KR102621652B1 - DRDoS 공격 대응 방법, DRDoS 공격 대응 프로그램 및 DRDoS 공격 대응 기능을 구비한 서버 컴퓨터 - Google Patents
DRDoS 공격 대응 방법, DRDoS 공격 대응 프로그램 및 DRDoS 공격 대응 기능을 구비한 서버 컴퓨터 Download PDFInfo
- Publication number
- KR102621652B1 KR102621652B1 KR1020210187492A KR20210187492A KR102621652B1 KR 102621652 B1 KR102621652 B1 KR 102621652B1 KR 1020210187492 A KR1020210187492 A KR 1020210187492A KR 20210187492 A KR20210187492 A KR 20210187492A KR 102621652 B1 KR102621652 B1 KR 102621652B1
- Authority
- KR
- South Korea
- Prior art keywords
- drdos
- server
- packet
- memcached
- attack response
- Prior art date
Links
- 230000004044 response Effects 0.000 title claims abstract description 59
- 238000000034 method Methods 0.000 title claims abstract description 49
- 238000005316 response function Methods 0.000 claims abstract description 10
- 230000002159 abnormal effect Effects 0.000 claims description 4
- 230000001939 inductive effect Effects 0.000 claims description 4
- 230000003321 amplification Effects 0.000 abstract description 30
- 238000003199 nucleic acid amplification method Methods 0.000 abstract description 30
- 230000000694 effects Effects 0.000 abstract description 7
- 238000004458 analytical method Methods 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 7
- 238000001914 filtration Methods 0.000 description 7
- 230000002265 prevention Effects 0.000 description 6
- 238000001514 detection method Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000014509 gene expression Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000013461 design Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000003068 static effect Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 101000826116 Homo sapiens Single-stranded DNA-binding protein 3 Proteins 0.000 description 1
- 102100023008 Single-stranded DNA-binding protein 3 Human genes 0.000 description 1
- 238000013496 data integrity verification Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
본 발명은 DRDoS 공격 대응 방법, DRDoS 공격 대응 프로그램 및 DRDoS 공격 대응 기능을 구비한 서버 컴퓨터에 관한 것으로, 더 상세하게는 외부에 공개된 Memcached 서버를 반사서버로 이용하여 응답 패킷의 증폭을 통해 트래픽 병목 현상을 발생시키는 DRDoS 공격에 대응하기 위하여, 공격 시도 패킷이 확인되었을 때 Memcached 서버들의 메모리를 초기화함으로써 공격 효과를 현저하게 감소시키는, DRDoS 공격 대응 방법, DRDoS 공격 대응 프로그램 및 DRDoS 공격 대응 기능을 구비한 서버 컴퓨터에 관한 것이다.
Description
본 발명은 DRDoS 공격 대응 방법, DRDoS 공격 대응 프로그램 및 DRDoS 공격 대응 기능을 구비한 서버 컴퓨터에 관한 것으로, 더 상세하게는 외부에 공개된 Memcached 서버를 반사서버로 이용하여 응답 패킷의 증폭을 통해 트래픽 병목 현상을 발생시키는 DRDoS 공격에 대응하기 위하여, 공격 시도 패킷이 확인되었을 때 Memcached 서버들의 메모리를 초기화함으로써 공격 효과를 현저하게 감소시키는, DRDoS 공격 대응 방법, DRDoS 공격 대응 프로그램 및 DRDoS 공격 대응 기능을 구비한 서버 컴퓨터에 관한 것이다.
2008년 국내 금융권을 대상으로 대규모 DDoS(Distributed Denial of Service) 공격 사례가 있었으며, 2009년 7월 7일에는 DDoS 공격으로 정부기관, 포털 사이트, 은행 등은 일시적으로 서비스 장애가 발생하였고, 2013년 6.25 DDoS 대란까지 DDoS 공격 기법은 점차 고도화되고 있다. 이에 따라 최근까지도 DDoS와DRDoS(Distributed Reflection Denial of Service)는 지속적으로 보안상 이슈가 되고 있다.
방화벽 및 DDoS 대응 솔루션 등의 발전으로 인해 일부 공격 기법들은 대부분 대응이 가능하다. 이에 공격자들은 1999년 호주의 AusCERT팀이 처음 관련 위험성을 경고한 DRDoS 기법을 이용하고 있다.
