DoS</strong> Defense problems (cont’)<br />
• 5. target rich environments<br />
– There are many hosts and networks in the Internet that are<br />
vulnerable and may be exploited and provide fertile ground to<br />
launch <strong>DoS</strong> attacks.<br />
– Characteristics and requirements <strong>of</strong> <strong>DoS</strong> defense system<br />
• High security – have to be ensured that a <strong>DoS</strong> defense system cannot<br />
be used as a victim <strong>of</strong> a <strong>DoS</strong> attack.<br />
• <strong>DoS</strong> defense system should be reliable in detecting <strong>DoS</strong> attacks and<br />
have no false positives.<br />
• <strong>DoS</strong> defense system should be efficient in detecting and responding to<br />
a <strong>DoS</strong> attack in order to mitigate the effectiveness <strong>of</strong> the attack.<br />
• <strong>DoS</strong> defense mechanism should be realistic in design and applicable in<br />
existing security infrastructures without requiring important changes in<br />
the Internet infrastructure.<br />
• <strong>DoS</strong> defense mechanism should not require many resources and should<br />
have low performance cost to avoid the degradation <strong>of</strong> the performance<br />
<strong>of</strong> the attacked network.
D<strong>DoS</strong> attack example – concept<br />
• 공격자(Attacker) : 공격을 주도하는<br />
해커의 컴퓨터 (overmind)<br />
• 마스터(Master)/핸들러 (handler)<br />
– Master : 공격자에게서 직접 명령<br />
을 받는 시스템으로 여러 대의 에이<br />
전트(Agent)를 관리하는 시스템<br />
– handler : Master에서 agent 를<br />
다루는데 이용되는 프로그램<br />
• Attack daemon/Agent<br />
– Agent 공격대상(Target)에 직접<br />
적인 공격을 가하는 시스템<br />
– Attack daemon: Agent 에서 공<br />
격 역할을 수행하는 프로그램<br />
– Zombie hosts<br />
• Victim hosts<br />
source: pp.121, Chap.8 Network Security - current status and future directions, edited by Christos Douligeris et al.
D<strong>DoS</strong> attack example – the old type<br />
1. Trinoo<br />
-1999년 6월 말부터 7월 사이에 퍼지기 시작<br />
- 미네소타 대학의 사고 주범, 원래 이름은 Trin00<br />
- 처음 솔라리스 2.x 시스템에서 발견, 최소 227 개의 시스템이 공격에<br />
쓰였던 것으로 알려져 있음<br />
- UDP를 기본으로 하는 공격을 시행하며 rpc.statd, rpc.cmsd,<br />
rpc.ttdb 데몬이 주 공격대상<br />
주요 이용 포트<br />
접속자 접속대상 프로토콜 포트<br />
공격자 마스터 TCP 27665<br />
마스터 에이전트 UDP 27444<br />
에이전트 마스터 UDP 31335<br />
에이전트 공격대상 UDP
D<strong>DoS</strong> attack example – the old type<br />
2. TFN, TFN 2K<br />
- Teletubby Flood Network<br />
- Trinoo와 마찬가지로 ‘statd, cmsd, ttdb' 데몬의 취약점을 공격<br />
- 마스터에 클라이언트라는 용어를 쓰고 있음, 클라이언트를 구동하면<br />
패스워드가 사용되지 않고, 클라이언트와 데몬 간에는 ICMP Echo<br />
Request 패킷이 사용되며, TCP, UDP 연결도 이루어지지 않는다. 따라<br />
서 이를 모니터링하는 일은 쉽지 않다. 클라이언트의 각 명령은 ICMP<br />
Echo Request 패킷에 16비트 이진수로 데몬에 전송되며, 시퀀스 넘버<br />
는 0x0000으로 설정되어 있어, TCP Dump로 모니터링하면 ping의 최<br />
초 패킷처럼 보이기 때문이다.<br />
TFN은 공격자 시스템과 마스터 시스템간 연결이 암호문이 아닌 평문<br />
으로 전달되는 약점을 가지고 있다. 이는 데이터가 다른 해커나 관리자<br />
에게 스니핑되거나 세션 하이 재킹될 수 있으며, 공격자를 노출시키는<br />
등 치명적일 수 있다.<br />
20
D<strong>DoS</strong> attack example – the old type<br />
TFN 2K의 특징<br />
1. 통신에 특정 포트가 사용되지 않고 암호화되어 있으며, 프로그램에 의해<br />
UDP, TCP, ICMP가 복합적으로 사용되며 포트 또한 임의로 결정된다.<br />
