DRDoS (Distributed Reflection DoS)

DRDoS(UDP)

* DRDoS : 공격자가 출발지 IP를 Target의 IP로 위조(Spoofing), 다수의 반사 서버(Reflector)로 요청정보를 전송, Target은 반사 서버로부터, 다수의 응답을 받아 서비스 거부 상태가 되는 공격

 

 

 

* DRDoS 공격 유형

유형	설명
UDP Protocol 이용	- UDP 프로토콜을 사용하는 각종 서비스를 이용한 서버를, 반사서버로 이용 - 해당 응답을 공격 대상으로 향하도록 함
TCP 3way-Handshake 이용	- TCP 연결과정의 취약점을 이용, 위조된 주소로 SYN 요청을 반사서버로 전달 - 반사 서버에샤 SYN+ACK 응답을 공격 대상으로 응답
ICMP Protocol 이용	- Echo Request와 Echo Response를 이용 - 위조된 주소로 Echo Request를 반사 서버로 전달, Echo Response가 공격 대상으로 향함

 

 

 

* UDP DRDoS : UDP Protocol 기반의 서비스를 이용하여, 반사(Reflection)와 증폭(Amplification) 공격 형태로 나타나며, 출발지 IP를 Spoofing, UDP 기반 서버에 대규모 요청을 전송하여 반사 시도, 이때 반사된 응답은 증폭되어 공격 대상에게 전달됨

UDP DRDoS 유형	설명
DNS Amplification	- DNS 서버에 많은 양의 레코드 정보를 요구하는 DNS 질의 타입(ANY, TXT등)을 요청하여 공격 대상에게 대량의 트래픽(증폭)을 유발
NTP Amplification	- NTP 서버에 최근 접속한 클라이언트 목록(monlist 명령)을 요청하여 대량의 응답 트래픽(증폭)을 유발
SNMP Amplification	- SNMP agent에 MIB와 같은 정보를 대량 요청(GetBulkRequest)하여 공격 대상자에게 대량 트래픽을 유발
CHARGEN Amplification	- CHARGEN 접속 시, 대량의 문자열을 전송하여 공격 대상자에게 대량 트래픽을 유발

 

 

 

* TCP DRDoS : 공격자는 출발지 IP를 공격 대상 IP로 Spoofing, 대량의 SYN 패킷을 반사서버로 전송, 반사 서버들은 공격 대상으로 SYN+ACK를 대량 전송하여 서비스 거부 상태 유발

 

 

 

* 일반 DoS와 DRDoS 차이점

차이점	설명
공격 근원지 파악의 어려움	- 출발지 IP Spoofing 및 수많은 반사 서버를 경유하여 근원지 파악이 매우 어려움
좀비 PC 공격 트래픽 효율 증가	- 반사 시도 후, 증폭되어 반환 ex) 반사 서버는 syn+ack 패킷에 대한 응답이 없을 경우, 일정 횟수 재전송을 수행

 

 

 

* DRDoS 대응 방안

대응 방안	내용
Ingress Filtering	- ISP에서 위조 패킷이 망에 인입되지 않도록 직접 차단
ICMP Protocol 차단	- ICMP 악용 방지를 위해, 사용하지 않을 시, 해당 프로토콜 차단
DNS 서버 점검	- 공개용이 아닌, 내부 사용자용 DNS(Resolving) 서버라면, 내부 사용자 주소만 Recursive Query가 가능하도록 제한 - F/W, 네트워크 보안 장비 등을 통해 특정 Byte이상 DNS 질의에 대한 응답 차단 - 동일 IP에 대해 단위 초당 요청 개수 제한(Limit) 설정
NTP 서버 점검	- monlist 명령(NTP 서버에 최근 접속한 클라이언트 정보를 전송)을 해제 또는 NTP 설정 파일을 통해 해당 기능 비활성화 ex) ntpdc -c monlist <ntp 서버 주소>