DoS / DDoS / DRDoS #1 개요

1. DoS (Denial of Service)

- 정당한 사용자가 서비스를 사용하는 것을 방해하는 행위.

- 대상 시스템의 처리 범위를 초과하는 과도한 트래픽을 전송해 부하를 유발하여 정상 서비스를 제공하지 못하도록 함.

- 단일 공격자가 단일 시스템을 대상으로 공격 진행.

 

2. DDoS (Distributed Denial of Service)

- DoS와 마찬가지로 대상 시스템의 처리 범위를 초과하는 과도한 트래픽을 전송해 부하를 유발하여 정상 서비스를 제공하지 못하도록 함.

- 취약한 서버에 악성코드를 배포해 좀비 PC로 이루어진 봇넷을 형성한 후 공격.

- 다수의 분산 좀비 PC를 이용해 단일 시스템에 공격 진행.

[캡쳐 1] DDoS 공격 (https://jwprogramming.tistory.com/181)

구성 요소	설명
공격자, 봇 마스터	- 공격을 주도하는 공격자의 PC - C&C 서버에 명령을 전달하는 역할
마스터, C&C 서버	- 공격자로부터 명령을 전달받음 - 다수의 에이전트 관리
핸들러 프로그램	- 마스터 시스템의 역할을 수행하는 프로그램
에이전트	- 악성코드에 감염된 시스템으로, 대상 시스템에 직접적인 공격 수행 - 봇, 좀비PC 등으로도 불리며, 이들이 형성한 네트워크를 봇넷이라 함
데몬 프로그램	- 에이전트 시스템 역할을 수행
표적	- 공격의 대상이되는 피해 시스템

3. DRDoS (Distributed Reflection Denial of Service)

- 대상 시스템의 처리 범위를 초과하는 과도한 트래픽을 전송해 부하를 유발하여 정상 서비스를 제공하지 못하도록 함.

- 악성코드를 배보하고 봇넷을 형성하는 등의 과정없이 프로토콜의 구조적 취약점을 이용한 공격.

- 해당 프로토콜의 구조적 취약점을 이용해 정상적인 서비스를 제공하는 시스템을 반사체로 이용해 공격 진행.

[캡쳐 2] DRDoS (https://infosec-ledger.tistory.com/24)

구성 요소	설명
공격자	- 공격을 주도하는 공격자의 PC
반사 서버	- 정상적인 서비스를 제공하나, 프로토콜 구조상 취약점으로 인해 공격에 악용되는 서버
피해자	- 공격의 대상이되는 피해 시스템
일반 DDoS와의 차이점	- 10~500배 이상 트래픽 증폭   반사 서버의 양과 공격의 규모는 비례 - 공격 패킷이 전송되는 경로의 다양성   공격이 직접적으로 공격대상으로 향하는 것이 아니라 네트워크에 연결된 무수한 반사 서버로 전송 - 반사 서버의 단계적 사용 및 확산   반사 서버의 양과 공격의 규모는 비례 - 공격이 발생한 최초의 IP에 대해 역추적이 어려움.   Src IP를 공격 대상 IP로 위조 및 수 많은 반사 서버를 경유하므로, 근원지 역추적이 거의 불가능