2. TCP Syn Flooding, UDP Flooding, ICMP Flooding, Smurf 공격을 쓰고<br />
있다.<br />
3. 모든 명령은 CAST-256 알고리즘으로 암호화된다.<br />
4. 지정된 TCP 포트에 백도어를 실행시킬 수 있다.<br />
5. 데몬은 인스톨 시 자신의 프로세스 이름을 변경함으로써, 프로세스 모니터<br />
링을 회피한다.<br />
6. UDP 패킷의 헤더가 실제 UDP 패킷보다 3바이트만큼 더 크다.<br />
7. TCP 패킷의 헤더의 길이는 항상 0이다. 정상적인 패킷이라면 절대로 0일<br />
수 없다.<br />
21
D<strong>DoS</strong> attack example – the old type<br />
3. Stacheldraht<br />
Stacheldraht는 독일어로서 '철조망'이라는 뜻이다 1999년 10월 처음<br />
출현한 것으로 알려져 있으며, TFN을 발전시킨 형태다.<br />
Stacheldraht 역시 TFN2K처럼 공격자와 마스터, 에이전트, 데몬과의<br />
통신에 암호화 기능이 추가되었다. 공격자가 마스터에 접속하면, 마스<br />
터는 현재 접속을 시도한 이가 올바른 공격자인지 확인하기 위해 패스<br />
워드 입력을 요구한다. 이때 입력되는 패스워드는 최초 설치되기 전에<br />
‘Authentication‘의 ‘Passphrase’를 사용하여 암호화된 상태로 공격자<br />
에게서 핸들러로 보내진다.<br />
22
D<strong>DoS</strong> attack procedures<br />
• 1. selection <strong>of</strong> agents<br />
• 2. compromise<br />
• 3. communications<br />
• 4. attack<br />
• The latest generation <strong>of</strong> D<strong>DoS</strong> attacks do not wait for a<br />
trigger from the aggressor but instead monitor a public<br />
location on the Internet<br />
– a chat room could be monitored and the attack may start<br />
automatically as soon as a particular key word or phrase is typed.<br />
– in this way the aggressor is more or less untraceable.<br />
– IRC (Internet Relay Chat) channels are used to achieve<br />
communication between the agents and the attacker<br />
• Nowadays, IRC based D<strong>DoS</strong> is not usually used. (P2P or<br />
obfuscated traffic are chosen)<br />
– Old IRC based D<strong>DoS</strong> tool : Trinity, Plague, Knight and Kaiten
D<strong>DoS</strong> attack categories<br />
source: pp.124, Chap.8 Network Security - current status and future directions, edited by Christos Douligeris et al.
D<strong>DoS</strong> attack categories – degree <strong>of</strong> automation<br />
• Based on the degree <strong>of</strong> automation <strong>of</strong> the attack, D<strong>DoS</strong><br />
attacks can be divided into manual, semiautomatic, and<br />
automatic attacks.<br />
– The early D<strong>DoS</strong> attacks were manual<br />
– Semi automatic attacks belong in the agent–handler attack<br />
model, and the attacker scans and compromises the handlers<br />
and agents by using automated scripts.<br />
• <strong>Attacks</strong> with direct communication include attacks during which it is<br />
necessary for the agent and handler to know each other’s identity in<br />
order to communicate. This approach includes the hard coding <strong>of</strong><br />
the IP address <strong>of</strong> the handler machines.<br />
– The main drawback - if the identity <strong>of</strong> one compromised host is<br />
revealed the whole D<strong>DoS</strong> network may be exposed.<br />
• <strong>Attacks</strong> with indirect communication achieve greater survivability.<br />
Examples <strong>of</strong> this kind <strong>of</strong> attack are the IRC-based D<strong>DoS</strong> attacks.<br />
– automatic D<strong>DoS</strong> attacks the attacker and agent machines do not<br />
need to communicate.