기존의 DDoS를 방어하는 방법은 라우터 필터링, IP 패킷 역추적, 해시기반 추적법, ICMP 추적법, 통계적 패킷 식별법 등이 있다.
라우터 필터링 방식은 정해진 규칙대로 필터링하는 전통적인 방식이며, 이외에도 분산 필터링방식, IP 주소 검증 등 다양한 개선이 이루어졌다.
하지만 이러한 개선된 보안 방법들도 대규모의 패킷에 대한 효율적인 역추적 기술을 제공하기에는 한계점이 있다.
대규모 패킷에 대한 공격은 DDoS기법에서 DRDoS기법으로 변화되고 있다. DRDoS는 인터넷에 연결되고 정상적으로 동작하는 일반 서버들을 반사서버(Reflection)로 활용할 수 있다.
DRDoS 공격은 TCP 증폭, UDP 증폭 등이 있다.
DRDoS는 공격자가 요청(Request) 패킷의 출발지 아이피를 공격 대상 컴퓨터(클라이언트/서버; Victim) 아이피로 변조(Spoofing)한 상태로 반사서버에 송신하는 방식으로 수행된다. 이에 따라 반사서버는 변조된 출발지 아이피로 응답(Response) 패킷을 송신하여 공격 대상 컴퓨터에 트래픽 병목현상을 유발하고, 그 결과 정상적인 사용자의 이용이 방해되며 네트워크 대역폭이 소모된다.
이러한 과정에서 반사서버들은 한 번의 송신자 데이터 요청으로 송신자의 Spoofing IP를 검증하거나 판별할 수 없다는 한계점을 가지고 있다.
UDP(User Datagram Protocol)란 비 연결지향의 특성이 있고 패킷의 속도를 향상시키기 위해 패킷 유효성 검사를 하지 않고 패킷을 송/수신한다. 유효성 검사를 하지 않기 때문에 패킷에 대한 신뢰성이 감소하지만 많은 패킷 요청이 가능하다는 특성이 있다.
UDP 증폭으로는 DNS 증폭, NTP 증폭, SSDP 증폭, SNMP 증폭, Memcached 증폭 등이 있다.
그 중 Memcached 증폭은 범용분산 캐시 시스템으로, 외부 데이터에 대한 응답속도를 줄이기 위해 데이터와 객체들을 RAM에서 처리하여 데이터베이스의 부하를 줄이고 응답속도를 높이는 Memcached 서버를 이용하는 것이다.
공개된 Memcached 서버에 대해 출발지 아이피를 조작한 공격자는 status, set, get 등의 명령어를 Memcached 서버로 전송한다. 이 때, Memcached 서버의 응답 패킷이 상기 조작된 출발지 아이피로 전송되어 피해자(Victim)의 네트워크 대역폭이 된다.
UDP 증폭공격 대응방안은 스푸핑 방지기법, 취약한 서버 프로그램 패치 등이 있다.
스푸핑 방지기법으로는 패킷의 IP 헤더 이용방법, 라우터의 ingress와 egress 필터링 등이 있다. 라우터의 ingress는 외부에서 내부로 수신되는 패킷을 필터링하고 사용되지 않는 IP 대역을 관리한다. egress 필터링은 라우터의 내부에서 외부로 송신되는 출발지 아이피를 필터링하고 출발지 아이 피는 라우터와 같은 아이피 주소 대역을 사용해야 한다. 이러한 필터링 방식으로 아이피 변조를 원천적으로 차단할 수 있다.
국내특허공개공보 제10-2021-0089592호에는 "Drdos 공격 탐지 방법 및 이를 수행하는 장치들"이 제안되고 있다.
상기와 같은 종래 DRDoS 탐지/방지 기술들은 공격자의 IP를 기반으로 공격을 차단하는 형태의 기술로서, 좀비 PC 등 일반 사용자들의 컴퓨터를 해킹하여 공격용 컴퓨터로 사용하는 경우에는 일반 사용자가 반사서버로 이용되는 해당 Memcached서버를 이용할 수 없도록 차단된다는 문제점이 있으며, 이미 발생한 DRDoS 공격에 대한 네트워크 대역폭 소모, 메모리 소모 등은 해소되지 않는다는 한계점이 있다.
