R.U.D.Y DDoS
RUDY(R-U-DEAD-YET) 는 Post 메소드를 전송하여 서비스를 거부시기키는 DDoS 공격이다.
Content-Length를 매우 크게 설정하여 서버의 지연을 유발한다.
서버는 클라이언트의 HTTP Header에 Content-Length를 보고 그 길이만큼의 Content가 올 때까지 대기하고 있다. 이 점을 이용하여 초기에 길이를 크게 설정해놓고, Content는 일정한 간격으로 1byte씩 전송한다. 결국, 서버는 한 세션당 [Content-Length * Interval Seconds] 만큼의 지연시간이 발생한다.
아래는 실제 공격 패킷이다. Content-Length 가 매우 길게 설정되어 있고 연속된 A 문자를 찍고 있다.
이를 일정한 간격으로 1byte씩 보낸다고 생각해보자
서버는 표기된 전체 byte를 수신할때까지 계속 대기하게 된다.
:: 대응 방안
현재까지 알려진 차단 방법은 크게 두가지다.
- Content-Length 임계치를 두어 차단
- User-Agent 기준으로 차단 (특이값이 있을 경우)
'Security' 카테고리의 다른 글
FTP Active/Passive 정리 (0) | 2017.01.06 |
---|---|
ubuntu 환경에 SNORT & BASE & Metasploit 설치 (0) | 2017.01.06 |
포트 스캐닝으로부터 OS 정보 숨기기 (0) | 2017.01.06 |
slowloris 분석/대응방안 (0) | 2017.01.05 |
윈도우 로그온 유형 (0) | 2016.12.29 |