저번 4월 26일 SecurityPlus에서 하는 세미나에 참석을 했습니다.
기본적인 세션진행으로 Wireless Hacking, 하고 DDos, 계정관리, 순으로 진행이 이루어졌습니다.

해커대학 22기 출신의 현대HDS소속의 발표자 분이 자연스럽게 발표하신다고 하셧지만 분위기가 전혀 동참이 대지 않아 많이 아쉬웠습니다. 싸늘해지는... 잡소리는 그만하고..

DDos 관련 발표에서 모 업체 대표이사분께서 발표를 하셧는데 DDos 방어부분에서 어려운 부분이 바로 공격자 트래픽과 정상적인 트래픽을 구분해 내기가 어렵다는 말을 하셨습니다. 그리고 자칫 오탐으로 정상적인 패킷을 걸려 낼시 만약 금전적으로 피해가 생길시 바로 소송으로 이어 질수도 있다는 말씀이였습니다.

이 부분의 말을 듣고 스쳐 지나가는 생각이 났는데 만약 Hacker의 목적이 서비스 방해의 목적이라 아니라 그 이상의 소송관련으로 솔루션 업체를 역으로 공격할수 있지 않을까 라는 생각이 들었습니다.

그래서 간단한 공격 예를 들어 볼까 합니다.
공격 설정 예)

1. 하루에 약 10만명이 동시접속할수 있는 업체가 있고 거기에 DDos 방어 솔루션이 설치대 있다고 가정합니다.

2. 이 솔루션은 10만명 이상의 트래픽 감지시 새로운 트래픽에 대해서 걸려내는 기능이 있습니다. 테이블에 패턴매칭이 안된 트래픽에 대해서는 걸려냅니다(공격시).

3. 공격자의 봇수는 30만개 입니다. 공격자는 DDos 솔루션이 있다고 예상하고 10일에 걸쳐서 하루에 3만개씩 미리 접속을 시켜놓니다. 그러면 DDos솔루션에서는 공격자 봇의 주소가 솔루션에 테이블에 저장이 됩니다.

4. 이후 공격자는 30만개의 봇을 한꺼번에 사용해 DDos 공격을 실시 합니다. 하지만 이미 봇의 주소가 테이블에 저장되 있기 때문에 정상적인 트래픽 이라고 인식을 하게 되며 DDos 공격은 계속 이루어집니다. 이때 새로운 가입자가나 사용자가 접속을 하거나 하게 되면 오탐으로 공격트래픽으로 판단 걸려내게 됩니다.

5. 금융권에서 이런일이 발생하게 되면 바로 소송으로 이어 지고 솔루션 업체도 큰 타격을 입게 됩니다.

어디까지나 설정된 예이니 오해없으시길 바랍니다.

10월에 세미나는 고수분들을 많이 초빙한다고 하니 기대가 많이 됩니다.
다음번 세미나에서도 좋은 세션이 많이 있기를 기원하며 저는 이만 물러갑니다.

참고자료 - IDS,IPS 우회통과에 대한 발표 자료입니다.

신고

댓글을 달아 주세요

  1. Favicon of http://nowni.tistory.com BlogIcon 가별이 2008.04.28 13:27 신고  Comment Address  Edit/Delete  Comment Write

    흠.. 5 tuple 정보를 보고 Source와 Destinatjon 관계를 DB로 저장하고 일정 시간마다 리셋시키는 형태라고 세미나때 들은것 같은데.. 그 일정 시간이 몇일 단위가 아니라 몇분에서 몇시간 단위라고 전 들었거든요..
    주소 분산도나 세션 성공률 등을 측정해서 말이죠.. 몇일씩이나 IP를 저장하는 방식은 생소하네요.

    • Favicon of http://boanchanggo.tistory.com BlogIcon JQ 2008.04.28 14:07 신고  댓글 달기  수정/삭제

      저도 방어 솔루션 기능이나 구조에 대해서 자세하게 몰라서 대표분이 하시는 말씀만을 듣고 생각한 겁니다. 자꾸 솔루션에 내에 테이블 참고라고 하셧는데 테이블을 DB로 빼서 한다는 걸 짧게 설명한 건지도 모르겠습니다.

  2. Favicon of http://dj288377.tistory.com BlogIcon 강철지크 2008.04.28 15:50 신고  Comment Address  Edit/Delete  Comment Write

    음 ... 그렇군요

  3. Favicon of http://shower0420.tistory.com BlogIcon 소나기♪ 2008.04.29 22:14 신고  Comment Address  Edit/Delete  Comment Write

    와.. 무서운 설정이네요..
    우리나라도 얼른 가입시 주민번호 등록 말고 따른 고유 메일이라던가 그런 인증 시스템이
    도입되어야 할텐데요..

  4. Favicon of http://damasworld.tistory.com BlogIcon 다마 2008.04.30 13:21 신고  Comment Address  Edit/Delete  Comment Write

    DDos방어 솔루션의 오탐이 참,, 문제가 되는군요..;;

    • Favicon of http://boanchanggo.tistory.com BlogIcon JQ 2008.04.30 19:47 신고  댓글 달기  수정/삭제

      솔루션 개발에 오탐 부분이 많이 문제라고 대표이사님깨서 말씀하셔서 앞으로 어떻게 될지 궁금해 집니다.