[Day 93] DRDoS(Distributed Reflection DoS)

DRDoS(Distributed Reflection DoS)

• 공격자는 출발지 IP를 공격대상의 IP로 위조(IP스푸핑)하여 다수의 반사서버(Reflector)로 요청정보를 전송, 공격대상은 반사서버로부터 다수의 응답을 받아 서비스 거부 상태가 되는 공격

 

DRDoS 공격 유형

• 위조된 주소의 SYN요청을 반사서버로 전달하여 SYN+ACK 응답이 공격대상으로 향하도록 하는 방법
• 위조된 주소의 ICMP Echo Request를 반사서버로 전달하여 Echo Reply가 공격대상으로 향하도록 하는 방법
• UDP프로토콜 서비스(DNS, NTP, SNMP, CHARGEN)를 제공하는 서버를 반사서버로 이용하여 그 응답이 공격대상으로 향하도록 하는 방법

DNS 증폭 DRDoS 공격

• DNS 서버(반사서버)에 많은 양의 레코드 정보를 요구하는 DNS 질의타입(TXT, ANY 등)을 요청하여 공격대상에게 대량의 트래픽(증폭) 유발

NTP 증폭 DRDoS 공격

• NTP서버(반사서버)에 최근 접속한 클라이언트 목록(monlist)을 요청하여 대량의 응답 트래픽(증폭) 유발

 

일반 DoS 공격과의 차이점

• 출발지 IP를 변조하고 수많은 반사서버를 경유하므로, 공격근원지 파악이 어려움
• 반사서버를 이용하므로 좀비 PC의 공격트래픽 효율이 증가

 

DRDoS 대응방법

• 출발지IP가 위조된 패킷이 인터넷망에 인입되지 않도록 ISP가 직접 차단(Ingress Filtering)
• ICMP 프로토콜이 불필요할 경우 차단

DNS 증폭 DRDoS 대응방법

• 공개용이 아닌 내부 사용자용 DNS(Resolving)서버일 경우 내부 사용자 주소만 Recursive Query(재귀 쿼리) 가능하도록 제한
• 서버 방화벽(iptables), 네트워크 보안장비를 통해 특정 byte 이상의 DNS 질의에 대한 응답 차단, 동일 IP에 대해 초당 요청 개수 제한(limit) 설정

NTP 증폭 DRDoS 대응방법

• 대량의 응답 트래픽을 발생시키는 monlist 명령 비활성화
• ntpdc -c monlist <ntp 서버 주소>