사이버 범죄는 ransomware 공격 (WannaCry, NotPetya), 해킹 된 데이터베이스 (Equifax, Sony, Yahoo) 및 소프트웨어 백도어 (Floxif / CCleaner, ShadowPad / NetSarang)를 통해 헤드 라인을 빈번히 만들어 가면서 늦게 발생했습니다. 이러한 공격의 규모와 도달 범위는 놀랍지 만 사실상 사이버 범죄자는 데이터, 신원 또는 돈을 훔치는 것으로 만 제한되지 않습니다. 가상 세계에서의 범죄 범위는 실제 세계에서와 마찬가지로 더 크지 않습니다. 최근에 초점을 맞춰온 사이버 공격의 한 유형은 수년 동안 종종 화이트 햇 해커 커뮤니티를 분열시킨 DDoS 또는 분산 서비스 거부 (disability-of-service)입니다. 선도적 인 CDN 서비스 제공 업체 인 클라우드 플레어 (Cloudflare)가 모든 고객을 대상으로 무료 DDoS 보호를 발표하면서 '윤리적'DDoS 대 악의적 인 DDoS에 대한 오래된 논쟁이 다시 한번 시작되었습니다. 양측 모두 각자의 주장을 전적으로지지합니다. 인터넷상에서 DDoS 공격에 대한 토론이 진행되면서 오늘 그 현상을 자세히 살펴보고 해킹 티비스트와 언변량 옹호 단체가 계속 실패하는 이유를 시도하고 이해하려고 시도합니다. 처음에 그것에 관해 합의에 도달하려는 그들의 노력 :
DDoS 란 무엇이며 어떻게 작동합니까?
가장 간단한 용어로, 분산 서비스 거부 (DDoS) 공격은 네트워크를 완전히 감속 시키거나 망가뜨리는 엄청난 양의 트래픽으로 대상 서버를 범람시킴으로써 사이트 또는 네트워크 의 정상적인 기능을 인위적으로 방해하려는 시도입니다 . 이는 컴퓨터, 스마트 폰 및 IoT 장치를 포함하되 이에 국한되지 않는 모든 네트워크 연결 장치 를 포함 할 수 있는 '봇넷' 의 일부로 여러 개의 손상된 시스템을 사용하여 수행됩니다. 해킹 주의자뿐만 아니라 해커 티브리스트 인 블랙 햇 해커 는 대상 서버에 과도한 트래픽이 넘치지 않고 중요한 네트워크 보안을 대상으로하는보다 미묘하고 탐지하기 어려운 침투 기술을 사용하여 다양한 공격 도구를 사용합니다. 방화벽 및 IDS / IPS (Intrusion Detection / Prevention System)와 같은 인프라.
DoS 란 무엇이며 DoS와 어떻게 다른가요?
DoS (서비스 거부) 공격은 합법적 인 사용자가 대상 서버, 시스템 또는 기타 네트워크 리소스에 액세스하지 못하도록 하는 것처럼 들릴 수 있습니다. DDoS 공격의 경우와 마찬가지로, 그러한 공격을 수행하는 사람은 일반적으로 자원을 압도하기 위해 과도하게 많은 양의 불필요한 요청으로 대상 인프라에 침수하여 영향을받는 네트워크 또는 시스템으로 진정한 서비스 요청에 응답합니다. 최종 사용자에게는 DoS의 효과가 DDoS의 효과와 완전히 다르지는 않지만 공격을 수행하는 데 일반적으로 단일 시스템 과 단일 인터넷 연결을 사용하는 전자 메일과 는 달리 공격자 는 여러 개의 손상된 장치 를 사용 하여 원하는 대상을 플러딩합니다 탐지 및 방지하기가 매우 어렵습니다.
다양한 유형의 DDoS 공격은 무엇입니까?
