🏹DrDoS(Distributed Reflection Denial of Service Attack, 분산 반사 서비스 거부 공격)
- DDoS의 변형된 형태
- 실제로 공격을 가하는 에이전트는 가지고 있지만 TCP/IP의 취약점 또는 정상적인 UDP 서비스의 특성을 이용하여 공격을 유도한다.
- 고속으로 반복하여 피해자에게 대량의 트래픽을 유발
- 봇넷이 필요없다.
*반사체 / 반사자 / 반사 서버 = 피해자에게 의도치 않게 공격을 가하게 되는 서버
[공격원리]
- 공격자는 많은 수의 경유지 서버에 특정 질의 명령어(요청)를 일괄적으로 보낸다.
- 자신의 IP를 공격대상 IP로 변조하여 공격대상 IP가 응답을 받도록 한다.
- 경유지 서버가 응답하는 양이 큰 질의 명령어를 사용한다.(ex. 'Any'질의는 입력한 명령어의 약26~52배의 문자로 답변)
- 경유지 서버는 정상요청으로 인식하여 공격대상 서버에 명령어 결과(응답)을 보낸다.
- 많은 수의 경유지 서버로 부터 응답받은 공격대상 네트워크는 트랙픽이 급증하여 회선 대역폭이 가득차게 된다.
🏹DrDoS 종류
| 이용 서비스 | 설명 |
|---|---|
| 3-way handshake | 반사체가 대량의 syn/ack 응답을 보내 시스템을 다운시키는 공격 |
| icmp 프로토콜 | icmp 프로토콜의 echo/request를 이용한 대량의 트래픽 증폭 공격 |
| UDP 서비스 제공 서버 | UDP 서비스 제공 서버를 이용하여 대량의 트래픽을 유발하는 공격 |
| DNS | DNS 질의 때 많은 양의 레코드 타입을 요청하여 대량의 트래픽을 유발시키는 공격 |
| NTP | 최근 접속한 NTP 서버목록(monlist)을 요청하여 대량의 응답 트래픽을 유발시키는 공격 |
| SNMP | SNMP agent에 대량의 MIB를 요청하여 트래픽을 유발시키는 공격 |
| CHARGEN | CHARCEN 서버에 접속 시 대량의 문자열을 전송하여 트래픽을 유발시키는 공격 |
| Memcached 서버 | Memcachd 서버에 공격대상 IP 주소로 위장된 특정 명령의 UDP 패킷을 전송하면 Mem |
💡NTP, DNS서버를 주로 이용, 인터넷 상에 공개되어 있는 경우가 많기 때문
🏹DrDoS 특징
1.더 향상된 은닉
- 반사체는 공격자에 대한 정보를 전혀 가지고 있지 않아서 로그 추적 불가능
- 직접적인 공격을 가하는 시스템은 반사체이므로 공격자가 발생시키는 공격 트래픽이 피해자에게 직접 전달되지 않는다.
- 단기적인 공격은 사후처리가 사실상 불가능
- DDoS에 비해서 더 많은 대비와 신속한 대응이 필요
2.증폭 공격의 구현
- 반사체로부터 가능한한 큰 응답을 끌어내 공격 규모를 극적으로 향상 가능
- 수십배, 수백배씩 공격 규모가 커질 수 있으며, PPS 증폭까지 덤으로 발생한다.
*PPS? Packet per Second, 초당 패킷 수
