spamhaus ddos ​​공격 이해

스팸 서비스 기관인 SpamHaus에 대한 네덜란드 웹 호스트 CyberBunker의 최근 대규모 DDoS 공격으로 인해 Distributed Denial of Service가 오늘의 주제입니다. 나머지 인터넷에 대한 부수적 피해는 얼마나 큰가? SpamHaus를 공격으로부터 직접 방어하는 웹 보안 회사 인 CloudFlare는이를 핵폭탄에 비유했지만 웹 사이트 가용성과 응답 시간을 추적하는 회사 인 Keynote Systems는 말도 안되는 일이라고 말했습니다.

인터넷 전체에 미치는 영향이 무엇이든, 아무도 300Gbps에서 최고치에 이르는이 공격이 사상 최대 규모의 DDoS 공격이라는 사실을 부정하지 않습니다. 그러나 DDoS 공격이란 무엇이며 어떤 방어 수단을 사용할 수 있습니까?

공격의 작동 방식

서비스 거부 공격은 서버가 처리 할 수있는 것보다 더 많은 데이터로 데이터를 넘치게하여 대상 서버를 오버로드합니다. 이것은 피해자의 사업을 방해하거나 웹 사이트를 오프라인으로 만들 수 있습니다. 피해자가 해당 트래픽을 신속하게 차단할 수 있으므로 단일 웹 위치에서 이러한 공격을 시작하는 것은 효과적이지 않습니다. 공격자들은 종종 봇넷에 의해 제어되는 수천 개의 우연한 컴퓨터를 통해 분산 서비스 거부 공격을 시작합니다.

글로벌 데이터 보호 회사 Varonis의 전략 부사장 David Gibson은이 프로세스를 간단한 용어로 설명했습니다. "일부 공격자가 자신의 전화 번호를 스푸핑하여 공격자가 전화를 걸 때 다른 사람의 전화 번호로 표시 될 수 있다고 상상해보십시오." "이제 공격자가 많은 사람들에게 전화를 걸어 응답하기 전에 전화를 끊는다고 상상해보십시오. 아마도 그 사람들로부터 많은 전화를받을 것입니다… 이제 수천 명의 공격자가이 작업을 수행한다고 상상해보십시오. 전화를 바꿔야합니다 전화가 충분하면 전화 시스템 전체가 손상 될 것입니다."

봇넷을 설정하려면 비용과 노력이 필요합니다. CyberBunker의 공격은 이러한 문제를 해결하기보다는 오늘날 인터넷의 필수 구성 요소 인 DNS 시스템을 이용했습니다.

CyberBunker는 IP 주소 스푸핑에 취약한 수만 대의 DNS 서버, 즉 웹 요청을 보내고 반송 주소를 위조했습니다. 공격자의 작은 쿼리로 인해 수백 배나 큰 응답이 발생했으며 이러한 큰 응답은 모두 피해자의 서버에 닿았습니다. Gibson의 사례를 확장하면 마치 각 공격자의 전화 통화가 전화 번호를 넘겨 마치 텔레마케터에게 열광적 인 것처럼 보입니다.

무엇을 할 수 있습니까?

누군가가 그러한 공격을 막기 위해 기술을 발명한다면 좋지 않을까요? 사실, 그들은 이미 13 년 전에 있습니다. 2000 년 5 월, 인터넷 엔지니어링 태스크 포스는 BCP38이라는 Best Current Practices 논문을 발표했습니다. BCP38은 문제를 정의하고 "단조 IP 주소를 사용하는 DoS 공격을 금지하는 간단하고 효과적이고 간단한 방법"을 설명합니다.

Gibson은 "인터넷 제공 업체의 80 %가 이미 BCP38에서 권장 사항을 구현했습니다."라고 말했습니다. "스푸핑 된 트래픽을 허용하는 것은 나머지 20 %입니다." Gibson은이 문제를 간단히 말하면 "도로 운전자 중 20 %가 교통 신호를 준수하지 않으면 더 이상 운전하기에 안전하지 않다"고 말했다.

잠그다

여기에 설명 된 보안 문제는 가정용 또는 업무용 컴퓨터와 같은 수준으로 발생합니다. 솔루션을 구현할 수 있거나 구현해야하는 사람은 아닙니다. 그것은 IT 부서의 일입니다. 중요한 것은 IT 담당자가 서로 다른 두 종류의 DNS 서버 간 구별을 올바르게 관리해야한다는 것입니다. 네트워크 보안 회사 WatchGuard의 CISSP이자 보안 전략 책임자 인 Corey Nachreiner가 설명했습니다.

Nachreiner는 "권한있는 DNS 서버는 회사 또는 조직의 도메인에 대해 전 세계에 알리는 서버입니다."라고 말합니다. "권한있는 서버는 인터넷상의 모든 사용자가 사용할 수 있어야하지만 회사 도메인에 대한 쿼리에만 응답해야합니다." 회사는 외부를 향한 신뢰할 수있는 DNS 서버 외에도 내부를 향한 재귀 DNS 서버가 필요합니다. Nachreiner는“재귀 DNS 서버는 모든 직원에게 도메인 조회를 제공하기위한 것입니다. "인터넷의 모든 사이트에 대한 쿼리에는 응답 할 수 있어야하지만 조직의 사람들 에게만 응답해야 합니다 ."

문제는 많은 재귀 DNS 서버가 내부 네트워크에 대한 응답을 올바르게 제한하지 않는다는 것입니다. DNS 리플렉션 공격을 수행하려면 나쁜 사람들이 잘못 구성된 서버를 찾아야합니다. Nachreiner는 "기업은 직원들에게 재귀 DNS 서버가 필요하지만 인터넷에있는 모든 사람의 요청에이 서버를 열지 말아야합니다."라고 결론을 내 렸습니다.

SERT (Solutionary 's Engineering Research Team)의 연구 책임자 인 Rob Kraus는 "DNS 아키텍처가 내부와 외부에서 실제로 어떻게 보이는지 알면 조직의 DNS 배포에서 차이를 식별하는 데 도움이 될 수 있습니다."라고 지적했습니다. 그는 모든 DNS 서버가 완전히 패치되고 사양에 맞게 보안되도록 권고했습니다. 크라우스는 올바른 행동을 취하기 위해 "윤리적 해킹 연습을 사용하면 잘못된 구성을 발견하는 데 도움이된다"고 제안합니다.

그렇습니다. DDoS 공격을 시작하는 다른 방법이 있지만 DNS 반사는 증폭 효과 때문에 특히 효과적입니다.이 경우 공격자로부터의 적은 양의 트래픽이 피해자에게 많은 양의 트래픽을 생성합니다. 이 특정 도로를 폐쇄하면 최소한 사이버 범죄자들이 새로운 종류의 공격을 시도하게됩니다. 그것은 일종의 진보입니다.