D<strong>DoS</strong> attack categories – Exploited vulnerability<br />
• Can be divided into flood attacks, amplification attacks,<br />
protocol exploit attacks, and malformed packet attacks.<br />
• flood attack<br />
– the agents send a vast amount <strong>of</strong> IP traffic to a victim system in<br />
order to congest the victim system’s bandwidth. The impact <strong>of</strong><br />
packet streams sent by the agents to the victim varies from<br />
slowing it down or crashing the system to saturation <strong>of</strong> the<br />
network bandwidth.<br />
• UDP flood attacks and ICMP flood attacks<br />
• UDP flood attack is possible when a large number <strong>of</strong> UDP packets<br />
are sent to a victim system<br />
• ICMP flood attacks exploit the ICMP, which enables users to send an<br />
echo packet to a remote host to check whether it is alive<br />
• agents send a large number <strong>of</strong> ICMP_ECHO_REPLY packets (“ping”)<br />
to the victim.<br />
• During an ICMP flood attack the technique <strong>of</strong> IP spo<strong>of</strong>ing is used.
D<strong>DoS</strong> attack categories – amplification attacks<br />
• the attacker or the agents exploit the broadcast IP address feature<br />
that most routers have.<br />
• This feature is exploited in order to achieve amplification and<br />
reflection <strong>of</strong> attacks by sending messages to broadcast IP addresses.<br />
– all the routers that are in the network sending the packets to all the IP<br />
addresses that are in the broadcast range<br />
• Reflector<br />
– The intermediary nodes that are used as attack launchers in amplification<br />
attacks<br />
• During an amplification attack the attacker sends spo<strong>of</strong>ed packets<br />
that require responses to the reflectors. The source addresses <strong>of</strong> the<br />
packets are spo<strong>of</strong>ed with the address <strong>of</strong> the victim. After receiving<br />
the spo<strong>of</strong>ed packets, the reflectors respond to the victim accordingly.<br />
– In an amplification attack some predetermined reflectors are necessary.<br />
– The reflectors may be dispersed on the Internet<br />
– The packets sent from the reflectors are normal packets with legitimate<br />
origin and thus cannot be captured and eliminated through filtering and<br />
route-based mechanisms.
D<strong>DoS</strong> attack categories – protocol<br />
exploit/malformed attacks<br />
• Protocol exploit attacks exploit a specific feature or<br />
implementation bug <strong>of</strong> some protocol<br />
• Malformed packet attacks<br />
– rely on incorrectly formed IP packets that are sent from agents<br />
to the victim that will lead to the crash <strong>of</strong> the victim’s system.<br />
Malformed packet attacks can be divided into IP address attack<br />
and IP packet options attack. In an IP address attack, the packet<br />
has the same source and destination IP addresses.
D<strong>DoS</strong> attack categories - Attack Rate Dynamics<br />
• Continuous-rate attacks<br />
– comprise attacks that after the onset <strong>of</strong> the attack are executed<br />
with full force and without a break or decrement <strong>of</strong> force. The<br />
impact <strong>of</strong> such an attack is very quick.<br />
• Variable-rate attacks,<br />
– “vary the attack rate” and thus avoid detection and immediate<br />
response.<br />
• fluctuating-rate : it has a wavy rate that is defined by the victim’s<br />
behavior and response to the attack, at times decreasing the rate to<br />
avoid detection.<br />
• Increasing-rate attacks gradually lead to the exhaustion <strong>of</strong> a victim’s<br />
resources, something that may delay detection <strong>of</strong> the attack.
D<strong>DoS</strong> attack categories - Impact<br />
• Disruptive attacks<br />
– It leads to complete denial <strong>of</strong> the victim’s service to its clients.<br />
• degrading attacks<br />
– This results in delay <strong>of</strong> the detection <strong>of</strong> the attack and much<br />
damage to the victim’s system.
현재의 D<strong>DoS</strong> 공격 방식과 과거 방식과의 차이<br />
• 기본적인 원리는 다르지 않음<br />
• 현재는 D<strong>DoS</strong> agent 확보의 효율을 위해<br />
– 대규모 악성코드 전파 (SPAM, web site 해킹 후 악성 script 삽입<br />
등) zombie PC 를 이용한 BOTNET 을 만드는 기법이 보다 정<br />
교해 진 상태
D<strong>DoS</strong> attack defense mechanism<br />
source: pp.128, Chap.8 Network Security - current status and future directions, edited<br />
by Christos Douligeris et al.
