대규모 DDoS 공격. 새로운 대규모 DDoS 공격

사용자가 특정 리소스에 액세스할 수 없는 공격을 DDoS 공격 또는 서비스 거부 문제라고 합니다. 이러한 해커 공격의 주요 특징은 전 세계 수많은 컴퓨터에서 동시 요청이 이루어지며, 주로 잘 보호되는 회사나 정부 기관의 서버를 대상으로 하며 개별 비상업적 리소스를 대상으로 하는 경우는 적습니다.

감염된 컴퓨터는 일종의 '좀비'가 되며, 해커는 수백, 심지어 수만 마리의 '좀비'를 이용해 자원 장애(서비스 거부)를 일으킨다.

DDoS 공격에는 여러 가지 이유가 있을 수 있습니다. 가장 인기 있는 공격을 식별하고 동시에 다음 질문에 답해 봅시다. "DDoS 공격은 무엇입니까? 자신을 보호하는 방법은 무엇이며 그 결과는 무엇이며 어떤 수단으로 수행됩니까?"

경쟁

인터넷은 오랫동안 사업 아이디어, 대규모 프로젝트 구현 및 상당한 돈을 벌 수 있는 기타 방법의 소스였으므로 DDoS 공격이 명령에 따라 수행될 수 있습니다. 즉, 조직에서 경쟁자가 발생하여 이를 제거하려는 경우 인터넷 리소스(DDoS)를 통해 원치 않는 회사의 작업을 마비시키는 간단한 작업으로 해커(또는 그 그룹)에게 의지할 수 있습니다. 서버나 웹사이트에 대한 공격).

특정 목표와 목표에 따라 이러한 공격은 특정 기간 동안 적절한 힘을 사용하여 설정됩니다.

사기

웹 사이트에 대한 DDoS 공격은 시스템을 차단하고 개인 데이터 또는 기타 중요한 데이터에 액세스하기 위해 해커의 주도로 조직되는 경우가 많습니다. 공격자는 시스템을 마비시킨 후 공격받은 리소스의 기능을 복원하기 위해 일정 금액의 돈을 요구할 수 있습니다.

많은 인터넷 기업가들은 제시된 조건에 동의하여 작업 중단 시간으로 인해 자신의 행동을 정당화하고 막대한 손실을 입습니다. 매일 중단 시간 동안 상당한 이익을 잃는 것보다 사기꾼에게 소액을 지불하는 것이 더 쉽습니다.

오락

많은 사용자는 단순히 호기심이나 재미로 "DDoS 공격 - 정의 및 수행 방법"에 관심이 있습니다. 따라서 초보 공격자가 재미와 힘 테스트를 위해 무작위 리소스에 대한 공격을 구성하는 경우가 종종 있습니다.

이러한 이유와 함께 DDoS 공격에는 고유한 분류 특성이 있습니다.

  1. 대역폭. 오늘날 거의 모든 컴퓨터 공간에는 로컬 네트워크가 설치되어 있거나 단순히 인터넷에 연결되어 있습니다. 따라서 네트워크 플러딩이 자주 발생합니다. 즉, 하드 드라이브, 메모리 등의 후속 오류 또는 오류를 목적으로 특정 리소스 또는 장비에 대해 잘못 구성되고 의미 없는 시스템에 대한 많은 요청이 발생하는 것입니다.
  2. 시스템 고갈. Samp 서버에 대한 이러한 DDoS 공격은 물리적 메모리, 프로세서 시간 및 기타 시스템 리소스를 점유하기 위해 수행됩니다. 이러한 리소스가 없으면 공격받는 개체가 완전히 작동할 수 없습니다.
  3. 루핑. 끝없는 데이터 확인과 순환적으로 작동하는 기타 루프로 인해 객체는 많은 리소스를 낭비하게 되고, 이로 인해 메모리가 완전히 소진될 때까지 메모리가 막히게 됩니다.
  4. 거짓 공격. 이 조직은 보호 시스템을 잘못 트리거하여 궁극적으로 일부 리소스를 차단하는 것을 목표로 합니다.
  5. HTTP 프로토콜. 해커는 특수 암호화를 사용하여 저용량 HTTP 패킷을 전송하며 리소스는 당연히 DDoS 공격이 시작되는 것을 보지 못하고 서버 프로그램은 작업을 수행하는 동안 훨씬 더 큰 용량의 패킷을 다시 전송하여 피해자의 패킷을 막습니다. 이는 다시 서비스 실패로 이어집니다.
  6. 스머프 공격. 이것은 가장 위험한 종 중 하나입니다. 해커는 브로드캐스트 채널을 통해 피해자에게 가짜 ICMP 패킷을 보냅니다. 여기서 피해자의 주소는 공격자의 주소로 대체되고 모든 노드는 ping 요청에 대한 응답을 보내기 시작합니다. 이번 DDoS 공격은 100대의 컴퓨터가 처리하는 요청이 100배로 증폭되는 대규모 네트워크를 겨냥한 프로그램이다.
  7. UDP 플러드. 이 유형의 공격은 이전 공격과 다소 유사하지만 공격자는 ICMP 패킷 대신 UDP 패킷을 사용합니다. 이 방법의 핵심은 피해자의 IP 주소를 해커의 IP 주소로 대체하고 대역폭을 완전히 로드하여 시스템 충돌을 일으키는 것입니다.
  8. SYN 홍수. 공격자는 반환 주소가 잘못되었거나 완전히 누락된 SYN 채널을 통해 다수의 TCP 연결을 동시에 시작하려고 합니다. 이러한 시도를 여러 번 시도한 후에 대부분의 운영 체제는 문제가 있는 연결을 대기열에 추가하고 특정 횟수만큼 시도한 후에만 연결을 닫습니다. SYN 채널 흐름은 꽤 크며, 그러한 시도를 많이 한 후에 피해자 커널은 새로운 연결 열기를 거부하여 전체 네트워크를 차단합니다.
  9. "무거운 패키지". 이 유형은 "서버에 대한 DDoS 공격이란 무엇입니까?"라는 질문에 대한 답변을 제공합니다. 해커는 사용자의 서버에 패킷을 보내지만 대역폭이 포화되지 않고 프로세서 시간만을 목표로 합니다. 결과적으로 이러한 패키지는 시스템 오류로 이어지며 결과적으로 해당 리소스에도 오류가 발생합니다.
  10. 로그 파일. 할당량 및 순환 시스템에 보안 허점이 있는 경우 공격자는 대규모 패킷을 전송하여 서버 하드 드라이브의 여유 공간을 모두 차지할 수 있습니다.
  11. 프로그램 코드. 풍부한 경험을 가진 해커는 피해자 서버의 구조를 완벽하게 연구하고 특수 알고리즘(DDoS 공격 - 익스플로잇 프로그램)을 실행할 수 있습니다. 이러한 공격은 주로 다양한 분야와 분야의 기업 및 조직의 잘 보호되는 상업 프로젝트를 대상으로 합니다. 공격자는 프로그램 코드에서 허점을 찾아 시스템이나 서비스 충돌을 일으키는 잘못된 명령이나 기타 예외적인 알고리즘을 실행합니다.

DDoS 공격: 정의 및 자신을 보호하는 방법

DDoS 공격으로부터 보호하는 방법에는 여러 가지가 있습니다. 그리고 그것들은 모두 수동적, 능동적, 반동적, 예방적 네 부분으로 나눌 수 있습니다. 나중에 더 자세히 이야기하겠습니다.

경고

여기서 우리는 DDoS 공격을 유발할 수 있는 원인을 예방해야 합니다. 이러한 유형에는 개인적인 적대감, 법적 불일치, 경쟁 및 귀하와 귀하의 비즈니스 등에 대한 "증가된" 관심을 불러일으키는 기타 요인이 포함될 수 있습니다.

