13주차 Dos 공격 및 CSRF의 대처방법

DOS공격

서비스 거부 공격(-拒否 攻擊, 영어: denial-of-service attack, DoS attack) 또는 디오에스 공격/도스 공격(DoS attack)은 시스템을 악의적으로 공격해 해당 시스템의 리소스를 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격이다.[1] 대량의 데이터 패킷을 통신망으로 보내고 특정 서버에 수많은 접속 시도를 하는 등 다른 이용자가 정상적으로 서비스 이용을 하지 못하게 하거나, 서버의 TCP 연결을 바닥내는 등의 공격이 이 범위에 포함된다. 수단, 동기, 표적은 다양할 수 있지만, 보통 인터넷 사이트 서비스 기능의 일시적 또는 영구적 방해 및 중단을 초래한다. 통상적으로 DoS는 유명한 사이트, 즉 은행, 신용카드 지불 게이트웨이, 또는 심지어 루트 네임 서버(root name server)를 상대로 이루어진다. 2002년 10월 22일과 2007년 2월 6일의 DNS 루트 서버에 대한 DNS 백본 DDoS 공격은 인터넷 URL 주소 체계를 무력화시킨 인터넷 전체에 대한 공격이었다. - 위키백과-

---

즉 사용자가 해당 서비스를 이용할 수 없게 서비스를 공격하는 방법을 통칭하는 뜻으로 여러 방식의 공격이 있다.

 

크게 두 가지 방식이 있다.

1. 서비스 서버의 리소스를 점유( 어플리 케이션의 취약점)

2. 서비스 서버로 향하는 네트워크 트래픽을 점유

 

---

1. 서비스 서버의 리소스를 점유( 어플리 케이션의 취약점)

여기서 서버의 리소스는 CPU, Memory, Disk 등이 포함 될 수 있으며 아래와 같이 높은 리소스를 사용하는 작업에 대한 요청으로 서비스 거부(DoS)가 된 사례이다.

 

외에도 업로드의 용량제한이 없다면 큰 용량의 데이터를 대량으로 업로드를 하여 Disk를 점유하는 방식또한 존재 한다.

 

---

2. 서비스 서버로 향하는 네트워크 트래픽을 점유

서비스를 요청하게 되면 결국 인터넷 망을 통해 서버로 전달 되게 되는데 해당 망에 과도한 요청을 보내어 다른 사용자가 요청할 수 없도록 하는 방법이다.

 

이와같은 방법은 많은 요청을 보내는 것이 필수적인데 이를 위한 공격 방법이 DDoS공격이다.

Distribute Denial of Service Attack의 약자로 분산 서비스 거부 공격이라고 한다.

 

2-1.DDoS

DDoS 공격의 구조는 C&C서버(Cmmand and Control Server)가 여러 좀비 PC에 명령하여 일괄적으로 공격대상에게 요청을 보내는 방식이다.

 

각종 악성코드를 인터넷에 배포하여 좀비PC를 만들어내며 해당 좀비PC를 사용하여 공격자에게 요청하게 된다.

 

2-2.DRDoS(Distribute Reflected Dinal of Service Attack)

이는 IP 스푸핑을 사용한 공격 방법으로 요청을 하면 여러 응답을 주는 반사서버에 요청지를 공격 대상으로 IP를 변조한 패킷을 전달하여 응답을 공격대상서버에 요청하는 공격방법이다.

이를 위해서는 공격자는 반사서버에 요청지 IP를 공격 대상으로 설정(이를 IP 스푸핑이라 한다.)하여 요청을 보내면 반사 서버들은 해당 요청에 대한 응답을 공격대상에게 전달한다.

 

2-3 SYN Flood 공격

이는 TCP의 3 way-handshaking의 구조를 활용한 공격으로 TCP연결을 위한 과정중 공격대상이 ACK요청을 공격 서버로 부터 대기하게 만들어 트래픽을 점유하게 하는 방식이다.

 

3 way-handshaking는 아래와 같은 구조로 가장 마지막의 client가 ACK를 전달하여야 하지만 이를 전달하지 않으므로서 공격대상은 ACK응답을 기다리고 있는 상태를 만든다.

 

이를 무수히 많은 Client(혹은 Zomibe PC)가 요청하게 된다면 서버는 많은 요청들을 대기상태이므로 신규로 받을 트래픽을 할당할 수 없게된다.

 

2-4 Slowloris 공격

클라이언트에서 HTTP 요청 시 데이터를 EOF를 전달하지 않으므로서 서버는 이후 데이터를 받을 준비를 하고 있도록 한다. 이를 대량의 Zombie PC를 사용하여 다량의 사용자가 데이터를 보내는 중으로 인식하게 한다.

 

이를 해결하기 위해 TimeOut시간을 짧게 지정하면 해결 될듯 보인다.

---

CSRF의 대응방법

- GET Method 대신 POST Mentod 사용

URL을 이용한 CSRF는 GET방식을 이용하기 때문에 주요한 서비스의 경우 GET 방식이 아닌 POST 방식으로 서비스를 구현

단, 해당 방식은 XSS가 가능할경우 script를 통해 POST로 보낼 수 있다.

EX)

<form method="POST" id="myform" action="mypage"
 <input hidden name="password"/>
 <input type="submit">
</form>

<script>
 document.getElementById("myform").submit();
</script>

 

- CSRF 토큰사용

서비스의 요청을 받을 때 CSRF토큰을 사용하여 단순 form의 요청을 차단한다.

단, 해당 방식은 xss로 iframe에서 데이터를 가져온다면 요청할 수 있다.

EX)

<iframe id="myIframe" src="mypage.php">

<form id="myform" action="changePw.php>
 <input name="password">
 <input id="myToken" name="token">
</form>

<script>
 var target = document.getElementById('myIframe');
 var token = target.contentDocuemnt.forms[0].token
 
 document.getElementById('myToken') = token
 document.getElementById('myForm').submit()
</script>

 

- Referrer Check

요청의 Referrer를 확인 하면 해당 요청을 보낸 페이지를 알 수 있다. 이를 통해 특정 페이지에서 오는 요청만 받도록 개발한다.

단, 이 방식은 referrer를 변조 할 수 있다.

 

- 사용자만 알 수 있는 정보 요청

비밀번호 변경 등을 할 때 사용자의 현재 비밀번호를 받는 방법이 이와 같은 방법이다. token의 경우 사용자가 기입하는 것이 아닌 서버에서 전달 받기 때문에 iframe에 해당 정보가 포함되어 있지만. 사용자의 현재 비밀번호는 사용자가 직접 기입해야하기 때문에 알 수 없다.