D<strong>DoS</strong> attack defense mechanism<br />
• First category (by activity)<br />
– Intrusion prevention<br />
– Intrusion detection<br />
– Intrusion response<br />
– Intrusion tolerance and mitigation<br />
• Second category (by location)<br />
– Victim network<br />
– Intermediate network<br />
– Source network
D<strong>DoS</strong> attack defense mechanism – intrusion<br />
prevention<br />
• Intrusion prevention<br />
– attacking packets can be stopped before they cause serious damage.<br />
– ingress filtering, egress filtering, route-based distributed packet<br />
filtering, history-based IP (HIP) filtering<br />
• In ingress filtering<br />
– set up to block out <strong>of</strong> the network incoming packets with<br />
illegitimate origin.<br />
• Egress filtering<br />
– filtering method on outbound traffic, which allows packets only from<br />
a specific set <strong>of</strong> IP addresses to leave the network.<br />
• Route-based distributed packet filtering<br />
– an approach capable <strong>of</strong> filtering out a large portion <strong>of</strong> spo<strong>of</strong>ed IP<br />
packets and preventing attack packets from reaching their targets<br />
as well as to help in IP traceback.<br />
• HIP filtering<br />
– the edge router admits the incoming packets according to a prebuilt<br />
IP address database.
D<strong>DoS</strong> attack defense mechanism – intrusion<br />
prevention<br />
• Disabling unused services<br />
– If network services are not needed or unused, the services should be disabled to prevent<br />
attacks.<br />
– (e.g.) if UDP echo is not required, disabling this service will make the system more secure<br />
against this kind <strong>of</strong> attack.<br />
• Applying security patches<br />
– It can armor the hosts against D<strong>DoS</strong> attacks<br />
• Changing the IP address is a simple way to guard against a D<strong>DoS</strong> attack.<br />
– “moving the target defense.” All Internet and edge routers are informed when the IP<br />
address is changed in order to drop malicious packets<br />
– only for local D<strong>DoS</strong> attacks based on IP addresses.<br />
– attackers can render this technique useless by adding a DNS tracing function to the D<strong>DoS</strong><br />
tool.<br />
• disabling IP broadcasts<br />
– Defense for reflectors in Smurf and ICMP flood attacks.<br />
– can be effective only if all the neighboring networks have also disabled IP broadcasts.<br />
• Load balancing<br />
– a simple approach that enables network providers to increase the provided bandwidth on<br />
critical connections and prevent their crash in case an attack is launched against them.<br />
– Additional failsafe protection can be the replication <strong>of</strong> servers in case some crash during a<br />
D<strong>DoS</strong> attack.<br />
• Honeypots
D<strong>DoS</strong> attack defense mechanism – intrusion<br />
detection<br />
• Prevention is the utmost required way. Detection is the<br />
second line.<br />
– Anomaly detection<br />
– Misuse detection<br />
• Even detection is not easy<br />
– Degradation <strong>of</strong> performance is not only from <strong>DoS</strong> attack
D<strong>DoS</strong> attack defense mechanism – intrusion<br />
response<br />
• IP traceback<br />
– IP traceback traces the attacks back to their origin, so one can find<br />
the true identity <strong>of</strong> the attacker and achieve detection <strong>of</strong><br />
asymmetric routes as well as path characterization.<br />
– ICMP traceback, link-testing traceback, probabilistic packet marking<br />
(PPM), hash-based IP traceback, Sleepy Traceback, and CenterTrack<br />
• Traffic pattern analysis<br />
– During a D<strong>DoS</strong> attack, traffic pattern data can be stored and then<br />