이러한 요인에 제때 대응하고 적절한 결론을 도출하면 많은 불쾌한 상황을 피할 수 있습니다. 이 방법은 문제의 기술적 측면보다는 문제에 더 기인할 수 있습니다.

대응조치

리소스에 대한 공격이 계속되면 법적, 기술적 활용을 모두 활용하여 문제의 원인(고객 또는 계약자)을 찾아야 합니다. 일부 회사에서는 기술적 방법을 사용하여 침입자를 검색하는 서비스를 제공합니다. 이번 문제에 관련된 전문가들의 자질을 토대로 DDoS 공격을 가한 해커뿐만 아니라 고객 본인도 찾아낼 수 있다.

소프트웨어 보호

일부 하드웨어 및 소프트웨어 제조업체는 해당 제품과 함께 몇 가지 효과적인 솔루션을 제공할 수 있으며 사이트에 대한 DDoS 공격은 즉시 중단됩니다. 중소 규모의 DDoS 공격 대응을 목표로 하는 별도의 소형 서버가 기술적 방어 역할을 할 수 있습니다.

이 솔루션은 중소기업에 적합합니다. 대기업, 기업 및 정부 기관의 경우 DDoS 공격에 맞서기 위한 전체 하드웨어 시스템이 있으며, 이는 높은 가격과 함께 뛰어난 보호 특성을 가지고 있습니다.

여과법

들어오는 트래픽을 차단하고 신중하게 필터링하면 공격 가능성을 줄일 수 있을 뿐만 아니라 경우에 따라 서버에 대한 DDoS 공격을 완전히 배제할 수도 있습니다.

트래픽을 필터링하는 방법에는 방화벽과 전체 목록 라우팅이라는 두 가지 주요 방법이 있습니다.

목록(ACL)을 사용한 필터링을 사용하면 TCP를 중단하거나 보호된 리소스에 대한 액세스 속도를 줄이지 않고도 필수적이지 않은 프로토콜을 필터링할 수 있습니다. 그러나 해커가 봇넷이나 고주파수 요청을 사용하는 경우 이 방법은 효과적이지 않습니다.

DDoS 공격으로부터 훨씬 더 잘 보호하지만 유일한 단점은 개인 및 비상업적 네트워크에만 사용된다는 것입니다.

거울

이 방법의 핵심은 들어오는 모든 공격자 트래픽을 다시 리디렉션하는 것입니다. 이는 트래픽을 리디렉션할 뿐만 아니라 공격자의 장비를 비활성화할 수 있는 강력한 서버와 유능한 전문가를 보유함으로써 가능합니다.

시스템 서비스, 프로그램 코드 및 기타 네트워크 응용 프로그램에 오류가 있으면 이 방법이 작동하지 않습니다.

취약점 검색

이러한 유형의 보호는 악용 패치를 적용하고 웹 애플리케이션 및 시스템은 물론 네트워크 트래픽을 담당하는 기타 서비스의 오류를 제거하는 것을 목표로 합니다. 이 방법은 특히 이러한 취약점을 겨냥한 플러드 공격에 대해서는 쓸모가 없습니다.

최신 리소스

이 방법은 100% 보호를 보장할 수 없습니다. 그러나 DDoS 공격을 방지하기 위해 다른 조치(또는 일련의 조치)를 보다 효과적으로 수행할 수 있습니다.

시스템 및 자원 할당

리소스를 복제하고 시스템을 배포하면 서버가 현재 DDoS 공격을 받고 있는 경우에도 사용자가 데이터로 작업할 수 있습니다. 배포를 위해서는 다양한 서버나 네트워크 장비를 사용할 수 있으며, 서로 다른 중복 시스템(데이터센터)에 서비스를 물리적으로 분리하는 것도 권장됩니다.

이 보호 방법은 올바른 아키텍처 설계가 만들어진 경우 오늘날 가장 효과적입니다.

회피

이 방법의 주요 특징은 공격 대상 개체(도메인 이름 또는 IP 주소)의 출력 및 분할입니다. 즉, 한 사이트에 있는 모든 작업 리소스는 분할되어 타사 네트워크 주소 또는 다른 영역에 있어야 합니다. 상태. 이를 통해 어떤 공격에서도 살아남고 내부 IT 구조를 보존할 수 있습니다.

DDoS 공격으로부터 보호하기 위한 서비스

DDoS 공격과 같은 재앙(그것이 무엇인지, 어떻게 대처해야 하는지)에 대해 모든 것을 이야기한 후 마침내 한 가지 좋은 조언을 드릴 수 있습니다. 많은 대규모 조직에서는 이러한 공격을 예방하고 예방하기 위한 서비스를 제공합니다. 기본적으로 이러한 회사는 대부분의 DDoS 공격으로부터 비즈니스를 보호하기 위해 다양한 조치와 다양한 메커니즘을 사용합니다. 그들은 해당 분야의 전문가와 전문가를 고용하므로 귀하의 리소스가 귀하에게 소중한 경우 가장 좋은 옵션은 (비록 저렴하지는 않지만) 이러한 회사 중 하나에 문의하는 것입니다.

DDoS 공격을 직접 수행하는 방법

인식은 무장되어 있습니다 - 진정한 원칙입니다. 그러나 개인이나 집단에 의한 DDoS 공격을 고의적으로 조직하는 것은 범죄 행위이므로 이 자료는 정보 제공의 목적으로만 제공됩니다.

미국 IT 위협 예방 전문가들은 서버 부하에 대한 저항력과 공격자가 DDoS 공격을 수행한 후 이 공격을 제거할 가능성을 테스트하는 프로그램을 개발했습니다.

당연히 "뜨거운" 마음은 이 무기를 개발자 자신과 그들이 맞서 싸우고 있는 대상에 대항하도록 돌렸습니다. 제품 코드명은 LOIC입니다. 본 프로그램은 무료로 제공되며, 원칙적으로 법적으로 금지되지 않습니다.

프로그램의 인터페이스와 기능은 매우 간단하여 DDoS 공격에 관심이 있는 사람이라면 누구나 사용할 수 있습니다.

모든 것을 스스로하는 방법? 인터페이스 라인에 IP 피해자를 입력한 다음 TCP 및 UDP 흐름과 요청 수를 설정하세요. 짜잔-탐나는 버튼을 누른 후 공격이 시작되었습니다!

당연히 심각한 리소스는 이 소프트웨어의 영향을 받지 않지만 작은 리소스에는 몇 가지 문제가 발생할 수 있습니다.

소개

이 리뷰를 작성할 때 주로 통신 사업자 및 해당 데이터 네트워크의 업무를 이해하는 청중에게 초점을 맞추었음을 즉시 예약하겠습니다. 이 문서에서는 DDoS 공격에 대한 기본 보호 원칙, 지난 10년간의 개발 내역 및 현재 상황을 간략하게 설명합니다.

DDoS란 무엇입니까?

아마도 오늘날 모든 "사용자"는 아니더라도 적어도 모든 "IT 전문가"는 DDoS 공격이 무엇인지 알고 있을 것입니다. 하지만 아직 몇 마디 말을 해야 합니다.

DDoS 공격(분산 서비스 거부)은 합법적인 사용자가 컴퓨터 시스템(네트워크 리소스 또는 통신 채널)에 액세스할 수 없도록 만드는 것을 목표로 하는 공격입니다. DDoS 공격에는 인터넷에 있는 하나 이상의 컴퓨터에서 특정 리소스를 향해 동시에 많은 수의 요청을 보내는 것이 포함됩니다. 수천, 수만 또는 수백만 대의 컴퓨터가 동시에 특정 서버(또는 네트워크 서비스)에 요청을 보내기 시작하면 서버가 이를 처리할 수 없거나 이 서버에 대한 통신 채널에 대한 대역폭이 충분하지 않게 됩니다. . 두 경우 모두 인터넷 사용자는 공격받은 서버에 액세스할 수 없으며 차단된 통신 채널을 통해 연결된 모든 서버 및 기타 리소스에도 액세스할 수 없습니다.

