hi.pe.kr 날으는물고기·´″°³о♡

			트윗하기

1. Agent 유포방식
- P2P: 정상 S/W에 악성코드(DDoS Agent) 삽입.
- 웜/바이러스: 웜/바이러스에 악성코드(DDoS Agent) 삽입
- 사회공학: 이메일 등을 통한 악성코드(DDoS Agent) 전파
- 홈페이지: 취약한 사이트 해킹을 통한 악성코드(DDoS Agent) 유포

2. DDoS 공격의 진화
- 계측기 공격: 스마트비트: 초당 148만 PPS 이상 발생
- Slow TCP Connection Flooding 공격: 다수의 PC에서 초당 10 Connection 이하 공격
- http를 이용한 공격: 공격 대상 사이트 분석을 통한 URL, 파라미터 변조
- 기본 DDoS 공격 기술의 응용: 잘 알려진 IP로 Source IP 변조

3. IP Spoofed Syn Flooding 공격
- IP변조 후 다량의 Syn 패킷을 공객 대상 서버로 전송
- 공격 받은 서버는 다수의 SYN_Received 세션 상태가 발생
- 서버의 CPU 및 Connection 자원의 고갈을 유발

4. TCP Connection Flooding 공격(3 way handshaking 정상완료)
- IP를 변조하지 않고, 다량의 Syn 패킷을 공격 대상 서버로 전송
- 공객 받은 서버는 다수의 Established 세션 상태가 발생
- 서버의 CPU 및 Connection 자원의 고갈을 유발

5. TCP Out-of-State Packet Flooding 공격(ACK/SYN+ACK/FIN 등)
- 다랑의 ACK/SYN+ACK/FIN/RST 등의 패킷을 공객 대상 서버로 전송
- 방화벽이나 L4 등과 같이 세션을 관리하는 장비에서 차단
- 일부 네트워크 장비 및 서버의 CPU 사용량이 올라가는 등 오작동 발생 가능

6. 동일 URL 반복 접속 시도(웹서버 부하 발생)
- IP를 변조하지 않고, 정상적인 3 way handshake 후 동일한 URL 반복 요청(get/index.jsp 등) - 일부 웹서버의 CPU 및 Connection 자원의 고갈을 유발

7. 조회(로그인) 반복 시도(웹서버 및 DB서버 부하 발생)
- 정상적인 3 way handshake 후 로그인 및 상품 조회와 같은 요청 반복 전송
- 웹서버 및 DB서버의 CPU 및 Connection 자원의 고갈을 유발

8. UDP/ICMP Flooding
- 1000~1500byte 정도의 큰 패킷을 공객 대상 서버(네트워크)로 전송
- 네트워크 회선 대역폭 고갈
- 공격 대상 서버와 같은 네트워크에서 운영 중인 모든 서버의 접속 장애 유발

			트윗하기

지난 7월에 발생한 DDoS 77대란 이후 Cisco 에서 진행한 웹세미나에서 제공된 자료입니다.

7.7 DDoS Summary
- 시간대별 요약
- 1차 미국 사이트 공격 분석 요약
- 2차 한국/미국 사이트 공격 분석 요약
- 7월 7일 국내/외 2차 공격지 요약
- 3차 한국/미국 사이트 공격 분석 요약
- 4차 한국사이트 공격 분석 요약
- Zombie IP 분석
- Zombie Traffic 분석
- Zombie 분석
  HTTP GET
    일반적인 HTTP GET Flooding.
    HTTP CC 공격 - 일반적인 CC Attack 유형이 포함되어 있음.
  HTTP - TCP 80 으로 Connection Flooding.
  UDP 80 Flooding
  ICMP Flooding
- Zombie 분석에 따른 공격 트래픽 추정

7.7 DDoS 공격 특징
- 대규모 Zombie와 소규모 공격
- C&C Server가 없는 최초의 DDoS
- 정교한 TCP 공격 방식1 - HTTP
- 정교한 TCP 공격 방식2 - HTTP CC Attack

7.7 DDoS 공격 방어 솔루션
- Overview
- Router/Switch
- Cisco Guard/Detector
  UDP/ICMP/Fragment Drop 설정
  TCP Connection 정책 설정
  HTTP Syn 정책 설정
  HTTP Request 정책 설정
  HTTP Zombie 정책 설정
  Flex Filter 설정
  7.7 DDoS 공격방어 실제사례

왜 Cisco Guard & Detector 입니까?
1. HTTP에 가장 정교하게 방어할 수 있는 솔루션
2. 가장 많은 경험과 노하우... 그리고 지원체계
3. Out Of Path 기반의 탁월한 DDoS 방어 디자인
4. 대용량 설계기반을 통한 높은 성능
5. 검증된 솔루션 - 국내 70여개의 대형 레퍼런스

			트윗하기

7월 10일 0시를 기하여 특정 악성코드에 감염된 PC가 포멧될 가능성이 있습니다.

PC를 종료하시고 안전모드(F8)로 부팅하시고,

시간을 7월 10일 이전으로 변경하시기 바랍니다.

