잡생각2009. 7. 8. 21:24

요몇일간 DDoS 공격에 의해 국내 각종 포털이나 공공기관의 웹서버

등이 공격을 당했고 이글을 쓰고 있는 현재 국내 일부 보안업체들이

웹페이지의 접속이 지연되거나 접속 불가 현상을 보이고 있다고 들었다

이역시 타깃이 국내 보안업체로 바뀐게 아닌가 생각이 된다

국내 보안업체들이 서둘러 업데이트를 실시하고 전용백신을 제공하며

보안위협에 대한 공지를 띄우자 이를 방해하기 위한 수법같기도 하다

국내공격이 이루어지기 전에  미국 백악관을 포함한 미국내 정부기관들이 이공격을 당했다

잠시동안이지만 미국에서는 한국에서 출발하는 트래픽을 막기도 했었다

DDoS 의 의미는 위에 영어내용 그대로 분산 서비스 거부 공격을 의미한다

서비스 거부공격은 특정 웹서버등을 타깃으로 특정 악성코드나 바이러스등에

감염된 수많은 좀비PC 에 의해 이루어진다 공격자인 좀비PC들이 지극히 정상적인

프로토콜의 절차 및 규칙을 사용해 DDoS 공격을 시도하기 때문에 보편적인

보안장비인 방화벽이나 IPS장비나 UTM장비 등에서 원천 차단이 사실상 어렵다

DDoS 공격은 시그니처로 차단할 수 있는 취약점 공격이 아닌 네트워그 상에서의

일반적인 통신환경에 사용할 수 있는 정상적인 변수값을 이용하는 비취약점 공격이기 때문이다.

공격자들의 공격 유형이 보다 체계적이고 다양한 접근 방법으로 변형되고 순환되고 있기에 일반적인

보안장비로는 DDoS 공격 차단이
쉽지 않다

이공격은 일반 사용자들의 정상적인 사용이 불가능하게만 된다면 어느정도 성공했다고 할수있다

특정 업체의 경우 자기 회사의 서버가 고성능 방화벽이나 IPS 혹은 UTM 장비를 사용하여

서버가 다운되는것은 방지하였다 하더라도 서버에 접속하려고 하는 일반 사용자들의 정상적인

패킷들이 드롭되어 서비스를 받을 수 없게 된다면 이또한 이 공격의 효과인것이다

이로인해 일반 사용자들은 접속불가나 접속시 상당시간의 지연을 경험하게 된다

서버가 과부하가 걸려 다운되어 서비스를 이용하지 못하거나 공격 트래픽에 의해 사용자들의 트래픽들이

드롭되어 서비스를 이용할수 없게되거나 둘다 DDoS 공격은 성공한것이다

분산 서비스 거부 공격이라고 불리우는 것처럼 공격이 실제로 실행되는 좀비 PC 들이 없어져야만 원천적인

차단이 가능하겠지만 사실 국내의 모든 PC 들이 모두 정상적인 관리가 되야하기 때문에 원천적인 차단 방법이

아직까지 없는게 현실이다

일부 보안업체에서는 안티 DoS 제품들이 출시되기는 했지만 아직 그성능에 대해서는 내가 잘알지 못하기에 언급하지

않겠지만 그닥 기대를 하고있지는 않다


Posted by 고진감래 [苦盡甘來]