DDoS 공격의 일부 특징

DDoS 공격은 누구를 대상으로, 어떤 목적으로 시작됩니까?

DDoS 공격은 인터넷의 모든 리소스에 대해 실행될 수 있습니다. DDoS 공격으로 인해 가장 큰 피해를 입는 기업은 은행(인터넷 뱅킹 서비스 제공), 온라인 상점, 거래 플랫폼, 경매 및 기타 유형의 활동, 활동 및 효율성 등 인터넷에서의 존재와 직접적인 관련이 있는 조직입니다. 그 중 인터넷 대표 사무소(여행사, 항공사, 하드웨어 및 소프트웨어 제조업체 등)에 크게 의존합니다. DDoS 공격은 IBM, Cisco Systems, Microsoft 등과 같은 글로벌 IT 산업의 거대 기업의 리소스에 대해 정기적으로 실행됩니다. . eBay.com, Amazon.com 및 많은 유명 은행과 조직에 대해 대규모 DDoS 공격이 관찰되었습니다.

DDoS 공격은 정치 조직, 기관 또는 유명 인사의 웹 표현을 대상으로 실행되는 경우가 많습니다. 많은 사람들이 2008년 조지아-오세티야 전쟁 중 조지아 대통령의 웹사이트(2008년 8월부터 몇 달 동안 웹사이트를 사용할 수 없었음)와 에스토니아 정부 서버를 대상으로 시작된 대규모의 장기간 DDoS 공격에 대해 알고 있습니다. (2007년 봄, 청동 병사 이송과 관련된 불안 기간 중), 미국 사이트에 대한 북한 인터넷 부문의 주기적인 공격에 대해 설명합니다.

DDoS 공격의 주요 목적은 협박과 갈취를 통해 이익(직접 또는 간접)을 추출하거나 정치적 이익을 추구하거나 상황을 확대하거나 보복하는 것입니다.

DDoS 공격을 시작하는 메커니즘은 무엇입니까?

DDoS 공격을 실행하는 가장 널리 사용되고 위험한 방법은 봇넷(BotNet)을 사용하는 것입니다. 봇넷은 특수 소프트웨어 북마크(봇)가 설치된 컴퓨터 집합으로, 영어로 번역하면 봇넷은 봇 네트워크입니다. 봇은 일반적으로 해커가 각 봇넷에 대해 개별적으로 개발하며, 봇넷 제어 서버(Botnet Command and Control Server)에서 수신한 명령에 따라 인터넷의 특정 리소스에 요청을 보내는 것이 주요 목표입니다. 봇넷 제어 서버는 해커 또는 봇넷을 구입한 사람과 해커로부터 DDoS 공격을 시작할 수 있는 능력에 의해 제어됩니다. 봇은 일반적으로 취약한 서비스가 있는 컴퓨터를 공격하고 소프트웨어 북마크를 설치하거나, ​​완전히 무해하거나 심지어는 아무런 해를 끼치지 않는 다른 서비스나 소프트웨어를 제공하는 것처럼 가장하여 사용자를 속이고 봇을 설치하도록 강요하는 등 다양한 방식으로 인터넷에서 확산됩니다. 유용한 기능. 봇을 확산시키는 방법에는 여러 가지가 있으며 정기적으로 새로운 방법이 발명됩니다.

봇넷이 수만 대 또는 수십만 대의 컴퓨터로 충분히 큰 경우 이러한 모든 컴퓨터에서 특정 네트워크 서비스(예: 특정 사이트의 웹 서비스)를 향해 완전히 합법적인 요청을 동시에 전송하면 다음과 같은 결과가 발생합니다. 서비스 자체나 서버의 리소스가 고갈되거나 통신 채널 기능이 고갈됩니다. 어떠한 경우에도 이용자는 서비스를 이용할 수 없게 되며, 서비스 소유자는 직·간접적, 명예에 손해를 입게 됩니다. 그리고 각 컴퓨터가 초당 하나의 요청이 아니라 수십, 수백, 수천 개의 요청을 보내면 공격의 영향이 여러 배 증가하여 가장 생산적인 리소스나 통신 채널도 파괴될 수 있습니다.

일부 공격은 보다 "무해한" 방식으로 시작됩니다. 예를 들어, 합의에 따라 특정 시간에 특정 서버를 향해 자신의 컴퓨터에서 "핑" 또는 기타 요청을 실행하는 특정 포럼 사용자의 플래시몹이 있습니다. 또 다른 예는 인기 있는 인터넷 리소스에 웹 사이트에 대한 링크를 배치하여 사용자가 대상 서버로 유입되는 것입니다. "가짜" 링크(외관상으로는 하나의 리소스에 대한 링크처럼 보이지만 실제로는 완전히 다른 서버에 대한 링크)가 소규모 조직의 웹사이트를 참조하지만 인기 있는 서버나 포럼에 게시된 경우 이러한 공격으로 인해 다음과 같은 문제가 발생할 수 있습니다. 이 사이트에 원치 않는 방문자 유입. 마지막 두 가지 유형의 공격으로 인해 적절하게 구성된 호스팅 사이트에서 서버 가용성이 중단되는 경우는 거의 없지만 2009년 러시아에서도 그러한 사례가 있었습니다.

DDoS 공격에 대한 기존의 기술적 보호 수단이 도움이 될까요?

DDoS 공격의 특징은 여러 개의 동시 요청으로 구성되어 있으며 각 요청은 개별적으로 완전히 "합법적"입니다. 더욱이 이러한 요청은 가장 일반적인 실제 사용자 또는 잠재적 사용자에게 속할 수 있는 컴퓨터(봇에 감염됨)에 의해 전송됩니다. 공격받은 서비스나 리소스의 따라서 표준 도구를 사용하여 DDoS 공격을 구성하는 요청을 정확하게 식별하고 필터링하는 것은 매우 어렵습니다. IDS/IPS 클래스의 표준 시스템(침입 감지/방지 시스템 - 네트워크 공격을 감지/방지하는 시스템)은 이러한 요청에서 "악성 말뭉치"를 찾지 않으며, 다음과 같은 조치를 수행하지 않는 한 공격의 일부임을 이해하지 못합니다. 교통 이상 현상에 대한 질적 분석. 그리고 발견하더라도 불필요한 요청을 필터링하는 것도 그리 쉽지 않습니다. 표준 방화벽과 라우터는 명확하게 정의된 액세스 목록(제어 규칙)을 기반으로 트래픽을 필터링하고, 프로필에 "동적으로" 적응하는 방법을 모릅니다. 특정 공격. 방화벽은 소스 주소, 사용된 네트워크 서비스, 포트 및 프로토콜과 같은 기준을 기반으로 트래픽 흐름을 규제할 수 있습니다. 그러나 일반 인터넷 사용자는 가장 일반적인 프로토콜을 사용하여 요청을 보내는 DDoS 공격에 가담합니다. 통신 사업자는 모든 사람과 모든 것을 금지하지 않습니까? 그런 다음 가입자에게 통신 서비스 제공을 중단하고 서비스를 제공하는 네트워크 리소스에 대한 액세스 제공을 중단합니다. 이는 실제로 공격 개시자가 달성하려는 것입니다.

많은 전문가들은 트래픽의 이상 징후 탐지, 트래픽 프로필 및 공격 프로필 구축, 후속 동적 다단계 트래픽 필터링 프로세스로 구성된 DDoS 공격 방지를 위한 특수 솔루션의 존재를 알고 있을 것입니다. 그리고 이 기사에서는 이러한 솔루션에 대해서도 조금 나중에 이야기하겠습니다. 먼저, 데이터 네트워크와 그 관리자의 기존 수단을 통해 DDoS 공격을 억제하기 위해 취할 수 있는 잘 알려지지 않았지만 때로는 매우 효과적인 조치에 대해 이야기하겠습니다.

