어제밤 트위터에 접속하려는데 접속이 잘 안되는 현상이 있었습니다. 트위터에 가끔 접속이 안되는 현상이 있곤 해서 어제도 그런가 보다 하고 잠시 후에 다시 접속을 시도했지만 계속 안되더군요. 그래서, 사이트에 뭔가 이상이 있나보다 하고 생각했지요. 그런데, 오늘 아침 WSJ을 보니 역시 사건이 있었습니다. 바로 DOS (Denial Of Services) 공격을 당한것입니다.
어제는 트위터뿐 아니라 세계1위의 SNS사이트인 페이스북도 DOS공격을 당했으며 그밖에 여러 사이트들도 해커들에게 DOS 공격을 당했다고 합니다. 이로인해 미국 동부 시간으로 어제 아침 9시부터 약 2시간동안 접속이 되지 않았는데 시간을 따져보니 우리나라 시간으로 어젯밤 11시부터더군요. 제가 트위터에 접속한 시간이 11시 30분이었으니 한참 DOS공격을 받는 중이었던 것 같네요.
트위터와 페이스북은 구글과 함께 원인조사를 해서 DOS공격임을 밝혀냈고 시스템상에는 큰 문제가 없다고 밝혔습니다. 현재는 정상또한 블로그 사이트인 라이브저널(LiveJournal.com)도 같은 공격으로 접속이 되지 않았다고 하는군요.
DOS공격으로 요즘 한창 인기있는 사이트들이 공격당하는 사태가 생겼으니 이제 다음으로 어떤 사이트가 타겟이 될지 모르니 사이트 보안 담당자들은 걱정이 많으시겠습니다. 미리미리 대비를 잘 해야겠지만 그리 쉬운일은 아니겠지요. 아래에 간단한 DOS공격의 형태들을 정리한 내용을 텀즈에서 퍼왔습니다. 아직 잘 모르는 내용이 많지만 참고로 올려놓아 봅니다.
DoS (denial of service) ; 서비스 거부
DoS 공격은 사용자나 기관이 인터넷상에서 평소 잘 이용하던 자원에 대한 서비스를 더 이상 받지 못하게 되는 상황을 가리킨다. 서비스 상실은 일반적으로 전자우편과 같이 특정 네트웍 서비스가 동작하지 않거나, 네트웍 접속 및 서비스 등이 일시적으로 제 기능을 발휘하지 못하게 되는 것을 가리키며, 최악의 경우 수백만 명이 접속하는 웹사이트가 이따금씩 동작이 멈추는 경우도 생겨날 수 있다. DoS 공격은 컴퓨터 시스템 내의 프로그램이나 파일을 못 쓰게 만들 수도 있다. DoS 공격은 대개 악의적인 의도로 저질러지나, 때로 우연히 발생하는 경우도 있다. DoS 공격은 컴퓨터 시스템 보안을 침해하는 한 형태로서, 정보를 몰래 빼내가거나 그 외의 다른 보안 상실을 유발하지는 않지만 표적이 된 개인이나 기업에 시간과 비용 측면에서 커다란 희생을 요구한다. DoS 공격의 일반적인 형태는 다음과 같다.
버퍼 오버플로우 공격
가장 흔한 형태의 DoS 공격은 당초 프로그래머가 예측 설계했던 데이터 버퍼 용량 보다 더 많은 량의 트래픽을 보내는 것이다. 공격자는 표적 시스템의 약점을 미리 잘 숙지하고 있다가 이를 악용하거나 또는 효과가 나타날 때까지 공격을 계속할 수 있다. 프로그램 또는 시스템 버퍼 특성에 기반을 둔 공격들로는 다음과 같은 것들이 있다.