앞에서 언급했듯이 사이버 범죄자와 해킹 테스터는 모두 수많은 공격 벡터를 사용하여 DDoS 공격을 수행하지만 대다수의 공격은 대개 볼륨 또는 대역폭 공격, 프로토콜 공격 또는 국가 고갈 공격, 응용 프로그램 계층 공격 또는 계층 7 공격이 있습니다. 이 모든 공격은 아래 그림과 같이 7 개의 서로 다른 계층으로 구성된 네트워크 연결의 다양한 구성 요소를 대상으로합니다.
1. 체적 공격 또는 대역폭 공격
이러한 유형의 공격은 매년 전 세계에서 수행되는 모든 DDoS 공격의 절반 이상을 차지 한다고 믿어집니다. 체적 공격에는 여러 가지 유형이 있습니다. 가장 일반적인 것은 User Datagram Protocol (UDP) 홍수입니다 . 공격자가 원격 호스트의 무작위 포트로 많은 양의 UDP 패킷을 보내 서버가 반복적으로 비 존재하는 애플리케이션에 영향을 미치므로 합법적 인 트래픽에 응답하지 않습니다. 희생 된 서버에 스푸핑 된 여러 IP 주소의 ICMP (Internet Control Message Protocol) 에코 요청을 범람하여 유사한 결과를 얻을 수도 있습니다. 목표 서버는 이러한 위조 된 요청 각각을 선의로 응답하려고 시도하며 결국에는 과부하가 걸리고 진정한 ICMP 에코 요청에 응답 할 수 없습니다. 체적 공격은 비트 / 초 (Bps)로 측정됩니다.
2. 프로토콜 공격 또는 국가 소진 공격
State-Exhaustion 공격이라고도하는 프로토콜 공격은 웹 응용 프로그램 서버뿐만 아니라로드 균형 조정기 및 방화벽과 같은 중간 자원을 비롯한 다른 인프라 구성 요소의 연결 상태 테이블 용량을 사용합니다. 이러한 유형의 공격은 프로토콜 스택의 계층 3 및 4의 약점 을 목표로 하기 때문에 '프로토콜 공격'이라고합니다. 수백만 연결에서 상태를 유지하도록 특별히 설계된 최첨단 상업용 장치조차도 프로토콜 공격에 크게 영향을받을 수 있습니다. 가장 잘 알려진 프로토콜 공격 중 하나는 TCP의 '3 방향 핸드 셰이크 메커니즘'을 이용하는 'SYN flood'입니다. 작동 방식은 호스트가 합법적 인 요청을 거의 통과 할 수 없도록 충분한 서버 리소스를 소비하기 위해 종종 위조 된 보낸 사람 주소가있는 TCP / SYN 패킷이 넘쳐 흐르게하는 것입니다. 다른 유형의 프로토콜 공격에는 Ping of Death, Smurf DDoS 및 조각화 된 패킷 공격이 포함됩니다. 이러한 유형의 공격은 초당 패킷 (PPS) 단위로 측정됩니다.
3. 응용 프로그램 계층 공격 또는 계층 7 공격
OSI 모드의 7 번째 계층과 관련하여 계층 7 공격이라고도하는 응용 프로그램 계층 공격 은 웹 페이지가 생성되는 계층을 대상으로 하여 HTTP 요청을 보내는 사용자에게 전달됩니다. 다양한 유형의 7 단계 공격에는 악의적 인 ' Slowloris '공격이 포함됩니다. 공격자는 많은 수의 HTTP 요청을 대상 서버에 '천천히'보내지 만 요청을 완료하지는 않습니다. 침입자는 작은 간격으로 추가 헤더를 계속 전송함으로써 서버가 끊이지 않는 HTTP 요청에 대해 열린 연결을 유지하도록하여 궁극적으로 유효한 요청에 대해 시스템이 응답하지 않을만큼 충분한 리소스를 확보하게됩니다. 또 다른 인기있는 레이어 7 공격은 HTTP Flood 공격입니다. 이로 인해 짧은 시간 내에 다수의 가짜 HTTP, GET 또는 POST 요청이 대상 서버에 범람하여 적법한 사용자에게 서비스 거부가 발생합니다. 응용 프로그램 계층 공격은 일반적으로 비정상적으로 많은 양의 요청을 대상 서버에 보내는 것을 포함하므로 초당 요청 (Rps)으로 측정됩니다.
