DDoS란 무엇인가?
정식 명칭은 Distribute Denial of Service attack(DDoS) 입니다.
그 약자를 따서 DDoS라고 하는것이구요. 쉽게 말해서 DDoS라는 것은 여러 대의 컴퓨터를 일제히 동작하게 하여 특정 사이트를 공격하는 해킹 방식의 하나인데요.
서비스 거부(DoS)란 해킹수법의
하나로 한명 또는 그 이상의 사용자가 시스템의 리소스를 독점하거나, 파괴함으로써 시스템이 더 이상 정상적인 서비스를 할 수 없도록 만드는 공격
방법입니다.
쉽게 말해서 컴퓨터 서버에 한꺼번에 많은 사람들이 몰려서 트래픽 초과로 사이트를 죽게 만들어 버리는 것이죠.
우리가 들어가는 홈페이지가 있으면 그 홈페이지의 자료들을 관리하는 서버 컴퓨터가 있습니다.
그 서버컴퓨터를 통해서 다양한 접속자들이 그 홈페이지에 있는 내용들을 볼 수도 있고, 글을 올리게 되는 것인데요.
만약 그 서버가 감당할 수 있는 용량을 초과하게 되면 사이트 접속이 느려지거나 사이트에 접속을 할 수 없게 되는 것입니다.
회선이 감당할 수 있는 일일 전송량이라는것도 있고 순간 최대 속도를 보장 받지만 이것도 한꺼번에 다수의 사용자가 몰리게 된다면 서버가 뻗어버리게 되는 것이지요.
이번에 일어난 DDoS관련 사건은 바로 이런것이구요. 이 수법은 특정 컴퓨터에 침투해 자료를 삭제하거나 훔쳐가는 것이 아니라 목표 서버가 다른 정당한 신호를 받지 못하게 방해하는 작용만 하는 것입니다. 그래서 개인정보 유출등의 위험은 없으니 일단 그런 쪽에서는 안심을 하셔도 됩니다.
해킹이라는 말에 걱정을 하시는 분들이 있는데 이것은 지난번 문제가 되었던 네이버나, 청와대 등등의 홈페이지가 해킹을 당한것이 아니고 해킹 프로그래머가 악성 바이러스를 유포해서 다수의 좀비 컴퓨터를 생산후 그 컴퓨터들이 바이러스 명령에 의해 선정된 몇몇 컴퓨터로 동시간대에 접속을 하게 되어서 서버에 무리를 주기 위한 것이었다는 것이지요.
쉽게 말해 대량의 접속을 유발해 해당 컴퓨터를 마비시키는 수법이라는 겁니다. 마치 한 전화번호로 엄청난 양의 전화가 몰리면 전화가 불통되는 현상과도 같다고 보시면 됩니다.
이번 DDoS는 또 신종 분산서비스 거부공격이라고 해서 기존의 방식과는 살짝 다르게 접근을 했다고 합니다.
해커가 바이러스 악성코드를 유포시켰는데 해당 악성코드는 명령제어 서버로부터 공격목표를 전달받는 것이 아니라 감염 시 생성되는 공격목표 설정 파일을 기반으로 자동공격을 수행한다고 합니다.
그래서 이전에는 명령제어 서버만 차단하면 되었는데 이번에는 각각의 감염된 PC를 차단해야 하기 때문에 복구가 쉽지 않았다고 합니다.
그래서 이미 명령이 떨어져 있는 사이트들의 주소를 살짝 바꿔서 악성코드에 심겨져 있는 주소로 사이트의 접속을 돌려놓았다고 합니다.
예를 들어 네이버 메일을 향해 공격을 시도 했다면 mail.naver.com의 주소로 모든 트래픽이 몰렸을텐데 네이버에서는 네이버 메일 주소를 mail2.naver.com이라는 식으로 주소만 살짝 바꾸는 방식을 사용해서 DDoS를 피해간 것이죠. 다른 사이트들도 같은 방식으로 처리를 했다고 합니다.
악성코드 감염 PC들의 증상을 보면 윈도우 서비스 형태로 등록되어 컴퓨터 시작과 함께 자동으로 실행이 되고 방화벽 설정을 비활성화 시키며 다수의 특정 도메인을 대상으로 HTTP / UDP / ICMP Ping 패킷을 지속적으로 전송하며 공격 대상 도메인 목록 파일을 기반으로 자동 공격이 이루어 졌다고 합니다.