본 발명이 해결하고자 하는 과제는, 전술한 바와 같은 종래 DRDoS 탐지/방지 기술의 한계점을 개선하기 위하여, DRDoS 공격을 예방할 뿐만아니라, DRDoS 공격 발생 시 직접적으로 대응하여 네트워크 대역폭 소모, 메모리 소모 등 공격 효과를 저감시킬 수 있는 DRDoS 공격 대응 방법, DRDoS 공격 대응 프로그램 및 DRDoS 공격 대응 기능을 구비한 서버 컴퓨터를 제공하는 것이다.
본 발명은 전술한 바와 같은 종래 DRDoS 탐지/방지 기술의 한계점을 개선하기 위하여, UDP로 수신된 패킷이 DRDoS 공격인지 여부를 판단하는 단계; 및 상기 패킷이 DRDoS 공격으로 판단된 경우, 상기 패킷을 수신한 서버의 메모리 일부분을 초기화하는 단계;를 포함하는, DRDoS 공격 대응 방법을 제공한다.
또한, 네트워크 사용이 가능한 장치를 검색하는 단계; 상기 네트워크 사용이 가능한 장치들 중 취약한 Memcached 서버로 판단된 장치들의 IP를 추출하는 단계; 및 상기 취약한 Memcached 서버 장치들에 청구항 1항의 DRDoS 공격 대응 방법을 적용하기 위한 패치를 유도하는 단계;를 포함하는, DRDoS 공격 대응 방법을 제공한다.
그리고, 상기 네트워크 사용이 가능한 장치들 중 취약한 Memcached 서버로 판단된 장치들의 IP를 추출하는 단계는: 상기 네트워크 사용이 가능한 장치에 소정의 DRDoS 패킷을 송신하는 단계; 상기 네트워크 사용이 가능한 장치로부터 반사된 응답 패킷을 보안 클라이언트에서 수신하는 단계; 상기 반사된 응답 패킷이 비정상 패킷으로 판단되는 경우, 해당 네트워크 사용이 가능한 장치를 취약한 Memcached 서버 장치로 판단하는 단계; 및 상기 보안 클라이언트에서 상기 취약한 Memcached 서버 장치로 메모리 초기화 명령어를 송신하는 단계;를 포함할 수 있다.
아울러, 상기와 같은 DRDoS 공격 대응 방법을 수행하기 위하여 컴퓨터로 판독 가능한 비일시적 저장매체에 저장된 프로그램을 제공한다.
또한, 상기와 같은 DRDoS 공격 대응 방법을 수행하는, DRDoS 공격 대응 기능을 구비한 서버 컴퓨터를 제공한다.
본 발명의 실시 예에 따르면, UDP를 통한 DRDoS 공격을 예방할 뿐만아니라, 직접적인 방어(공격 효과를 저감)가 가능한 Memcached 서버 또는/및 Memcached 서버용 보안 클라이언트를 구성할 수 있다.
도 1 은 Memcached 증폭을 이용한 DRDoS 공격 방식을 도식화하여 나타낸 도면이다.
도 2 는 본 발명의 실시 예에 따른 DRDoS 공격 대응 방법을 나타낸 순서도이다.
도 3 은 동적분석을 위해 DRDoS 공격 패턴과 유사한 형태의 패킷을 송신하는 프로그램을 나타낸 도면이다.
도 4 는 동적분석을 위해 테스트에 사용한 Memcached 증폭패킷을 나타낸 도면이다.
도 5 는 본 발명의 실시 예에 따른 DRDoS 공격 대응 방법을 도식화하여 나타낸 도면이다.
도 2 는 본 발명의 실시 예에 따른 DRDoS 공격 대응 방법을 나타낸 순서도이다.
도 3 은 동적분석을 위해 DRDoS 공격 패턴과 유사한 형태의 패킷을 송신하는 프로그램을 나타낸 도면이다.
도 4 는 동적분석을 위해 테스트에 사용한 Memcached 증폭패킷을 나타낸 도면이다.
도 5 는 본 발명의 실시 예에 따른 DRDoS 공격 대응 방법을 도식화하여 나타낸 도면이다.