사용 가능한 수단을 사용하여 DDoS 공격으로부터 보호

일부 특수한 경우 DDoS 공격을 억제할 수 있는 몇 가지 메커니즘과 "트릭"이 있습니다. 일부는 데이터 네트워크가 특정 제조업체의 장비에 구축된 경우에만 사용할 수 있으며 다른 일부는 어느 정도 보편적입니다.

Cisco Systems 권장 사항부터 시작해 보겠습니다. 이 회사 전문가들은 네트워크 관리 수준(Control Plane), 네트워크 관리 수준(Management Plane), 네트워크 데이터 수준(Data Plane) 보호를 포함하는 네트워크 기반 보호(Network Foundation Protection)를 제공할 것을 권장합니다.

관리 플레인 보호

"관리 계층"이라는 용어는 라우터 및 기타 네트워크 장비를 관리하거나 모니터링하는 모든 트래픽을 포함합니다. 이 트래픽은 라우터를 향하거나 라우터에서 시작됩니다. 이러한 트래픽의 예로는 Telnet, SSH 및 http(s) 세션, syslog 메시지, SNMP 트랩이 있습니다. 일반적인 모범 사례는 다음과 같습니다.

암호화 및 인증을 사용하여 관리 및 모니터링 프로토콜의 최대 보안을 보장합니다.

  • SNMP v3 프로토콜은 보안 조치를 제공하는 반면 SNMP v1은 실제로 제공하지 않으며 SNMP v2는 부분적으로만 제공합니다. 기본 커뮤니티 값은 항상 변경해야 합니다.
  • 공공 및 민간 커뮤니티에 대해 서로 다른 값을 사용해야 합니다.
  • 텔넷 프로토콜은 로그인 및 비밀번호를 포함한 모든 데이터를 일반 텍스트로 전송합니다(트래픽이 차단되면 이 정보를 쉽게 추출하여 사용할 수 있음). 대신 항상 ssh v2 프로토콜을 사용하는 것이 좋습니다.
  • 마찬가지로 http 대신 https를 사용하여 장비에 액세스하고, 적절한 비밀번호 정책, 중앙 집중식 인증, 권한 부여 및 계정(AAA 모델), 중복 목적을 위한 로컬 인증을 포함하여 장비에 대한 엄격한 액세스 제어를 수행합니다.

역할 기반 액세스 모델 구현

액세스 제어 목록을 사용하여 소스 주소별로 허용된 연결을 제어합니다.

사용하지 않는 서비스를 비활성화합니다. 이 서비스 중 다수는 기본적으로 활성화되어 있습니다(또는 시스템을 진단하거나 구성한 후 비활성화하는 것을 잊었습니다).

장비 자원의 사용을 모니터링합니다.

마지막 두 가지 사항에 대해 더 자세히 살펴볼 가치가 있습니다.
기본적으로 켜져 있거나 장비를 구성하거나 진단한 후 꺼지는 것을 잊은 일부 서비스는 공격자가 기존 보안 규칙을 우회하는 데 사용될 수 있습니다. 이러한 서비스 목록은 다음과 같습니다.

  • PAD(패킷 어셈블러/디스어셈블러);

당연히 이러한 서비스를 비활성화하기 전에 해당 서비스가 네트워크에 필요한지 신중하게 분석해야 합니다.

장비 자원의 사용을 모니터링하는 것이 좋습니다. 이를 통해 첫째, 개별 네트워크 요소의 과부하를 적시에 파악하고 사고 예방 조치를 취할 수 있으며, 둘째, 특별한 수단으로 탐지가 제공되지 않는 경우 DDoS 공격 및 이상 현상을 탐지할 수 있습니다. 최소한 다음을 모니터링하는 것이 좋습니다.

  • CPU 로드
  • 메모리 사용량
  • 라우터 인터페이스의 혼잡.

모니터링은 "수동"(장비 상태 주기적 모니터링)으로 수행할 수 있지만, 물론 특수 네트워크 모니터링이나 정보 보안 모니터링 시스템(후자에는 Cisco MARS 포함)을 사용하여 수행하는 것이 더 좋습니다.

컨트롤 플레인 보호

네트워크 관리 계층에는 지정된 토폴로지 및 매개변수에 따라 네트워크의 기능과 연결을 보장하는 모든 서비스 트래픽이 포함됩니다. 컨트롤 플레인 트래픽의 예로는 모든 라우팅 프로토콜(경우에 따라 SSH 및 SNMP 프로토콜, ICMP 등)을 포함하여 경로 프로세서(RR)에서 생성되거나 해당 경로로 향하는 모든 트래픽이 있습니다. 라우팅 프로세서의 기능에 대한 모든 공격, 특히 DDoS 공격은 네트워크 기능에 심각한 문제와 중단을 초래할 수 있습니다. 다음은 제어 영역을 보호하기 위한 모범 사례입니다.

컨트롤 플레인 폴리싱

이는 QoS(서비스 품질) 메커니즘을 사용하여 사용자 트래픽(공격이 포함됨)보다 제어 플레인 트래픽에 더 높은 우선 순위를 부여하는 것으로 구성됩니다. 이를 통해 서비스 프로토콜 및 라우팅 프로세서의 작동, 즉 네트워크의 토폴로지 및 연결 유지는 물론 패킷의 실제 라우팅 및 전환이 보장됩니다.

IP 수신 ACL

이 기능을 사용하면 라우터 및 라우팅 프로세서를 위한 서비스 트래픽을 필터링하고 제어할 수 있습니다.

  • 트래픽이 라우팅 프로세서에 도달하기 전에 라우팅 장비에 직접 적용되어 "개인" 장비를 보호합니다.
  • 트래픽이 일반 액세스 제어 목록을 통과한 후에 적용됩니다. 이는 라우팅 프로세서로 가는 길에 있는 마지막 보호 수준입니다.
  • 모든 트래픽(통신 사업자 네트워크와 관련된 내부, 외부 및 전송 모두)에 적용됩니다.

인프라 ACL

일반적으로 라우팅 장비의 독점 주소에 대한 액세스는 통신업체 자체 네트워크의 호스트에만 필요하지만 예외도 있습니다(예: eBGP, GRE, IPv4 터널을 통한 IPv6 및 ICMP). 인프라 ACL:

  • 일반적으로 통신 사업자 네트워크의 가장자리("네트워크 입구")에 설치됩니다.
  • 외부 호스트가 운영자의 인프라 주소에 액세스하는 것을 방지하는 목표를 가지고 있습니다.
  • 운영자 네트워크 경계를 넘어 방해받지 않는 트래픽 전송을 보장합니다.
  • RFC 1918, RFC 3330에 설명된 승인되지 않은 네트워크 활동에 대한 기본 보호 메커니즘, 특히 스푸핑(스푸핑, 공격 시작 시 위장하기 위해 가짜 소스 IP 주소를 사용하는 것)에 대한 보호를 제공합니다.

이웃 인증

인접 인증의 주요 목적은 네트워크의 라우팅을 변경하기 위해 위조된 라우팅 프로토콜 메시지를 보내는 공격을 방지하는 것입니다. 이러한 공격은 네트워크 무단 침입, 네트워크 리소스의 무단 사용, 공격자가 필요한 정보를 분석하고 얻기 위해 트래픽을 가로채는 결과를 초래할 수 있습니다.

BGP 설정

  • BGP 접두사 필터 - 통신 사업자의 내부 네트워크 경로에 대한 정보가 인터넷으로 확산되지 않도록 하는 데 사용됩니다(때때로 이 정보는 공격자에게 매우 유용할 수 있음).
  • 다른 라우터에서 수신할 수 있는 접두사 수 제한(접두사 제한) - 피어링 파트너 네트워크의 DDoS 공격, 이상 및 오류로부터 보호하는 데 사용됩니다.
  • BGP 커뮤니티 매개변수를 사용하고 이에 따른 필터링을 사용하여 라우팅 정보 배포를 제한할 수도 있습니다.
  • BGP 모니터링 및 관찰된 트래픽과 BGP 데이터를 비교하는 것은 DDoS 공격 및 이상 현상을 조기에 감지하는 메커니즘 중 하나입니다.
  • TTL(Time-to-Live) 매개변수로 필터링 - BGP 파트너를 확인하는 데 사용됩니다.