위에서 설명한 단일 벡터 공격 외에도 시스템 및 네트워크를 다양한 방향에서 동시에 대상으로하는 다중 벡터 공격 이 있기 때문에 네트워크 엔지니어가 DDoS 공격에 대한 포괄적 인 전략을 혼란에 빠뜨릴 수 있습니다. 공격자가 계층 3과 계층 4를 대상으로하는 DNS 증폭을 계층 7을 대상으로하는 HTTP 플러드와 연결할 때 다중 벡터 공격이 그 예입니다.
DDoS 공격으로부터 네트워크를 보호하는 방법
대부분의 DDoS 공격은 트래픽이있는 대상 서버 또는 네트워크를 압도하므로 DDoS 공격을 완화하기 위해 수행해야 할 첫 번째 작업 은 실제 트래픽과 악성 트래픽을 구별하는 것 입니다. 그러나 예상대로 다양성, 복잡성 및 정교함을 고려할 때 쉽지 않습니다. 그렇기 때문에 최신의 가장 정교한 DDoS 공격으로부터 네트워크를 보호하려면 네트워크 기술자가 아기를 목욕탕에 버리지 않도록 신중하게 설계해야합니다. 공격자는 악의적 인 트래픽을 정상적으로 보이도록 최선을 다할 것이므로 모든 트래픽을 제한하는 완화 시도는 정직한 트래픽을 제한하고보다 관대 한 디자인은 해커가 대책을 더 쉽게 피할 수있게합니다. 그렇다면 가장 효과적인 솔루션을 얻기 위해 계층화 된 솔루션 을 채택 해야합니다.
그러나 기술에 도달하기 전에 요즘 대부분의 DDoS 공격은 어떤 방식 으로든 통신 경로를 잠그는 것과 관련되어 있으므로 분명한 것은 할 수있는 일 중 하나는 자신을 보호하는 것이며 네트워크는 더 많은 중복성이 있다는 것입니다. 대역폭 및 더 많은 서버가 서로 다른 지리적 위치에있는 여러 데이터 센터에 퍼져 있으며 자연 재해 등으로 인한 보험 업무를 수행합니다.
또 다른 중요한 일은 DNS 서버와 관련하여 업계 최고의 모범 사례를 따르는 것입니다. 누구도 도메인 이름을 먼저 해결할 수 없다면 오픈 솔라리스를 없애는 것이 DDoS 방어에있어 중요한 첫 단계 중 하나입니다. 그렇다면 대부분의 도메인 이름 등록 기관이 기본적으로 제공 하는 관습 적 이중 DNS 서버 설정 을 살펴볼 필요가 있습니다. 대부분의 상위 CDN 서비스 제공 업체를 포함한 많은 회사는 웹 및 기타 리소스와 동일한로드 균형 조정 방식으로 보호되는 중복 DNS 서버 를 통해 향상된 DNS 보호 기능을 제공합니다.
대부분의 사이트와 블로그는 호스팅을 제 3 자에게 아웃소싱하지만, 일부는 자체 데이터를 제공하고 자체 네트워크를 관리하기도합니다. 이 그룹에 소속 된 경우 기본적이고 중요한 산업 관행 중 일부 는 효과적인 방화벽을 설정하고 필요하지 않은 경우 ICMP를 차단하는 것과 관련됩니다. 또한 모든 라우터가 정크 패킷을 버리는 지 확인하십시오. 또한 ISP와 연락하여 원하는 트래픽을 차단할 수 있는지 확인해야합니다. 이용 약관은 ISP마다 다를 수 있으므로 기업이 해당 서비스를 제공하는지 확인하려면 해당 네트워크 운영 센터에 문의해야합니다. 일반적으로 다음은 CDN 공급자, ISP 및 네트워크 관리자가 DDoS 공격을 완화하기 위해 자주 사용하는 단계 중 일부입니다.