이하, 본 문서의 다양한 실시예가 첨부된 도면을 참조하여 기재된다. 그러나, 이는 본 문서에 기재된 기술을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 문서의 실시예의 다양한 변경(modifications), 균등물 (equivalents), 및/또는 대체물(alternatives)을 포함하는 것으로 이해되어야 한다. 도면의 설명과 관련하여, 유사한 구성요소에 대해서는 유사한 참조 부호가 사용될 수 있다.
본 문서에서, "포함한다," 또는 "포함할 수 있다" 등의 표현은 해당 특징(예: 수치, 기능, 동작, 또는 부품 등의 구성요소)의 존재를 가리키며, 추가적인 특징의 존재를 배제하지 않는다.
본 문서에서, "A 또는 B," "A 또는/및 B 중 적어도 하나," 또는 "A 또는/및 B 중 하나 또는 그 이상"등의 표현은 함께 나열된 항목들의 모든 가능한 조합을 포함할 수 있다. 예를 들면, "A 또는 B," "A 및 B 중 적어도 하나," 또는 "A 또는 B 중 적어도 하나"는, (1) 적어도 하나의 A를 포함, (2) 적어도 하나의 B를 포함, 또는 (3) 적어도 하나의 A 및 적어도 하나의 B 모두를 포함하는 경우를 모두 지칭할 수 있다.
본 문서에서 사용된 용어들은 단지 특정한 실시 예를 설명하기 위해 사용된 것으로, 다른 실시 예의 범위를 한정하려는 의도가 아닐 수 있다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함할 수 있다. 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 용어들은 본 문서에 기재된 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가질 수 있다. 본 문서에 사용된 용어들 중 일반적인 사전에 정의된 용어들은, 관련 기술의 문맥상 가지는 의미와 동일 또는 유사한 의미로 해석될 수 있으며, 본 문서에서 명백하게 정의되지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다. 경우에 따라서, 본 문서에서 정의된 용어일지라도 본 문서의 실시 예들을 배제하도록 해석될 수 없다.
본 발명의 청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술분야에서 통상의 지식을 가진자에 의해 다양한 변형실시가 가능한 것은 물론이고, 이러한 변형실시들은 본 발명의 기술적 사상이나 전망으로부터 개별적으로 이해되어져서는 안될 것이다.
또한, 본 발명에 따르는 방법은 컴퓨터로 읽을 수 있는 기록 매체에 컴퓨터가 읽을 수 있는 코드(프로그램)로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록 매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함할 수 있다. 컴퓨터가 읽을 수 있는 기록 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 데이터 저장 장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록 매체는 네트워크로 연결된 분산 컴퓨터 시스템에 의하여 분산 방식으로 실행될 수 있는 컴퓨터가 읽을 수 있는 코드를 저장할 수 있다.
네트워크 상황 또는 서버 상황에 따라서 다르지만, TCP 증폭은 대부분 클라이언트 요청 패킷에 대한 응답이 작아 증폭 효과가 미미하고 TCP 구조적 특징으로 인해 출발지 주소 또는 도착지 주소 변조가 어렵다.
반면 UDP 증폭은 비 연결 지향성을 가진 UDP의 구조적 특징으로인해 송수신되는 데이터 무결성 검증 과정이 존재하지 않아 빠른 데이터 송수신이 가능하지만 출발지 주소 또는 도착지 주소 변조가 가능하고, 클라이언트 요청 패킷에 대한 응답이 커 증폭 효과가 크다.
본 발명에서는 UDP 증폭 중 하나인 Memcached 프로토콜을 이용한 패킷 증폭 공격에 대한 대응방안을 제안한다.
첫번째로는 서버(Memcached 서버)의 메모리를 초기화하는 명령어를 서버 자체 또는 서버와 별도로 구비된 보안 클라이언트에서 사용하여, 서버에서 응답되는 패킷의 크기를 감소시키는 방안을 제시한다.
두번째로는 취약한 서버의 아이피주소를 보안 네트워크로 공유하여 패치를 유도하는 방안을 제시한다.
1. Memcached 증폭 공격 방식
Memcached 공격에서 공격자는 출발지 아이피를 공격대상 아이피로 변조하고 반사서버에 요청패킷을 송신한다. 반사서버는 수신된 변조 아이피로 응답패킷을 공격대상에게 송신한다.