BGP 공격이 피어링 파트너의 네트워크가 아닌 더 먼 네트워크에서 시작되는 경우 BGP 패킷의 TTL 매개변수는 255 미만이 됩니다. TTL이 포함된 모든 BGP 패킷을 삭제하도록 이동통신사의 경계 라우터를 구성할 수 있습니다. 값< 255, а маршрутизаторы пиринг-партнеров наоборот - чтобы они генерировали только BGP-пакеты с параметром TTL=255. Так как TTL при каждом хопе маршрутизации уменьшается на 1, данный нехитрый приём позволит легко избежать атак из-за границ вашего пиринг-партнера.

네트워크의 데이터 플레인 보호(Data Plane)

관리 및 관리 수준 보호의 중요성에도 불구하고 통신 사업자 네트워크의 트래픽 대부분은 데이터, 전송 또는 해당 사업자의 가입자를 위한 것입니다.

uRPF(유니캐스트 역방향 경로 전달)

스푸핑 기술을 사용하여 공격이 시작되는 경우가 많습니다. 즉, 공격 소스를 추적할 수 없도록 소스 IP 주소가 위조됩니다. 스푸핑된 IP 주소는 다음과 같습니다.

  • 실제로 사용된 주소 공간에서 가져온 것이지만 다른 네트워크 세그먼트에 있습니다(공격이 시작된 세그먼트에서는 이러한 가짜 주소가 라우팅되지 않습니다).
  • 주어진 데이터 전송 네트워크에서 사용되지 않는 주소 공간으로부터;
  • 인터넷에서 라우팅할 수 없는 주소 공간에서.

라우터에 uRPF 메커니즘을 구현하면 패킷이 라우터 인터페이스에 도착한 네트워크 세그먼트에서 호환되지 않거나 사용되지 않는 소스 주소를 가진 패킷의 라우팅을 방지할 수 있습니다. 이 기술을 사용하면 소스에 가장 가까운 원치 않는 트래픽을 가장 효과적으로 필터링할 수 있습니다. 많은 DDoS 공격(유명한 Smurf 및 Tribal Flood Network 포함)은 표준 보안 및 트래픽 필터링 조치를 속이기 위해 스푸핑 메커니즘을 사용하고 지속적으로 소스 주소를 변경합니다.

가입자에게 인터넷 액세스를 제공하는 통신 사업자가 uRPF 메커니즘을 사용하면 가입자가 인터넷 리소스에 대해 지시하는 스푸핑 기술을 사용하는 DDoS 공격을 효과적으로 방지할 수 있습니다. 따라서 DDoS 공격은 소스에 가장 가까운, 즉 가장 효과적으로 억제됩니다.

원격 트리거 블랙홀(RTBH)

제어된 블랙홀(원격 트리거 블랙홀)은 이 트래픽을 특수 Null 0 인터페이스로 라우팅하여 네트워크로 들어오는 트래픽을 "덤프"(파괴, "아무데도" 보내지 않음)하는 데 사용됩니다. 이 기술은 네트워크 가장자리에서 덤프하는 데 사용하는 것이 좋습니다. DDoS가 포함된 공격 트래픽이 네트워크에 진입할 때 발생합니다. 이 방법의 한계(중요한 점)는 공격 대상인 특정 호스트를 향한 모든 트래픽에 적용된다는 것입니다. 따라서 이 방법은 하나 이상의 호스트가 대규모 공격을 받아 공격받은 호스트뿐만 아니라 다른 가입자와 통신 사업자의 네트워크 전체에 문제를 일으키는 경우에 사용할 수 있습니다.

블랙홀은 수동으로 또는 BGP 프로토콜을 통해 관리할 수 있습니다.

BGP(QPPB)를 통한 QoS 정책 전파

BGP(QPPB)를 통한 QoS 제어를 사용하면 특정 자율 시스템이나 IP 주소 블록으로 향하는 트래픽에 대한 우선 순위 정책을 관리할 수 있습니다. 이 메커니즘은 원치 않는 트래픽이나 DDoS 공격이 포함된 트래픽에 대한 우선순위 수준을 관리하는 등 통신 사업자와 대기업에 매우 유용할 수 있습니다.

싱크홀

어떤 경우에는 블랙홀을 사용하여 트래픽을 완전히 제거할 필요가 없지만 후속 모니터링 및 분석을 위해 트래픽을 기본 채널이나 리소스에서 다른 곳으로 전환해야 합니다. 이것이 바로 "전환 채널" 또는 싱크 홀이 설계된 이유입니다.

싱크홀은 다음과 같은 경우에 가장 자주 사용됩니다.

  • 통신 사업자 네트워크의 주소 공간에 속하지만 실제로 사용되지 않는(장비나 사용자에게 할당되지 않은) 대상 주소로 트래픽을 전환하고 분석합니다. 이러한 트래픽은 구조에 대한 자세한 정보가 없는 공격자가 네트워크를 스캔하거나 침투하려는 시도를 나타내는 경우가 많기 때문에 선험적으로 의심스럽습니다.
  • 통신사업자 네트워크에서 실제로 작동하는 자원인 공격 대상의 트래픽을 리디렉션하여 모니터링 및 분석합니다.

특수 도구를 사용한 DDoS 방어

Cisco Clean Pipes 개념은 업계 개척자입니다.

DDoS 공격에 대한 최신 보호 개념은 Cisco Systems에서 개발했습니다(네, 네, 놀라지 않으실 겁니다! :)). Cisco에서 개발한 개념을 Cisco Clean Pipes라고 합니다. 거의 10년 전에 자세히 개발된 이 개념은 교통 이상 현상으로부터 보호하는 기본 원리와 기술을 어느 정도 자세히 설명하며, 대부분은 다른 제조업체를 포함하여 오늘날에도 여전히 사용되고 있습니다.

Cisco Clean Pipes 개념에는 DDoS 공격을 탐지하고 완화하기 위한 다음 원칙이 포함됩니다.

포인트(네트워크 구간)를 선택하고 트래픽을 분석하여 이상 징후를 식별합니다. 우리가 보호하는 대상에 따라 이러한 포인트는 통신 사업자와 상위 사업자의 피어링 연결, 하위 사업자 또는 가입자의 연결 포인트, 데이터 처리 센터를 네트워크에 연결하는 채널일 수 있습니다.

특수 탐지기는 이들 지점의 트래픽을 분석해 정상 상태의 트래픽 프로파일을 구축(연구)하고, DDoS 공격이나 이상 징후가 나타나면 이를 탐지하고 연구해 그 특성을 동적으로 형성한다. 다음으로 시스템 운영자는 정보를 분석하고 반자동 또는 자동 모드로 공격을 억제하는 프로세스를 시작합니다. 억제는 "피해자"로 향하는 트래픽이 필터링 장치를 통해 동적으로 리디렉션되는 방식입니다. 여기서 탐지기에 의해 생성된 필터는 이 트래픽에 적용되고 이 공격의 개별 특성을 반영합니다. 삭제된 트래픽은 네트워크로 유입되어 수신자에게 전송됩니다(이것이 Clean Pipes라는 이름이 발생한 이유입니다. 가입자는 공격이 포함되지 않은 "클린 채널"을 수신합니다).

따라서 DDoS 공격에 대한 전체 보호 주기에는 다음과 같은 주요 단계가 포함됩니다.

  • 트래픽 제어 특성 교육(프로파일링, 기준 학습)
  • 공격 및 이상 징후 탐지(Detection)
  • 트래픽을 청소 장치를 통과하도록 리디렉션(전환)
  • 공격을 억제하기 위한 트래픽 필터링(완화)
  • 트래픽을 다시 네트워크에 주입하고 이를 수신자에게 보냅니다(삽입).

