DRDoS는 Distibuted reflection Denial of Service의 약자입니다. DDoS의 한 종류이며 반사를 이용한 공격중 하나 입니다.
우리나라 말로는 분산 반사 서비스 공격이라고 합니다.
정상적인 트래픽의 반사를 이용하기 때문에 트래픽의 양이 많을 뿐만 아니라 공격을 정상으로 식별할 수 있습니다.
DRDoS 공격방식
가장 예로 들기 쉬운 ntp 프로토콜로 설명하겠습니다. 인터넷에는 여러가지 서버들이 존재하고 있습니다. 시간설정을 맞춰주는 ntp가 대표적일 수 있습니다.
ntp 프로토콜은 Network Time Protocol의 약자로 시간을 맞추기 위해 시간서버(ntp server)에서 정확한 시간을 받아옵니다. NTP Amplification Attack이라고도 하며 ntp 증폭공격이라고 합니다.
서버 - 클라이언트 구조이며 클라이언트가 시간을 서버에 물어보면 서버는 정확한 시간을 알려줍니다.
이렇게 정상적인 동작 중에서 monlist라고 하는 명령이 있습니다.
monlist 호스트 리스트가 포함된 패킷을 응답으로 줍니다.
대신 이 응답패킷의 양이 크기 때문에 요청에서 사용한 트래픽이 1이라고 생각하면 응답으로 돌아오는 트래픽의 크기는 10이라고 보셔도 됩니다. 따라서 1을 보냈는데 10이 응답으로 돌아오는데 이 응답을 공격대상에게 발송한다면 이것이 DDoS공격이 됩니다.
* 물론 이러한 취약점들은 이전에 나왔기 때문에 이미 패치가 되어 있는 곳들이 많으며 다른 취약점을 악용해야 DRDos 트래픽을 발생시킬 수 있습니다.
2020/05/10 - [IT/정보보안] - DDoS 공격 개념 종류 설명, 이유는 무엇일까?
DDoS 공격 개념 종류 설명, 이유는 무엇일까?
정보보안에서 DDoS 공격이라는 말이 많이 나옵니다. DDoS공격은 무엇이며 어떻게 진행되는 것일까요? 종류와 이유에 대해서 한 번 알아보겠습니다. DDoS DDoS는 Distributed Denial of Service의 약자입니다.
dany-it.tistory.com
DDoS와 DRDoS의 차이점
고전적인 ddos는 좀비 PC를 만들고 여러 대의 좀비 PC에서 트래픽을 유발시켜 ddos공격을 진행하였습니다.
이렇게 응답이 오는 것을 활용하여 봇넷(좀비PC)를 만들지 않더라도 정상적인 트래픽을 활용하여 ddos공격이 가능해졌습니다.
해킹당하지 않은 서버들이 이러한 DDoS 트래픽을 유발시키기 때문에 쉽게 노출되지 않습니다. 심지어 좀비PC까지 함께 DRDos 트래픽을 만들어낸다면 그 공격의 단위가 높아집니다.
증폭 및 반사를 수행하는 DRDoS는 트래픽이 증폭되기 때문에 그 영향도가 높습니다.
또한 반사되어 넘어가기 때문에 은닉하기에 좋은 공격입니다.
DrDoS의 종류
NTP
SSDP
DNS
memcached 기반 공격
'IT > 정보보안' 카테고리의 다른 글
| base64 인코딩 설명 특징 활용 (1) | 2020.06.08 |
|---|---|
| 정보보안기사 15회 후기 필기 시험 난이도 (1) | 2020.05.31 |
| 네트워크 토폴로지 연결 유형 종류 설명 (0) | 2020.05.12 |
| DDoS 공격 개념 종류 설명, 이유는 무엇일까? (0) | 2020.05.10 |
| 랜섬웨어 치료 방법, 갠드크랩 치료, 복호화 툴 (0) | 2020.02.25 |
댓글