이 때, 공격자는 다수의 좀비 PC / Bot 등을 이용하여 보다 많은 양의 요청패킷을 송신할 수 있다. 도 1에 도시된 바와 같이, 공격자(Attacker)는 다수의 마스터 PC에 공격 명령을 송신하고, 마스터 PC들은 다시 다수의 Bot들에 공격 명령을 송신하여, Bot들에서 Memcached 서버에 아이피를 변조한 상태로 요청패킷을 송신하게 된다.
이에 대하여 반사서버는 수신된 변조 아이피(공격대상 아이피)로 응답패킷을 송신한다.
2. 메모리 초기화를 통한 대응
본 발명의 실시 예에 따르면, UDP로 수신된 패킷이 DRDoS 공격인지 여부를 판단하는 단계; 및 상기 패킷이 DRDoS 공격(Memcached 증폭공격)으로 판단된 경우, 상기 패킷을 수신한 서버의 메모리 일부분을 초기화하는 단계;를 포함하는, DRDoS 공격 대응 방법을 제공한다.
상기 "패킷을 수신한 서버의 메모리 일부분을 초기화하는 단계"에서 '일부분'이란, '전체'를 포함하는 의미일 수 있다. 다만, 메모리 전체를 초기화하는 경우 공격자가 아닌 일반 서비스 이용자의 요청 패킷에 대한 메모리까지 초기화되어 서비스 속도 저하를 유발할 수도 있으므로, 공격자의 요청 패킷에 대한 메모리 등 DRDoS와 연관된 메모리 부분만을 선별적으로 초기화하는 것이 바람직하다.
상기와 같은 단계들은 Memcached 서버 자체 또는 외부의 보안 클라이언트를 통해 수행될 수 있다.
상기와 같은 단계에 따르면, 보안 클라이언트에서 Memcached 증폭공격이 판별되면 반사서버로 메모리를 초기화하는 특정한 명령어를 송신하여 공격의 효과를 일시적으로 감소시키게 된다.
보안 클라이언트는 반사서버로부터 유입되는 응답패킷 중에서 일정시간 동안 한계치에 도달하거나 비정상적인 패킷이 감지되면 반사 서버로 메모리 초기화 명령어를 송신하여 대역폭 소진을 일시적으로 감소시킨다. 그리고 반사서버의 아이피 주소를 보안 네트워크로 공유한다. 서버 주소를 보안 네트워크로 공유함으로써 해당 서버관리자에게 보안패치를 유도할 수 있다.
본 발명의 실시 예에서는 OS(Operation System)는 마이크로소프트의 Windows 10 Pro Build 1909 를 사용하고, 통합 개발환경(Integrated Development Environment)은 Microsoft의 Visual Studio 2019 C#, 그리고 오픈소스 패킷 전용라이브러리(library)는 Winpcap의 C#버전인 Sharppcap 5.0, 클라이언트 그래픽(User Interface) 처리는 Metro UI 를 사용하여 테스트하였다.
Memcached 증폭공격을 예방하는 프로그램의 설계는 다음과 같다. 후술하는 보안 클라이언트는 서버 자체에 구현되는 보안 모듈과 균등한 구성일 수 있다. 이 경우, '서버로 명령어를 송신'한다는 기재는 '서버에서 명령어를 처리'하는 의미로 이해될 수 있다.
먼저, Network Device Search 단계에서 네트워크 사용이 가능한 장치를 자동 으로 검색하여 Device View 에서 검색된 네트워크 장치들을 보안 클라이언트에 보여준다.
다음으로, 보안 클라이언트는 Shodan.io에서 제공하는 API를 사용하여 인터넷에 연결된 취약한 Memcached 서버 아이피를 수신한다. 수신 받은 취약한 Memcached 서버 아이피 정보를 리스트 형태로 동적메모리와 파일로 저장한다.
상기 파일 저장 부분은 파일의 외부 노출을 방지하기 위해 하이브리드 암호프로토콜로 진행하는 것이 바람직하다. 암호프로토콜은 안정성이 보장된 공개키 암호화 방식인 RSA와 대칭키 암호화 방식인 AES를 사용하고 전송 프로토콜은 TLS를 이용할 수 있다.
그리고, 출발지 아이피와 포트, 그리고 메모리를 초기화하는 명령어를 설정한 뒤 해당 명령어를 Memcached 서버에 전송한다.