analyzed after the attack in order to find specific characteristics and<br />
features that may indicate an attack<br />
• Analysis <strong>of</strong> event logs<br />
– The selection <strong>of</strong> event logs recorded during the setup and the<br />
execution <strong>of</strong> the attack can be used to discover the type <strong>of</strong> D<strong>DoS</strong><br />
attacks and do a forensic analysis.<br />
– Log sources: Network equipment such as firewalls, packet sniffers,<br />
server logs, and honeypots
D<strong>DoS</strong> attack defense mechanism – Intrusion<br />
Tolerance and Mitigation<br />
• We already know that it is impossible to prevent or stop<br />
D<strong>DoS</strong> attacks completely<br />
– Then, let’s just focus on minimizing the attack impact and<br />
maximizing the quality <strong>of</strong> its services<br />
• Fault tolerance<br />
– it is a research area whose designs are built in critical<br />
infrastructures and applied in three levels: hardware, s<strong>of</strong>tware,<br />
and system. Duplicating server, application or network resources<br />
– Distribute resource in everywhere : CDN (Contents distribution<br />
network)<br />
• QoS<br />
– the ability <strong>of</strong> a network to deliver predictable results for some<br />
applications.<br />
– Many intrusion-tolerant QoS techniques and intrusion-tolerant<br />
QoS systems have been developed to mitigate D<strong>DoS</strong> attacks
Consensus Roadmap for Defeating Distributed<br />
<strong>Denial</strong> <strong>of</strong> <strong>Service</strong> <strong>Attacks</strong><br />
• http://www.sans.org/dosstep/roadmap.php
Advices for writing your paper<br />
• D<strong>DoS</strong> 에 대해서 좋은 논문을 쓰려면…<br />
• Micro-level<br />
– D<strong>DoS</strong> 탐지 알고리즘 개발<br />
– Radomness 발생, D<strong>DoS</strong> 자체도 state-transition 이 있음을 착안<br />
• ISP-wide view 를 보여주어야 함<br />
• 다른 application 과의 연동성 주목<br />
– 예: D<strong>DoS</strong> 는 zombie PC 에 의해 발견된다. D<strong>DoS</strong> 를 근본적으로<br />
막는 것은 불가능하니 zombie PC 에서 C&C server 를 먼저 찾는<br />
것<br />
– Zombie PC 는 D<strong>DoS</strong> 만 보내는 것이 아니라 평소에는 spam mail<br />
을 보내는데 이용됨<br />
– Spam mail 의 75%~80% 는 Zombie PC 에 의해 보내짐<br />
– Spam mail 을 tracking 하여 zombie PC 를 찾고 이를 통해 C&C<br />
server 를 찾아보자
Reference sites for writing your paper<br />
• CAIDA<br />
– http://www.caida.org/research/security/<br />
• <strong>Denial</strong>-<strong>of</strong>-<strong>Service</strong> Attack Backscatter<br />
– Backscatter-2008 Dataset<br />
– Backscatter-2007 Dataset<br />
– Backscatter-2006 Dataset<br />
– Backscatter-2004-2005 Dataset<br />
– Backscatter-TOCS Dataset<br />
• SCO Offline from <strong>Denial</strong>-<strong>of</strong>-<strong>Service</strong> Attack (2003)<br />
– [<strong>DoS</strong> Attack] Around 2:50 AM PST Thursday morning, December 11, the<br />
attacker(s) began to attack SCO's ftp (file transfer protocol) servers in addition to<br />
continuing the web server attack. Together www.sco.com and ftp.sco.com<br />
experienced a SYN flood <strong>of</strong> over 50,000 packet-per-second early Thursday<br />
morning. By mid-morning Thursday (9 AM PST), the attack rate had reduced<br />
considerably to around 3,700 packets per second. Throughout Thursday morning,<br />
the ftp server received the brunt <strong>of</strong> the attack, although the high-intensity attack<br />
on the ftp server lasted for a considerably shorter duration than the web server<br />
attack. In spite <strong>of</strong> rumors that SCO has faked the denial-<strong>of</strong>-service attack to<br />
implicate Linux users and garner sympathy from its critics, UCSD's Network<br />
Telescope received more than 2.8 million response packets from SCO servers,<br />
indicating that SCO responded to more than 700 million attack packets over 32<br />
hours.