여러 가지 기능.
두 가지 유형의 장치를 감지기로 사용할 수 있습니다.

  • Cisco Systems에서 제조한 탐지기는 Cisco 6500/7600 섀시에 설치하도록 설계된 Cisco Traffic Anomaly Detector Services Module입니다.
  • Arbor Networks에서 제조한 감지기는 Arbor Peakflow SP CP 장치입니다.

아래는 Cisco와 Arbor 감지기를 비교한 표입니다.

매개변수

Cisco 트래픽 이상 탐지기

아버 피크플로우 SP CP

분석을 위한 교통정보 획득

Cisco 6500/7600 섀시에 할당된 트래픽의 복사본을 사용합니다.

라우터로부터 수신된 Netflow 트래픽 데이터를 사용하며, 샘플링 조정 가능(1:1, 1:1,000, 1:10,000 등)

사용된 식별 원리

시그니처 분석(오용 탐지) 및 이상 탐지(동적프로파일링)

주로 이상 탐지; 시그니처 분석이 사용되지만 시그니처는 일반적인 성격을 가집니다.

폼 팩터

Cisco 6500/7600 섀시의 서비스 모듈

별도의 장치(서버)

성능

최대 2Gbit/s의 트래픽이 분석됩니다.

사실상 무제한(샘플링 주파수를 줄일 수 있음)

확장성

최대 4개 모듈 설치시스코탐지기SM하나의 섀시에 포함(단, 모듈은 서로 독립적으로 작동함)

단일 분석 시스템 내에서 여러 장치를 사용할 수 있으며 그 중 하나는 리더 상태로 지정됩니다.

네트워크 트래픽 및 라우팅 모니터링

사실상 기능이 없습니다

기능이 많이 발전했습니다. 많은 통신 사업자는 네트워크 트래픽 모니터링 및 라우팅을 위한 심층적이고 정교한 기능 때문에 Arbor Peakflow SP를 구입합니다.

포털 제공(가입자와 직접 관련된 네트워크 부분만 모니터링할 수 있는 가입자를 위한 개별 인터페이스)

제공되지 않음

제공됩니다. 통신 사업자가 가입자에게 개별 DDoS 보호 서비스를 판매할 수 있기 때문에 이는 이 솔루션의 심각한 이점입니다.

호환되는 트래픽 정리 장치(공격 억제)

시스코경비 서비스 모듈

 아버 피크플로우 SP TMS; Cisco Guard 서비스 모듈.
인터넷에 연결된 경우 데이터 센터 보호 통신 사업자 네트워크에 대한 가입자 네트워크의 다운스트림 연결 모니터링 다음에 대한 공격 탐지상류- 통신 사업자의 네트워크를 상위 제공업체의 네트워크에 연결 통신 사업자 백본 모니터링
표의 마지막 행에는 Cisco Systems에서 권장하는 Cisco 및 Arbor의 감지기를 사용하는 시나리오가 나와 있습니다. 이러한 시나리오는 아래 다이어그램에 설명되어 있습니다.

트래픽 정리 장치로서 Cisco에서는 Cisco 6500/7600 섀시에 설치된 Cisco Guard 서비스 모듈을 사용할 것을 권장합니다. 이 모듈은 Cisco Detector 또는 Arbor Peakflow SP CP에서 명령을 수신하면 트래픽이 동적으로 리디렉션되고 정리되고 다시 주입됩니다. 네트워크. 리디렉션 메커니즘은 업스트림 라우터에 대한 BGP 업데이트이거나 독점 프로토콜을 사용하여 감독자에게 직접 제어 명령을 보내는 것입니다. BGP 업데이트를 사용할 때 업스트림 라우터에는 공격이 포함된 트래픽에 대한 새로운 넥스 홉 값이 제공되므로 이 트래픽은 클리닝 서버로 이동됩니다. 동시에 이 정보가 루프 구성으로 이어지지 않도록 주의해야 합니다(따라서 다운스트림 라우터는 삭제된 트래픽을 입력할 때 이 트래픽을 삭제 장치로 다시 래핑하려고 시도하지 않습니다). . 이를 위해 커뮤니티 매개변수를 사용하여 BGP 업데이트 배포를 제어하거나 삭제된 트래픽에 들어갈 때 GRE 터널을 사용하는 메커니즘을 사용할 수 있습니다.

이러한 상황은 Arbor Networks가 Peakflow SP 제품 라인을 크게 확장하고 DDoS 공격으로부터 보호하기 위한 완전히 독립적인 솔루션으로 시장에 진입하기 시작할 때까지 존재했습니다.

Arbor Peakflow SP TMS 도입

몇 년 전 Arbor Networks는 Cisco의 이 분야 개발 속도와 정책에 관계없이 DDoS 공격으로부터 보호하기 위한 제품 라인을 독립적으로 개발하기로 결정했습니다. Peakflow SP CP 솔루션은 샘플링 빈도를 조절하는 기능으로 흐름 정보를 분석했기 때문에 Cisco Detector에 비해 근본적인 이점이 있었습니다. 따라서 통신 사업자 네트워크 및 트렁크 채널에서의 사용에 제한이 없었습니다. 교통). 또한 Peakflow SP의 주요 장점은 사업자가 가입자에게 네트워크 세그먼트를 모니터링하고 보호하기 위한 개별 서비스를 판매할 수 있다는 것입니다.

이러한 고려 사항과 기타 고려 사항으로 인해 Arbor는 Peakflow SP 제품 라인을 크게 확장했습니다. 다수의 새로운 장치가 등장했습니다:

Peakflow SP TMS(위협 관리 시스템)- 인터넷에서 DDoS 공격을 모니터링하고 분석하는 Arbor Networks 소유 ASERT 연구소와 Peakflow SP CP에서 얻은 데이터를 기반으로 하는 다단계 필터링을 통해 DDoS 공격을 억제합니다.

Peakflow SP BI(비즈니스 인텔리전스)- 시스템 확장을 제공하고 모니터링할 논리적 개체 수를 늘리며 수집 및 분석된 데이터에 대한 중복성을 제공하는 장치

Peakflow SP PI(포털 인터페이스)- 자체 보안 관리를 위한 개별 인터페이스를 제공하는 가입자 증가를 제공하는 장치

Peakflow SP FS(유량 센서)- 가입자 라우터 모니터링, 다운스트림 네트워크 및 데이터 센터 연결을 제공하는 장치.

Arbor Peakflow SP 시스템의 작동 원리는 본질적으로 Cisco Clean Pipes와 동일하지만 Arbor는 정기적으로 시스템을 개발하고 개선하므로 현재 Arbor 제품의 기능은 생산성을 포함하여 여러 측면에서 Cisco보다 우수합니다. .

현재 Cisco Guard의 최대 성능은 하나의 Cisco 6500/7600 섀시에 4개의 Guard 모듈 클러스터를 생성하여 달성할 수 있지만 이러한 장치의 전체 클러스터링은 구현되지 않습니다. 동시에 최고의 Arbor Peakflow SP TMS 모델은 최대 10Gbps의 성능을 제공하며 클러스터링이 가능합니다.

Arbor가 DDoS 공격 탐지 및 억제 시장에서 독립적인 플레이어로 자리매김하기 시작한 후 Cisco는 네트워크 트래픽 흐름 데이터에 대해 꼭 필요한 모니터링을 제공할 파트너를 찾기 시작했습니다. 경쟁자. 그러한 회사가 플로우 데이터 기반의 트래픽 모니터링 시스템(NarusInsight)을 생산하고 Cisco Systems와 파트너십을 맺은 Narus였습니다. 그러나 이 파트너십은 시장에서 심각한 발전과 존재감을 얻지 못했습니다. 또한 일부 보고서에 따르면 Cisco는 Cisco Detector 및 Cisco Guard 솔루션에 투자할 계획이 없으며 실제로 이 틈새 시장을 Arbor Networks에 맡길 계획입니다.