마지막으로, 보안 클라이언트는 송신된 명령어를 기록한 메모리를 초기화하고 보안 프로세스를 종료한다.
3. 패치 유도를 통한 DRDoS 공격 예방
또한, 네트워크 사용이 가능한 장치를 검색하는 단계; 상기 네트워크 사용이 가능한 장치들 중 취약한 Memcached 서버로 판단된 장치들의 IP를 추출하는 단계; 및 상기 취약한 Memcached 서버 장치들에 청구항 1항의 DRDoS 공격 대응 방법을 적용하기 위한 패치를 유도하는 단계;를 포함하는, DRDoS 공격 대응 방법을 제공한다.
상기 패치를 유도하는 단계는: 패치를 안내하는 소정의 메세지를 송신하거나, 권한이 있는 경우에는 서버에 직접 패치 명령어를 송신하는 것을 의미할 수 있다.
패치 내용은, 일반적인 DRDoS 탐지 알고리즘으로부터 본 발명의 실시 예에 따른 메모리 초기화 방식의 공격 대응 알고리즘까지를 포함할 수 있다.
그리고, 상기 네트워크 사용이 가능한 장치들 중 취약한 Memcached 서버로 판단된 장치들의 IP를 추출하는 단계는: 상기 네트워크 사용이 가능한 장치에 소정의 DRDoS 패킷을 송신하는 단계; 상기 네트워크 사용이 가능한 장치로부터 반사된 응답 패킷을 보안 클라이언트에서 수신하는 단계; 상기 반사된 응답 패킷이 비정상 패킷으로 판단되는 경우, 해당 네트워크 사용이 가능한 장치를 취약한 Memcached 서버 장치로 판단하는 단계; 및 상기 보안 클라이언트에서 상기 취약한 Memcached 서버 장치로 메모리 초기화 명령어를 송신하는 단계;를 포함할 수 있다.
상기와 같이 DRDoS 공격과 유사한 패턴의 요청 패킷을 송신하고 해당 응답 패킷의 수신지를 보안 클라이언트(취약 서버를 검출하기 위해 사용하는 서버/컴퓨터)로 지정함으로써, 해당 Memcached 서버가 전술한 바와 같은 공격 대응 방법이나 다른 DRDoS 대응 방법에 의한 처리가 이루어지는지 여부를 판단할 수 있게 된다.
이에 따라, Memcached 증폭 공격에 대한 대응이 이루어지지 않는 Memcached 서버들을 취약한 서버로 판단하고, 해당 서버(또는 관리자, 관리 계정 등)에 보안 패치를 위한 메세지를 송신할 수 있다.
아울러, 상기와 같은 DRDoS 공격 대응 방법을 수행하기 위하여 컴퓨터로 판독 가능한 비일시적 저장매체에 저장된 프로그램을 제공한다.
또한, 상기와 같은 DRDoS 공격 대응 방법을 수행하는, DRDoS 공격 대응 기능을 구비한 서버 컴퓨터를 제공한다.
4. DRDoS 공격 대응 방법 설계 결과 분석
Memcached 증폭분석은 네트워크의 동적분석 방법과 정적분석 방법이 있다. 정적분석은 일반적인 네트워크의 알고리즘과 기존의 네트워크 흐름도의 문제점을 찾는 방법을 의미한다.
본 발명에서는 정적분석에 기초한 Memcached 증폭 대응 방법(알고리즘, 프로그램) 설계 결과를 동적분석한다.
공격자는 공격대상자(클라이언트; Victim)의 아이피로 패킷 출발지를 변조하여 외부에 정상적인 반사서버로 “Status”라는 서버의 상태정보 요청 명령어를 전송한다.
“Status” 명령어는 상태정보를 출력하기 때문에 공격자가 요청한 패킷 대비 서버의 응답크기가 상당히 크다.
반사서버는 공격자로부터 전송받은 명령어로 반사서버의 상태정보를 변조된 출발지 클라이언트에게 전송한다.
클라이언트에는 클라이언트가 요청하지 않은 반사서버 응답패킷이 집중되어 트래픽 병목현상이 발생된다. 그 결과 정상적인 사용자를 방해하고 네트워크 대역폭을 소모한다.