□ 개 요

  o 지난 7일부터 시작된 DDoS 공격의 좀비 PC들이 7월 10일 00시를 기점으로 스스로
    하드디스크를 손상시켜 PC가 부팅이 되지않아 동작 불능상태가 될 수 있음

  o 사용자들은 PC 하드디스크 손상을 방지하기 위해서는 해결방안을 반드시 수행하기를
    권고함

□ 설 명

  o 지난 7일부터 대대적으로 DDoS 공격을 실행하였던 좀비 PC들이 악성코드의 흔적을
    감추기 위해 스스로 하드디스크를 손상시켜 PC가 동작 불능 사태가 되도록 함

  o 안전모드로 부팅후 아래와 같은 요소가 만족될 경우 하드디스크가 손상되었거나,

    손상을 유발하는 악성코드에 감염되었을 수 있음

    윈도우 탐색기를 통하여 확인결과

    - "C:\Windows\System32\mstimer.dll" 파일이 존재함

    - "C:\Windows\System32\wversion.exe"파일이 존재함

    - "C:\Windows\win.ini" 파일에 다음과 같은 문자열이 존재

              [MSSOFT]
              LastName=40004
              FirstName=3
              Location=Y

    o 위의 조건이 만족이 만족되는 경우 아래와 같은 대응 방안을 반드시 실시해야함

□ 대응방안

  o 사용자는 컴퓨터를 부팅 초기화면에 F8을 눌러 안전모드로 부팅

  o 윈도우의 시스템 시간을  7월10일 00시 이전으로 충분히 조정 (예: 3월 1일 00시)

  o 윈도우 탐색기를 통해 아래 조치를 실시

    - "C:\Windows\System32\wversion.exe"을 삭제
    - "C:\Windows\System32\mstimer.dll"을 삭제
    - "C:\Windows\win.ini" 파일 내부 내용중 다음 문자열을 삭제
              [MSSOFT]
              LastName=40004
              FirstName=3
              Location=Y

  o 윈도우를 재부팅 한 후 백신 프로그램 업데이트 후 검사/치료
    
    백신 S/W가 설치되지 않았을 경우, 백신 S/W 설치후 점검

□ 기타 문의사항

  o 한국정보보호진흥원 인터넷침해사고대응지원센터: 국번없이 118

  o 각 백신업체 고객지원 센터

신종 분산서비스거부공격(DDoS)에 따른 "주의" 경보발령

※ 최초공지일: 2009-07-08 02:40
※ 최종수정일: 2009-07-08 17:00 (악성코드 감염 PC 및 피해 사이트의 증상 기술,
    감염 시 조치 방법 보강)

□ 개요
  o 2009년 7월 7일 발생한 분산서비스거부공격에 의해 청와대, 네이버 등
    국내 주요 사이트에 대한 접속 장애 유발
  o 해당 악성코드는 명령제어 서버로부터 공격목표를 전달받는 것이 아니라 감염 시
    생성되는 공격목표 설정 파일을 기반으로 자동공격을 수행함

□ 악성코드 감염 PC 증상
  o 윈도우 서비스 형태로 등록되어 컴퓨터 시작과 함께 자동으로 실행됨
  o 방화벽 설정 비활성화
  o 다수의 특정 도메인을 대상으로 HTTP / UDP / ICMP Ping 패킷을 지속적으로 전송
    - 악성코드의 명령제어(C&C) 서버 접속 없이 악성코드 감염 시 생성된
      공격 대상 도메인 목록 파일을 기반으로 자동 공격
    - 각 도메인으로 향하는 공격 트래픽은 1.0 ~ 25.3 KBPS 수준임
      (분당 트래픽으로 환산하면 57.2 KB ~ 1.5 MB)
    - 하나의 감염 PC에서 발생시키는 총 트래픽은 54.2 KBPS로 해당 PC에
      큰 무리를 주지 않음 (분당 약 3.3 MB)
    - HTTP GET Flooding으로 발생하는 트래픽의 비율이 전체 공격 트래픽의 92.4%로
      대부분을 차지하는 반면 UDP와 ICMP Ping 트래픽은 약 4%에 해당함

□ 피해 사이트에서 관찰되는 증상
  o HTTP 헤더의 User-Agent 항목을 다음과 같이 서로 다른 5가지의 유형으로 변경해가면서
    지속적으로 요청을 수행
    - User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; GTB6;
      .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
    - User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0;
      GTB6; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
    - User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.20)
      Gecko/20081217 Firefox/2.0.0.20 (.NET CLR 3.5.30729)
    - User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2;
      MAXTHON 2.0)
    - User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0;
      GTB6; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
  o HTTP GET 수신과 더불어 UDP 80번 포트로 유입되는 트래픽 및 ICMP Ping 수신이 꾸준하게
    관찰됨

□ 감염 시 조치 방법
  o 일반 인터넷 이용자
    - 최신 업데이트된 백신을 이용하여 치료
      ※ 7월 8일 12시 현재, 아래의 국내 6개 주요 백신 모두 진단함
         V3 (안철수연구소), 바이로봇 (하우리), 바이러스체이서 (에스지알아이)
         알약 (이스트소프트), nProtect (잉카인터넷), 피시그린 (네이버)
      ※ 현재 6개 업체 모두 전용 백신을 배포하고 있음(아래 링크 참조)
         ◇ 안철수 전용백신 : 다운로드
         ◇ 하우리 전용백신 : 다운로드
         ◇ 바이러스체이서 전용백신 : 다운로드
         ◇ 알약 전용백신 : 다운로드
         ◇ 네이버PC그린 전용백신 : 다운로드
         ◇ 잉카인터넷 전용백신 : 다운로드

  o 네트워크 및 시스템 관리자
    - 네트워크 DDoS 트래픽 모니터링 강화
    - 방화벽, IDS, IPS 등에 DDoS 트래픽 차단 규칙 적용
      ※ 위에 제시된 User-Agent 문자열을 이용하여 차단 규칙을 만들 수 있으나
         정상적인 이용자의 접속에 장애를 일으킬 가능성이 있으므로 주의

□ 기타 문의사항
  o 한국정보보호진흥원 인터넷침해사고대응지원센터 : http://www.krcert.or.kr/
    (전화 : 국번없이 118)