블랙 홀 라우팅
Black Hole Routing 또는 Blackholing은 DDoS 공격을 완화하는 가장 효과적인 방법 중 하나이지만, 네트워크 트래픽을 적절하게 분석하고 엄격한 제한 조건을 작성한 후에 구현해야합니다. 그렇지 않으면 '블랙홀'로 처리되거나 모든 경로가 지정됩니다 그것의 진짜 또는 악의에 관계없이 널 경로 (블랙 홀)로 들어오는 트래픽 . 기술적으로 DDoS를 우회 할 수는 있지만 공격자는 네트워크 트래픽을 방해하는 목적을 달성하게됩니다.
속도 제한
DDoS 공격을 완화하는 데 자주 사용되는 또 다른 방법은 '속도 제한'입니다. 이름에서 알 수 있듯이 서버가 지정된 시간 프레임 내에서 수락 할 요청 수를 제한합니다 . 웹 스크래퍼의 콘텐츠 훔치기를 막고 무차별 로그인 시도를 완화하는 데 유용하지만 DDoS 공격을 효율적으로 처리 할 수있는 다른 전략과 함께 사용해야합니다.
WAF (웹 응용 프로그램 방화벽)
거의 충분하지는 않지만 역방향 프록시와 WAF 는 DDoS뿐 아니라 다양한 위협을 완화하기 위해 취해야 할 첫 번째 단계 중 일부입니다. WAF는 DDoS 도구 식별에 사용되는 일련의 규칙에 따라 요청 을 필터링 하여 대상 네트워크를 7 계층 공격으로부터 보호하지만 SQL 삽입, 사이트 간 스크립팅 및 사이트 간 위조 요청으로부터 서버를 보호하는 데에도 매우 효과적입니다.
애니 캐스트 네트워크 확산
CDN (Content Delivery Networks)은 대개 애니 캐스트 네트워크를 DDoS 공격을 완화하는 효과적인 방법으로 사용합니다. 이 시스템은 과소 공격 네트워크로 향하는 모든 트래픽 을 다른 위치에 있는 일련의 분산 서버로 리 라우팅 하여 DDoS 공격 시도의 파괴적인 효과를 분산시킴으로써 작동합니다.
클라우드 플레어 (Cloudflare)는 무료 DDoS 보호 기능을 통해 DDoS 공격을 막을 수 있습니까?
세계 최고의 콘텐츠 전달 네트워크 중 하나 인 Cloudflare는 최근 DDoS 공격으로부터 유료 고객뿐만 아니라 공격 규모와 규모에 관계없이 무료 클라이언트 까지 보호 할 것이라고 발표 했습니다 . 예상대로, 이번 주 초에 발표 된이 발표는 클라우드 플레어 (Cloudflare)를 포함 해 CDN에 일반적으로 사용되는 글로벌 테크 미디어뿐만 아니라 업계에서 상당한 인기를 얻었습니다. 언더 공격 고객을 쫓아 내거나 더 많은 돈을 요구합니다. 그것들을 계속 보호해야합니다. 지금까지 희생자가 공격을받을 때까지 스스로를 지켜야 만했지만 논쟁의 여지가있는 콘텐츠를 게시하는 웹 사이트와 네트워크가 끊임없이 위협 받고있는 블로그와 기업은 무료로 측정되지 않은 DDoS 보호를 약속했습니다.
클라우드 플레어의 제안은 실제로 혁명적 인 것이지만, 언급 할 필요가있는 한 가지 사항은 자유롭고 계량되지 않은 보호 기능은 계층 3 및 4 공격에만 적용 가능 하지만 계층 7 공격은 여전히 20 달러에서 시작하는 유료 계획에서만 사용할 수 있다는 것입니다. 달마다.