동적분석을 위해 C# 프로그래밍으로 DRDoS 공격 패턴과 유사한 형태의 패킷을 송신하는 프로그램(Memcached Tool)을 구현하였다. 구현된 프로그램은 임의로 선택된 100대의 공개 Memcahed 서버에 사용자가 입력한 명령어를 송신할 수 있다. 구현된 프로그램은 도 3과 같다.
이후, Memcached Tool을 이용하여 동적분석을 수행하였다. 네트워크 패킷 모니터링 프로그램인 Wireshark를 이용하여 Memcashed Tool에서 요청한 패킷의 크기및 명령어를 실시간으로 확인할 수 있다.
실제 공격이 아닌 시뮬레이션 환경이므로 출발지 아이피는 변조하지 않았고, 명령어는 stats로 현재 서버의 상태를 요청 하는 명령어이다.
수학식 1에 따라 패킷의 증폭률을 확인할 수 있다. 수식 1에서 x는 응답패킷의 크기이고, y는 요청패킷의 크기이다. z는 x와 y의 천장 함수의 결과이다. 그리고 여기서 사용하는 함수는 천장함수이다.
요청 패킷 명령어(stats)는 57바이트로 송신하고, 서버가 클라이언트로 보내는 응답 패킷은 1,214 바이트로 요청 대비 응답 값은 2,030% 증가했다.
상기와 같은 증폭률 값은 일정한 값은 아니며, 서버 상황에 따라 더 많은 응답, 또는 더 작은 응답이 올 수 있다.
이러한 상황에서 DRDoS 공격자들은 취약한 서버를 최대한 많이 확보해야 하며, 공격에 앞서 정교한 테스트 과정도 필요하다는 것을 알 수 있다.
Memcached 증폭패킷은 도 4와 같다.
Claims (5)
- (A) 네트워크 사용이 가능한 장치를 검색하는 단계와;
(B) 상기 네트워크 사용이 가능한 장치들 중 취약한 Memcached 서버로 판단된 장치들의 IP를 추출하는 단계와;
(C) 상기 취약한 Memcached 서버 장치들에 아래의 단계 (C1)과 (C2)의 DRDoS 공격 대응 방법을 적용하기 위한 패치를 유도하는 단계;를 포함하되,
상기 단계 (B)의 상기 네트워크 사용이 가능한 장치들 중 취약한 Memcached 서버로 판단된 장치들의 IP를 추출하는 단계는,
(B1) 상기 네트워크 사용이 가능한 장치에 소정의 DRDoS 패킷을 송신하는 단계와;
(B2) 상기 네트워크 사용이 가능한 장치로부터 반사된 응답 패킷을 보안 클라이언트에서 수신하는 단계와;
(B3) 상기 반사된 응답 패킷이 비정상 패킷으로 판단되는 경우, 해당 네트워크 사용이 가능한 장치를 취약한 Memcached 서버 장치로 판단하는 단계와;
(B4) 상기 보안 클라이언트에서 상기 취약한 Memcached 서버 장치로 메모리 초기화 명령어를 송신하는 단계;를 포함하고
(C1) UDP로 수신된 패킷이 DRDoS 공격인지 여부를 판단하는 단계; 및
(C2) 상기 패킷이 DRDoS 공격으로 판단된 경우, 상기 패킷을 수신한 서버의 메모리 일부분을 초기화하되, DRDoS와 연관된 메모리 부분만을 선별적으로 초기화하는 단계;를 포함하며,
상기 (C1)과 (C2) 단계는, Memcached 서버 자체 또는 외부의 보안 클라이언트를 통해 수행되는 것을 특징으로 하는 DRDoS 공격 대응 방법. - 삭제
- 삭제
- 청구항 1항의 DRDoS 공격 대응 방법을 수행하기 위하여 컴퓨터로 판독 가능한 비일시적 저장매체에 저장된 프로그램.