Cisco 및 Arbor 솔루션의 일부 기능

Cisco 및 Arbor 솔루션의 일부 기능은 주목할 가치가 있습니다.

  1. Cisco Guard는 탐지기와 함께 또는 독립적으로 사용할 수 있습니다. 후자의 경우 인라인 모드로 설치되어 탐지기 기능을 수행하고 트래픽을 분석하며 필요한 경우 필터를 켜고 트래픽을 삭제합니다. 이 모드의 단점은 첫째로 잠재적인 실패 지점이 추가되고 둘째로 추가 트래픽 지연이 발생한다는 것입니다(필터링 메커니즘이 켜질 때까지는 적지만). Cisco Guard에 권장되는 모드는 공격이 포함된 트래픽을 리디렉션하고 필터링한 후 다시 네트워크에 입력하는 명령을 기다리는 것입니다.
  2. Arbor Peakflow SP TMS 장치는 오프램프 또는 인라인 모드에서도 작동할 수 있습니다. 첫 번째 경우, 장치는 공격을 제거하고 네트워크에 다시 입력하기 위해 공격이 포함된 트래픽을 리디렉션하는 명령을 수동적으로 기다립니다. 두 번째로 모든 트래픽을 자체적으로 통과시키고 이를 기반으로 Arborflow 형식으로 데이터를 생성한 후 Peakflow SP CP로 전송하여 공격 분석 및 탐지를 수행합니다. Arborflow는 Netflow와 유사하지만 Arbor에서 Peakflow SP 시스템용으로 수정한 형식입니다. 트래픽 모니터링 및 공격 탐지는 TMS에서 수신한 Arborflow 데이터를 기반으로 Peakflow SP CP에서 수행됩니다. 공격이 감지되면 Peakflow SP CP 운영자는 이를 억제하라는 명령을 내린 후 TMS가 필터를 켜고 공격으로부터 트래픽을 지웁니다. Cisco와 달리 Peakflow SP TMS 서버는 독립적으로 작동할 수 없으며 작동하려면 트래픽을 분석하는 Peakflow SP CP 서버가 필요합니다.
  3. 오늘날 대부분의 전문가들은 네트워크의 로컬 섹션을 보호하는 작업(예: 데이터 센터 연결 또는 다운스트림 네트워크 연결)이 효과적이라는 데 동의합니다.

이 조직은 .tr 영역에 도메인 이름을 등록하는 것 외에도 터키 대학에 백본 통신을 제공합니다. 익명의 핵티비스트들은 터키 지도부가 ISIS를 지원하고 있다고 비난하며 이번 공격이 자신들의 소행이라고 주장했습니다.

DDoS의 첫 번째 징후는 12월 14일 아침에 나타났으며, 정오까지 5개의 NIC.tr 서버가 최대 40Gbps 용량의 정크 트래픽 공격으로 인해 중단되었습니다. 이 문제는 대체 NS 인프라 NIC.tr을 제공하는 RIPE 조정 센터에도 영향을 미쳤습니다. RIPE 담당자는 공격이 RIPE의 보안 조치를 우회하는 방식으로 수정되었다고 지적했습니다.

대규모 DDoS 공격은 웹 서비스를 중단시키는 가장 효과적인 방법이 되고 있습니다. 공격 비용은 지속적으로 감소하고 있으며 이로 인해 전력이 증가합니다. 단 2년 만에 DDoS 공격의 평균 전력이 8Gbps로 4배 증가했습니다. 평균값과 비교하면 터키 국가 도메인 영역에 대한 공격은 인상적이지만 전문가들은 400Gbps 수준의 DDoS 공격이 곧 표준이 될 것이라고 강조합니다.

터키 공격의 특징은 공격자가 올바른 대상을 선택했다는 것입니다. 상대적으로 적은 수의 IP 주소에 집중하여 단 40기가비트 공격으로 국가 전체의 인프라를 실질적으로 무력화할 수 있었습니다.

터키의 국립 사이버 사고 대응 센터는 다른 국가에서 NIC.tr 서버로 들어오는 모든 트래픽을 차단하여 400,000개의 터키 웹사이트를 모두 사용할 수 없게 만들고 모든 이메일 메시지가 보낸 사람에게 반환되도록 했습니다. 나중에 센터는 전술을 변경하여 의심스러운 IP 주소를 선택적으로 차단하기로 결정했습니다. .tr 영역의 도메인용 DNS 서버는 터키 인터넷 제공업체인 Superonline과 Vodafone의 도움을 받아 공용 서버와 개인 서버 간에 요청을 분산하도록 재구성되었습니다.

공격받은 도메인은 같은 날 온라인으로 돌아왔지만 많은 사이트와 이메일 서비스가 며칠 동안 간헐적으로 계속 작동했습니다. 지역 회사와 정부 기관뿐만 아니라 .tr 영역에서 도메인 이름을 선택한 많은 국가 웹 리소스도 영향을 받았습니다. 전체적으로 이것은 약 40만 개의 웹사이트이며, 그 중 75%가 기업입니다. 터키 국가 도메인은 교육 기관, 지방자치단체, 군대에서도 사용됩니다.

"익명"이 성명을 발표할 때까지 많은 사람들은 터키와 러시아 간의 긴장된 관계로 인해 DDoS 공격에 대해 러시아를 비난했습니다. 한때 비슷한 이유로 러시아 해커가 에스토니아(2007), 조지아(2008), 우크라이나(2014)에 대한 대규모 사이버 공격에 연루된 혐의를 받았습니다. 일부 전문가들은 터키 DDoS가 러시아 뉴스 사이트 스푸트니크(Sputnik)에서 발생한 터키 사이버 그룹의 DDoS 공격에 대한 러시아의 대응이라고 간주했습니다.

익명의 성명은 "러시아의 흔적"에 대한 어떤 근거도 박탈했습니다. 핵티비스트들은 또한 터키가 ISIS 지원을 중단하지 않으면 터키 공항, 은행, 정부 서버 및 군사 조직을 공격하겠다고 위협하고 있습니다.

FSB는 2016년 가을에 Sberbank, Rosbank, Alfa-Bank, Bank of Moscow, Moscow Exchange 및 금융 기관을 대상으로 사물인터넷(IoT)을 이용한 대규모 해커 공격에 대한 형사 사건을 조사하고 있습니다. 다른 사람.

Kommersant가 쓴 것처럼 FSB 부국장 Dmitry Shalkov는 러시아 연방의 중요 정보 인프라(CII) 보안에 관한 정부 법안 패키지 발표에서 State Duma에서 연설할 때 이에 대해 말했습니다.

2016년에는 러시아 공식 정보 자원에 약 7천만 건의 DDoS 공격이 기록되었으며 이는 전년보다 3배 증가한 수치입니다. 그러나 11월의 해커 공격은 대부분의 해커 공격과 다르다고 Shalkov는 지적했습니다.

그에 따르면 11월 8일부터 11월 14일까지 8개 조직에서 중간 규모의 DDoS 공격이 수행되었습니다. 여기에는 네트워크에 연결된 IoT 장치, 특히 웹 카메라를 사용하여 소위 봇넷(해킹되어 해커가 인터넷에 액세스할 수 있는 컴퓨터)이 포함되었습니다. FSB 부국장은 인터넷 제공업체 Dyn의 서비스를 겨냥한 미국의 6시간 동안의 10월 공격과 러시아 구조물에 대한 조직적 공격의 유사성을 지적했으며, 그 결과 수많은 미국 자원이 손실되었습니다. Twitter, CNN, Spotify, The New York Times 및 Reddit)은 오랫동안 파괴되어 사용할 수 없었습니다.