성공하면 Cloudflare의 제안은 'Hacktivism'을 의미할까요?
예상대로 클라우드 플레어 (Cloudflare)의 발표는 윤리적 인 해킹과 언론의 자유에 대한 해킹 주의자와 인터넷 보안 전문가 간의 논쟁을 다시 불러 일으켰다. 카오스 컴퓨터 클럽 (CCC)과 익명 (Anonymous)과 같은 많은 해킹 티 그룹은 오랫동안 증오 선전과 격렬한 이데올로기를 퍼트려는 웹 사이트와 블로그에 대해 '디지털 시위'를 벌일 필요가 있다고 주장 해 왔습니다. 그럴 경우, 활동가 해커 또는 해킹 주의자 그룹은 최근 DDoS 공격 으로 테러리스트 웹 사이트, 네오 나치 블로그 및 아동 포르노 행상을 대상으로 삼았 으며 최신 사상자는 최근의 'Daily Stormer'블로그에서 최근의 버지니아 주 샬로 츠빌에있는 인권 운동가를 우익 극단 주의자가 살해 한 사건
Cloudflare의 CEO Mattew Prince와 EFF (Electronic Frontier Foundation)와 같은 일부 사람들은 DDoS 공격으로 자유 연설을 침묵시키려는 시도에 대해 해킹 주의자들을 비난했지만 해피 티비즘 지지자들은 가증스러운 이데올로기에 대한 디지털 시위가 마을 광장을 채우는 것과 다르지 않다고 주장한다. 9 월 17 일에 유명한 월가 시위 시위에서 시작된 '점령'운동의 라인을 따라 앉아서 전세계의 사회 경제적 불평등에 대한 세계적인 관심을 불러 일으켰다.
일부 사람들은 DDoS가 진정한 항의 도구 이기 때문에 도덕적 해커가 테러리스트, 성추행 자 및 소아 성 애들을 상대로 신속하게 행동하여 부도덕 한 (때로는 불법 인) 콘텐츠를 오프라인 상태로 오프라인 상태로 만들 수 있다고 주장하지만 그러한 공격에는 어두운 면도 있습니다. 조사 저널리스트와 내부 고발자는 과거에 그러한 공격의 대상이되어 왔으며, 사이버 보안 기자 브라이언 크레브스 (Brian Krebs)의 웹 사이트는 엄청난 DDoS 공격으로 인해 막을 내렸지 만, 정점에있는 미친 665Gbps를 측정했습니다 . Krebs는 이전에 vDOS라는 이스라엘의 DDoS 고용 서비스에 대해보고 한 결과 두 명의 이스라엘 국민이 체포되어 그 공격이 보복으로 여겨졌습니다.
그것들을 과거의 것으로 만들기위한 DDoS 공격 및 Cloudflare의 계획
과거의 DDoS 공격에 대한 클라우드 플레어의 대담한 주장에도 불구하고, 많은 전문가들은이 단계에서 DDoS 공격을 완전히 폐기하는 것은 기술적으로 불가능하다고 주장합니다. 페이스 북이나 구글과 같은 거대 기업들은 이러한 공격으로 고생하지 않도록 필요한 인프라 중복을 제공하지만, 태양 아래의 모든 단일 사이트로 그러한 보호를 확장하면 가장 큰 CDN조차도 어려움을 겪을 수 있습니다. 그러나 프린스는 클라우드 플레어가 "인터넷이 우리에게 던지는 모든 것"을 흡수 할 수 있다고 주장했기 때문에 DDoS 공격이 역사의 연대기에 위탁 될 것인지 아니면 해킹 주의자 그룹이 일부를 우회 할 수 있는지를 알 수 있습니다 폭력, 증오와 불의에 맞서 도덕적 십자군을 계속 수행 할 수있는 대책을 마련해야합니다.