Reference sites for writing your paper<br />
• http://imdc.datcat.org/<br />
– Currently got some problems
BOT, BOTNET<br />
• 봇(Bot) : 사용자의 PC를 감염시켜 감염된 PC와 시스템을 해커가 마<br />
음대로 조종할 수 있게 하는 악성코드의 일종. 변종이 많고 감염여부<br />
도 일반인들이 쉽게 인지할 수 없어 치료하기가 쉽지 않음<br />
• 봇 마스터(Botmaster) : 악성 행위를 수행하도록 봇들에게 명령을 내<br />
리는 프로세스<br />
• 좀비 PC (zombie PC) : 봇(Bot) 에 감염되어 자신도 모르게 다양한 불<br />
법 행위에 악용되는 PC. 좀비 PC는 PC 사용자가 모르는 사이에 해커<br />
에 의해 원격 조정되며, D<strong>DoS</strong> 공격, 불법 프로그램의 유포, 스팸메일<br />
발송, 개인정보 유출, 애드웨어 및 스파이웨어 설치 등에 악용됨<br />
• 봇넷(Botnet) : 악성소프트웨어인 봇에 감염된 다수의 컴퓨터들이<br />
봇과 조종자로 구성된 네트워크로 연결되어 있는 형태를 말한다
BOT/BOTNET 의 특징<br />
• 좀비 컴퓨터를 망가트리진 않음 (자연계의 바이러스도 숙주를 직접<br />
죽이지는 않음)<br />
• 잠복 기간에는 특별한 증상 없음<br />
• D<strong>DoS</strong> 공격, 정보 유출, 스팸, 취약성 스캔, 악성코드 유포<br />
• IRC 방식 HTTP, P2P 방식으로 진화. 통신 프로토콜을 암호화 또는<br />
자체 통신 프로토콜을 이용<br />
– 봇 제어서버 (C&C)에 대한 추적/차단이 어려워지는 추세
왜 BOTNET 이 위험한가<br />
• BOTNET 으로 할 수 있는 해킹/불법 행위<br />
– 애드웨어 설치, 금융정보 수집, 피싱사이트 활용 등 금융범죄를 위한 정보수<br />
집으로 활용<br />
– 스팸발송의 대표적인 수단으로 활용(70~80% 차지)
왜 BOTNET 이 위험한가<br />
• 봇넷을 통한 공격이 증가하고 있으며, 점차 범죄화 양상을 띰<br />
– 서비스 업체에 협박하여 금품 갈취하는 사건 발생 증가<br />
• ※ 게임 업체 웹사이트를 D<strong>DoS</strong> 공격해 서비스를 못 하게 한 후 협박해 돈을 갈취한 일<br />
당 구속<br />
• ※ 2007년 9월 말부터 20여일간 아이템베이 등 아이템 거래업체 서비스 장애 유발 및<br />
현금요구 협박<br />
• ※ 홍커(중국해커), “공격 안할게 돈내놔”, D<strong>DoS</strong> 공격으로 서버를 다운시키겠다고 협<br />
박해 받아가는 상납금이 연간 10억원을 넘음(2008) 신고되지 않은 금액과<br />
2009~2010 까지의 누계를 감안하면 수백억원에 이를 것으로 예상
아이템베이 공격 사례<br />
• 외국자본이 포함된 아이템 중계사이트들의 난립<br />
• 경쟁사간 공격을 BOTNET 을 이용하여 수행<br />
• 결과적으로, 국내 아이템 거래 사이트들의 경영이 어려워짐<br />
– 영세, 동종업계로부터 통일화된 목소리를 내기 어려움, 게임업계의<br />
외면<br />
• 관련 기사<br />
• “D<strong>DoS</strong> 공격, P2P 사이트 노리는 까닭”, 아이뉴스24<br />
• http://itnews.inews24.com/php/news_view.phpg_menu=020<br />
200&g_serial=305058<br />
• “아이템베이 D<strong>DoS</strong> 공격 범인은 경쟁사 임원”, 디지털타임즈<br />
• http://www.dt.co.kr/contents.htmlarticle_no=201010070201<br />
9931749002
BOTNET 프로그램의 대중화, 무료화<br />
• 예: BlackEnergy (러시아 해커에 의해 제작)<br />
– D<strong>DoS</strong> 공격, 악성코드 배포까지 쉽게 지원
BOTNET 의 유형<br />
• 중앙집중형 명령/제어 방식에서 P2P 방식을 사용하는 분산형 명령/제어 방<br />