그러나 공격에는 자금 절도가 수반되지 않았으며 공격을 받은 은행은 서비스 중단을 기록하지 않았습니다. 러시아 중앙은행은 11월 공격 이후 이러한 사건이 재발하지 않았다고 보고했습니다.

Kommersant는 DDoS 공격 자체가 돈을 훔치는 것을 목표로 하는 것이 아니라 일반적으로 웹사이트와 온라인 뱅킹 서비스를 차단하는 데 사용된다고 지적합니다. Digital Security의 보안 감사 부서 부국장인 Gleb Cherbov는 "공격자가 제어하는 ​​장치와 서버는 봇넷으로 통합되어 공격을 받는 시스템에 치명적인 비율을 차지하는 네트워크 트래픽을 생성할 준비가 되어 있습니다"라고 설명했습니다. 그러나 대규모 DDoS 공격은 은행에 심각한 손실을 초래할 수 있습니다. 예를 들어, 서비스를 이용할 수 없게 되면 예금자들 사이에 패닉이 발생할 수 있으며, 예금자들은 한꺼번에 예금을 인출하기 시작할 것입니다. 또한 대규모 DDoS 공격은 다른 활동을 위장하는 데 자주 사용됩니다. 특히, 보안 전문가가 취약점을 수정하는 동안 공격자는 은행 인프라에 침투할 수 있습니다.

출판물에 따르면 2016년 11월 FSB가 해커 공격에 대한 형사 소송을 시작했다는 것은 이미 조사를 통해 용의자가 확인되었음을 의미합니다. 수사 기간은 최소 6개월 정도지만 실제로는 2~3년 정도 걸린다고 소식통은 전했다.

오늘은 서버에 대한 Ddos 공격과 관련된 상황을 명확히 해보겠습니다. 마찬가지로, 이 문제는 실제로 호스팅 주제와 교차합니다.

상황이 상당히 불쾌합니다. 어제 WordPress에 새로운 플러그인을 설치했는데 얼마 후 갑자기 꽝!이라고 상상해 보세요! - 브라우저의 블로그가 열리지 않습니다. 게다가 다른 사이트들도 동시에 완벽하게 서핑을 하고 있습니다. 생각이 들기 시작합니다. 플러그인으로 뭔가를 망쳤습니다. 페이지를 여러 번 다시 로드하려고 클릭했는데 아무 일도 일어나지 않습니다! 그러다가 실제로 작동하기 시작했지만 몇 분 동안 불쾌한 시간을 보내야 했습니다.

그리고 오늘 메일에서 TimeWeb 기술 지원팀에서 보낸 편지를 보았습니다. 숨기지 않고 그곳에서 호스팅하겠습니다. 무엇을 숨기려면 Whois에 사이트 주소를 입력하면 됩니다.
편지는 다음과 같습니다

"친애하는 사용자 여러분.
오늘, 2011년 12월 2일 모스크바 시간 16시 32분에 TIMEWEB 기술 플랫폼에서 대규모 DDOS 공격이 시작되어 일부 사이트와 서버의 작동이 중단되었습니다.
TIMEWEB 엔지니어들이 상황을 통제했고, 18시 45분경 사이트의 안정적인 운영이 완전히 복구되었습니다..."

나는 그들이 어디서 왔는지 알아내기로 결정했습니다. 서버에 대한 Ddos 공격그런데 그게 뭐야? 그리고 이것이 제가 파헤친 것입니다.

서버에 대한 Ddos 공격, 그게 무엇인가요?

먼저, Wiki가 없었다면 Wiki를 살펴보겠습니다.

DOS 공격(영어에서. 서비스 거부, 서비스 거부) - 컴퓨터 시스템을 장애로 만들 목적, 즉 시스템의 합법적인(합당한) 사용자가 시스템에서 제공하는 리소스(서버, 서비스)에 액세스할 수 없는 상태로 만들 목적으로 컴퓨터 시스템에 대한 공격 또는 이 액세스 어렵다. "적" 시스템의 실패는 그 자체로 종말이 될 수도 있고(예: 인기 있는 웹사이트를 사용할 수 없게 만드는 것) 시스템을 장악하기 위한 단계 중 하나일 수도 있습니다(긴급 상황에서 소프트웨어가 중요한 정보를 생성하는 경우). 예를 들어, 버전, 프로그램 코드의 일부 등.d.).

다수의 컴퓨터에서 동시에 공격이 수행되는 경우 DDOS 공격(영어에서 유래)을 말합니다. 분산 서비스 거부, 분산 서비스 거부 공격). 경우에 따라 실제 DDoS 공격은 인기 있는 인터넷 리소스에 그다지 생산적이지 않은 서버에서 호스팅되는 사이트에 대한 링크를 게시하는 등의 합법적인 작업으로 인해 발생합니다. 대규모 사용자 유입으로 인해 서버에 허용되는 부하가 초과되고 결과적으로 일부 사용자에 대한 서비스 거부가 발생합니다.

따라서 한편으로는 특정 서버 또는 웹 사이트와 같은 공격 대상이 있고 다른 한편으로는 공격 대상에 대해 DDoS 공격을 조직하는 공격자 그룹이 있습니다.

Ddos 공격 조직자는 어떤 목표를 추구합니까?

가장 무해한 이유 중 하나는 진부한 사이버 괴롭힘입니다. 공격을 조직하기 위한 대부분의 프로그램이 인터넷에서 무료로 제공된다는 사실로 인해 문제는 더욱 악화됩니다.

불공정한 경쟁은 더 심각한 DDoS 공격을 발생시킵니다. 여기서의 목표는 다릅니다. 즉, 경쟁자의 서버를 다운시켜 상대방의 작업을 방해하고, 이에 더해 시장에서 경쟁자에 대한 부정적인 이미지를 만드는 것입니다. 대규모 공격으로 인해 프로그램 코드 형태의 정보가 모든 사람이 볼 수 있도록 빠져나갈 수 있으므로 서버가 해킹될 수도 있습니다.

또한, Ddos 공격 방법을 이용하여 다양한 Ddos 그룹이 자신의 존재를 선언하거나 서버 소유자에게 요구 사항과 최후 통첩을 제시할 수 있습니다.

여기 몇 가지 예가 있어요 서버에 대한 Ddos 공격내가 Lurkomorye에서 찾은 것:

  • OOFR(Organization of United Phages of Russia)에는 다음과 같은 밈 그룹이 포함되어 있습니다: Superstitious Leper Colony, Fallen Part of LiveJournal 및 Upyachka가 이끈다.

OPFR의 주요 피해자는 다음과 같습니다.

  1. www.mail.ru (BEETLES 프로젝트용),
  2. www.gay.com (게이이기 때문에),
  3. www.4chan.org (“오노톨레” 신을 모욕한 경우),
  4. www.wikipedia.org (고양이(Kote)에 대한 모욕이 포함된 UPCHK에 관한 기사의 경우 중재자가 한 달 이내에 삭제하지 않았습니다.)

DDoS 공격에 대한 보호 분야에서 활동하는 많은 조직은 이 분야의 성과에도 불구하고 주로 공격 조직의 용이성으로 인해 위협의 증가하는 위험을 여전히 인식하고 있습니다.

약간의 결과를 요약해 보겠습니다.

일반 인터넷 사용자인 우리는 우리 창작물인 웹 사이트를 위해 호스팅을 임대하는 호스팅 업체가 사이버 공격으로부터 보호하는 방법에 가장 관심이 있어야 합니다. 이 특별한 사례에서 볼 수 있듯이 TimeWeb은 문제를 매우 신속하게 처리했습니다. 나는 이에 대해 우편으로 알려준 것에 대해 그에게 두 번째 플러스를 제공합니다.

그런데 저는 최근 TimeWeb에 또 다른 간단한 테스트를 실시했습니다.

이것이 오늘의 Ddos 공격에 관한 전부입니다.

곧 그것이 무엇인지, 그리고 사이버 공격에 대한 보호가 어떻게 구성되어 있는지에 대해 이야기하겠습니다.