넷스케이프 및 마이크로소프트 메일 프로그램에 파일 이름이 256 글자로 구성된 파일을 첨부하여 전자우편 메시지를 보냄
과다한 크기의 ICMP 패킷을 보냄
Pine 이메일 프로그램 사용자에게 송신자 주소가 256 글자 이상 되는 전자우편 메시지를 보냄
SYN 공격
네트웍 상의 TCP 클라이언트와 서버 사이에 세션이 개시될 때, 그 세션을 확립하는 핸드셰이킹을 신속히 처리하기 위해 매우 작은 버퍼가 존재한다. 세션 확립용 패킷에는 메시지 교환의 순서를 인식시키기 위한 SYN 필드가 포함된다. 공격자는 다수의 접속 요청을 매우 빠르게 보낸 다음, 상대의 응신에 답하지 않고 침묵한다. 이 공격은 첫 번째 패킷이 버퍼에 그냥 남아있게 함으로써 다른 정당한 접속 요구들이 더 이상 수용되지 못하게 만드는 것이다. 아무런 응답 없이 일정 시간이 경과하면 버퍼에 남아있는 패킷은 결국 버려지게 되지만, 많은 량의 가짜 접속 요청으로 인해 정당한 접속 요구 세션이 확립되기 어려운 요인이 된다. 일반적으로, 이런 문제는 운영체계에서 올바른 설정을 제공하는지, 또는 네트웍 관리자가 버퍼 크기와 경과시간의 길이를 조정할 수 있느냐의 여부에 달려있다.
눈물방울 공격
이 형태의 DoS 공격은, 라우터에서 처리하기에 너무 큰 패킷을 IP가 여러 조각으로 분리한다는 점을 악용하는 것이다. 조각난 패킷은 수신측 시스템에 의해 완전한 패킷으로 재조립될 수 있도록 첫 번째 패킷의 시작으로 부터의 오프셋을 인식한다. 그러나 공격자의 IP는 이를 혼란시킬 목적으로 두 번째 이후의 조각에 엉뚱한 오프셋 값을 집어 넣는다. 만약 수신측의 운영체계가 이러한 상황에 대해 대응할 수 있는 계획을 가지고 있지 못하다면, 그 시스템은 결국 멈추게 된다.
스머프 공격
스머프 공격에서 가해자는 수신측 사이트로 IP 핑 요청을 보낸다. 핑 패킷은 수신측 사이트의 근거리 통신망 내에 있는 다수의 호스트들에게 보내어진다. 이 패킷은 또한 그 요청을 자신이 아닌 다른 사이트로부터 온 것처럼 위장함으로써 표적이 된 다른 사이트가 DoS를 겪게 된다 (다른 사람의 주소로 응답되도록 한 채 패킷을 보내는 것을 스푸핑이라고 부른다). 그 결과 무고한 호스트 (가해자가 응답주소로 설정해 놓은 엉뚱한 호스트)로 엄청나게 많은 량의 핑 응답이 홍수처럼 밀려들게 된다. 이렇게 핑 응답이 엄청나게 밀려들게 되면, 자신의 주소를 도용당한 호스트는 더 이상 정상적인 다른 트래픽을 수신하거나, 또는 구별해 낼 수 없게 된다.
바이러스
다양한 방법으로 네트웍 전반에 걸쳐 자신을 복제하는 컴퓨터 바이러스 역시 일종의 DoS 공격으로 볼 수 있으며, 대개 특정 시스템을 표적으로 하진 않지만 그중 불운한 시스템이 희생양이 될 수 있다.
물리적 기반 공격
누군가가 광케이블을 단순히 절단하는 것이다. 이런 종류의 공격은 보통 트래픽을 재빨리 다른 쪽으로 우회시킴으로써 증상을 완화시킬 수 있다.
* 이 포스트는 blogkorea [블코채널 : 웹, 컴퓨터, it에 관련된 유용한 정보 및 소식] 에 링크 되어있습니다.
'IT' 카테고리의 다른 글
휴대폰 문자메시지, 청소년 정신건강에 좋지 않다? (7) | 2009.08.17 |
---|---|
MS 워드 판매금지 당하다! (5) | 2009.08.12 |
스타크래프트2, 2010년으로 출시 또 연기 (6) | 2009.08.06 |
초창기 하드디스크에 대한 이야기 (7) | 2009.08.05 |
애플이 고가 정책을 유지하는 이유 (35) | 2009.07.30 |