식으로 발전<br />
• 중앙집중형 방식에 있어서, 탐지 및 차단을 어렵게 하기 위해 IRC 방식에서<br />
HTTP 방식으로 전환<br />
• 탐지방해 : 암호 통신, 포트 변경, 명령/제어 서버의 주기적인 이주 등
BOTNET 의 유형 진화<br />
• 명령/제어를 위해 2가지 이상의 프로토콜을 사용하는 하이브리드 형<br />
태로 진화<br />
– 2008년 2월 Damballa에서 보고된 P2P 봇넷(MayDay Worm)<br />
– 봇 클라이언트와 C&C 서버는 기본적으로 HTTP를 이용하여 통신<br />
– HTTP 채널을 생성하지 못할 경우 TCP 또는 암호화된 ICMP를 이용하여<br />
봇들끼리 통신
BOTNET 의 유형 진화<br />
• 다수의 중앙 집중 포인트(C&C서버)가 존재하는 하이브리드형태로<br />
진화<br />
– 다수의 C&C서버는 P2P 프로토콜을 이용해 명령을 전달 받음<br />
– 봇에 감염된 좀비 PC는 초기 C&C접속 목록(Peer list)를 이용해 임의의<br />
C&C로 접속<br />
– 특정 C&C가 탐지되더라도 나머지 봇넷은 그대로 유지됨
좀비피씨 거래<br />
• http://channel.pandora.tv/channel/video.ptvch_userid=yunhap&prgid=3570859<br />
2<br />
• (서울=연합뉴스) 박대한 기자 = 분산서비스거부(D<strong>DoS</strong>) 공격으로 인해 감염 PC에<br />
대한 경각심이 높아진 가운데 이러한 감염 PC가 온라인에서 거래되면서 추가 범죄<br />
에 활용되는 것으로 나타났다.<br />
이와 관련 우리나라의 감염 PC는 온라인에서 1천대 당 평균 5달러라는 저렴한 가<br />
격에 거래되는 것으로 조사됐다.<br />
21일 정보통신연구진흥원에 따르면 보안 솔루션 업체인 핀잔소프트웨어(Finjan<br />
S<strong>of</strong>tware)는 지난달 중순 발표한 보고서를 통해 감염 PC들이 골든 캐쉬 네트워크<br />
(Golden Cash Network)와 같은 온라인 매매 플랫폼에서 거래되고 있다고 밝혔다.<br />
• 감염 PC의 매입가격은 국가별로 차이가 있는데 우리나라와 일본, 중국 등 동아시<br />
아 국가의 감염 PC는 1천대당 5달러 수준이었다.<br />
네덜란드, 스웨덴, 캐나다, 불가리아, 프랑스, 터키 등은 1천대당 20달러, 독일, 스페<br />
인은 30달러, 미국은 50달러, 영국은 60달러, 호주는 100달러 수준에서 매입되는<br />
것으로 조사됐다.<br />
사이버 판매자들은 일반적인 경제활동과 마찬가지로 낮은 가격에 감염 PC를 매입<br />
해 높은 가격에 판매하는데, 예를 들어 호주의 경우 감염 PC는 1천대 당 500달러<br />
정도에 판매되면서 판매자가 400달러 정도의 차익을 남기는 것으로 나타났다.<br />
보고서는 "감염 PC는 더 이상 개별 사이버 범죄에 이용되는 일회성 자산이 아니라<br />
사이버 범죄자들이 몇 번이고 반복해서 온라인을 통해 거래할 수 있는 디지털 자<br />
산으로 전환되고 있다"면서 "이 PC는 새 소유자에 의해 구매될 때마다 악성소프트<br />
웨어에 감염된 뒤 다른 소유자에게 팔릴 가능성이 있다"고 진단했다.
BOTNET 간 전쟁<br />
• 전통 봇넷 "Zeus“ vs 신흥 봇넷 "EYEBOT" (2010.4.9,<br />
TRENDMICRO 사 보고서)<br />
– Zeus : z-bot 악성코드를 이용하여 확산<br />
– Eyebot : z-bot 의 활동을 감시/차단<br />
• Eyebot 이 zeus bot 의 활동을 감시하는 기능 포함<br />
• Why
결론<br />
• BOTNET 의 위험성<br />
• BOTNET 기술과 대응기술은 계속 상호 진화 중<br />
• 터미네이터 – 스카이넷<br />
• 활발히 연구가 진행되고 있는 분야<br />
• 개인사용자들의 PC 보안 관리 효과 >> ISP, 정부차원의<br />
네트워크 단의 보안효과
References<br />
• www.botnet.co.kr<br />
• 봇넷 대응 기술 동향 – 원유재, KISA