각 도메인으로 향하는 공격 트래픽은 1.0 ~ 25.3 KBPS 수준이고(분당 트래픽으로 환산하면 57.2 KB ~ 1.5 MB) 하나의 감염 PC에서 발생시키는 총 트래픽은 54.2 KBPS로 해당 PC에 큰 무리를 주지 않는다고 합니다.(분당 약 3.3 MB) HTTP GET Flooding으로 발생하는 트래픽의 비율이 전체 공격 트래픽의 92.4%로 대부분을 차지하는 반면 UDP와 ICMP Ping 트래픽은 약 4%에 해당하구요.
그럼 감염시 조치 방법으로는 일반 인터넷 이용자의 경우 최신 업데이트된 백신을 이용하여 치료해야 합니다.
V3 (안철수연구소), 바이로봇 (하우리), 바이러스체이서 (에스지알아이)알약 (이스트소프트), nProtect (잉카인터넷), 피시그린 (네이버)네트워크 및 시스템 관리자들은 네트워크 DDoS 트래픽 모니터링을 강화하고, 방화벽,IDS,IPS 등에 DDoS 트래픽 차단 규칙을 적용해야 합니다.
DDoS관련 좀비PC가 된 내 PC의 하드디크스 손상 주의라는 공지가 긴급으로 나왔는데
이때에 대응방안으로는 컴퓨터를 부팅화면에서 F8을 눌러 안전모드로 부팅후 윈도우 시스템 시간을 7월10일 00시 이전으로 충분히 조정후 윈도우 탐색기를 통해서 아래 조치를 취해야 합니다.
- "C:\Windows\System32\wversion.exe"을
삭제
- "C:\Windows\System32\mstimer.dll"을 삭제
- "C:\Windows\win.ini"
파일 내부 내용중 다음 문자열을 삭제
[MSSOFT]
LastName=40004
FirstName=3
Location=Y
윈도우를 재부팅한후 백신 프로그램 업데이트 후 검사/치료 백신 S/W가 설치되지 않았을 경우, 백신 S/W 설치후 점검
마지막으로 DDoS 예방 대책 10계명이라고 합니다.
첫번째, 윈도우 운영체계는 최신 보안 패치를 모두 적용한다
두번째, 인터넷 로그인 계정의 패스워드를 자주 변경하고, 영문/숫자/특수문자 조합으로 6자리 이상으로 설정한다.
세번째, 웹 서핑 때 엑티브X 보안경고 창이 뜰 경우에는 신뢰할 수 있는 기관의 서명이 있는 경우에만 프로그램 설치에 동의하는 예를 클릭한다. 잘 모르는 프로그램을 설치하겠다
는 경고가 나오면 '예' '아니오' 중 어느것도 선택하지 말고 창을 닫는다.
네번째, 이메일 확인시 발신인이 불분명하거나 수상한 첨부 파일이 있는 것은 모두 삭제한다.
다섯째, 메신저 프로그램 사용 시 메시지를 통해 URL이나 파일이 첨부돼 올 경우 함부로 클릭하거나 실행하지 않는다. 메시지를 보낸 이가 직접 보낸 것이 맞는지를 먼저 확인해본다.
여섯째, PtoP 프로그램 사용 시 파일을 다운로드할 때는 반드시 보안
제품으로 검사한 후 사용한다. 또한 트로이목마 등에 의해 지정하지 않은 폴더가 오픈되지 않도록 주의한다.
일곱째, 정품 소프트웨어를
사용한다. 인터넷을 통해 불법 소프트웨어를 다운로드해 설치하는 경우 이를 통해 악성코드가 설치될 가능성이 높기 때문이다.
여덟째, 외부
침입자가 나의 시스템을 불법적으로 사용하지 못하도록 공유 권한은 ‘읽기’로 설정해 놓고 사용한 후에는 공유를 해제한다.
아홉째, 안철수
연구소의 V3 제품군을 설치하면 모든 악성코드를 예방/진단/치료할 수 있다. 네트워크로 드나드는 사용자 시스템의 모든 트래픽 현황을 한눈에 볼
수 있어 웜 등 비정상적인 트래픽을 유발하는 악성코드의 접근 상태를 확인해 신속하게 차단할 수 있다.
마지막으로 보안 제품은 설치 후 항상 최신 버전의 엔진으로 유지하고 부팅 후 보안 제품이 자동 업데이트 되도록 하고 시스템 감시 기능이 항상 작동하도록 설정한다.
내용 출처 : http://itinside.pe.kr/40073028425
댓글 없음:
댓글 쓰기