- 청구항 1항의 DRDoS 공격 대응 방법을 수행하는 DRDoS 공격 대응 기능을 구비한 서버 컴퓨터.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020210187492A KR102621652B1 (ko) | 2021-12-24 | 2021-12-24 | DRDoS 공격 대응 방법, DRDoS 공격 대응 프로그램 및 DRDoS 공격 대응 기능을 구비한 서버 컴퓨터 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020210187492A KR102621652B1 (ko) | 2021-12-24 | 2021-12-24 | DRDoS 공격 대응 방법, DRDoS 공격 대응 프로그램 및 DRDoS 공격 대응 기능을 구비한 서버 컴퓨터 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20230097724A KR20230097724A (ko) | 2023-07-03 |
| KR102621652B1 true KR102621652B1 (ko) | 2024-01-04 |
Family
ID=87157109
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020210187492A KR102621652B1 (ko) | 2021-12-24 | 2021-12-24 | DRDoS 공격 대응 방법, DRDoS 공격 대응 프로그램 및 DRDoS 공격 대응 기능을 구비한 서버 컴퓨터 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102621652B1 (ko) |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101263329B1 (ko) * | 2009-12-02 | 2013-05-16 | 한국전자통신연구원 | 네트워크 공격 방어 장치 및 방법, 이를 포함한 패킷 송수신 처리 장치 및 방법 |
| KR101776128B1 (ko) * | 2015-12-23 | 2017-09-19 | 주식회사 시큐아이 | 보안 장치 및 이의 동작 방법 |
| KR102512622B1 (ko) * | 2020-01-08 | 2023-03-23 | 건국대학교 산학협력단 | DRDoS 공격 탐지 방법 및 이를 수행하는 장치들 |
-
2021
- 2021-12-24 KR KR1020210187492A patent/KR102621652B1/ko active IP Right Grant
Non-Patent Citations (2)
| Title |
|---|
| DDoS 공격 대응 가이드, 과학기술정보통신부, 한국인터넷진흥원, 2021.08* |
| DrDoS cyberattacks based on the Memcached protocol, INCIBE, NEWSLETTER SUBSCRIPTION, 2021.08.07* |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20230097724A (ko) | 2023-07-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8170020B2 (en) | Leveraging active firewalls for network intrusion detection and retardation of attack | |
| US8423645B2 (en) | Detection of grid participation in a DDoS attack | |
| US8707440B2 (en) | System and method for passively identifying encrypted and interactive network sessions | |
| Osanaiye | Short Paper: IP spoofing detection for preventing DDoS attack in Cloud Computing | |
| KR101219796B1 (ko) | 분산 서비스 거부 방어 장치 및 그 방법 | |
| CN112788034B (zh) | 对抗网络攻击的处理方法、装置、电子设备和存储介质 | |
| US8201250B2 (en) | System and method for controlling abnormal traffic based on fuzzy logic | |
| Murphy et al. | An application of deception in cyberspace: Operating system obfuscation1 | |
| Särelä et al. | Evaluating intrusion prevention systems with evasions | |
| KR102512622B1 (ko) | DRDoS 공격 탐지 방법 및 이를 수행하는 장치들 | |
| KR102621652B1 (ko) | DRDoS 공격 대응 방법, DRDoS 공격 대응 프로그램 및 DRDoS 공격 대응 기능을 구비한 서버 컴퓨터 | |
| Samani et al. | Intrusion detection system for DoS attack in cloud | |
| US20170346844A1 (en) | Mitigating Multiple Advanced Evasion Technique Attacks | |
| KR100961870B1 (ko) | 네트워크 계층별 검사를 통한 웹 보안 시스템 및 방법 | |
| Patel et al. | Literature Review of Distributed: Denial of Service Attack Protection | |
| CN114726579A (zh) | 防御网络攻击的方法、装置、设备、存储介质及程序产品 | |
| KR100862321B1 (ko) | 시그니처를 사용하지 않는 네트워크 공격 탐지 및 차단방법 및 장치 | |
| Bhumika et al. | Use of honeypots to increase awareness regarding network security | |
| Lei et al. | Detecting root-level endpoint sensor compromises with correlated activity | |
| Kim et al. | HAS-Analyzer: Detecting HTTP-based C&C based on the Analysis of HTTP Activity Sets | |
| Flowers | Performance impact of header-based network steganographic countermeasures | |
| Ohri et al. | Software-Defined Networking Security Challenges and Solutions: A Comprehensive Survey | |
| Anbar et al. | NADTW: new approach for detecting TCP worm | |
| KR101639428B1 (ko) | 보드기반 단방향 통신제어 시스템 | |
| US11451584B2 (en) | Detecting a remote exploitation attack |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |