ddos 썸네일형 리스트형 웹 사이트 보안 및 DoS(Denial-of-Service) 공격 방지 성공적인 공공 웹 사이트가 되려면 사이트로의 액세스를 장려하는 동시에 바람직하지 못한 또는 치명적인 트래픽을 제거하고 사이트의 성능이나 확장성을 제한하지 않으면서 필요한 수준의 보안을 충분히 제공해야 합니다. DoS(denial-of-service) 공격으로 인한 서비스 중단은 포털, 전자 상거래 사이트 등 웹 중심의 기업에게는 그야말로 "죽음의 키스(kiss of death)"입니다. 1999년 실시한 컴퓨터 범죄 및 보안 상태 조사(Computer Crime and Security Survey)에 의하면 외부인에 의한 침입을 보고한 응답자의 비율이 30%로, 외부인에 의한 시스템 침입이 3년 연속 증가한 것으로 나타났습니다. 인터넷 연결을 빈번한 공격 지점으로 보고한 사람들의 비율은 1996년 전체 .. 더보기 icmp flood 서버단에서 예방하기 ping 을 이용한 DOS 공격 막는 방법을 적어 보자. kernel 에서 ping의 응답 즉, ICMP ECHO 를 on을 시키느냐 off 를 시키느냐에 따라 ping이 되느냐 안 되느냐이다. 보통 ping 을 막는 방법으로 많이 나오는 방법 은 kernel의 icmp_echo_ignore_all 값을 1로 만들어 주는 방법이 주로 알려져 있다. 하지만 kernel document 에 들어 있는 문서를 자세히 보면 ping 을 이 용한 dos 공격은 broadcast와 multicast service 의 패킷을 넘치게 하 는 공격인 것이다. 즉 ping을 다 막을 필요는 없고 broadcast 와 multicast 쪽의 ping 만 막으면 되는 것이다. 아래는 kernel 문서의 원문이다. icmp_e.. 더보기 R.U.D.Y DDoS R.U.D.Y DDoS RUDY(R-U-DEAD-YET) 는 Post 메소드를 전송하여 서비스를 거부시기키는 DDoS 공격이다. Content-Length를 매우 크게 설정하여 서버의 지연을 유발한다.서버는 클라이언트의 HTTP Header에 Content-Length를 보고 그 길이만큼의 Content가 올 때까지 대기하고 있다. 이 점을 이용하여 초기에 길이를 크게 설정해놓고, Content는 일정한 간격으로 1byte씩 전송한다. 결국, 서버는 한 세션당 [Content-Length * Interval Seconds] 만큼의 지연시간이 발생한다. 아래는 실제 공격 패킷이다. Content-Length 가 매우 길게 설정되어 있고 연속된 A 문자를 찍고 있다. 이를 일정한 간격으로 1byte씩 보낸다.. 더보기 slowloris 분석/대응방안 SlowLorisGET 방식의 메소드는 헤더의 데이터 구분을 CRLF을 이용한다. 0D 0A 가 두번 들어가면 헤더의 끝을 나타내는데.. 의도적으로 한번만 넣어서 헤더의 끝을 맺지 않음으로 서버는 헤더가 끝날때까지 지속적으로 기다리게 만든다. 익히 알려진 slowloris 공격 툴은 헤더에 X-a: b 를 전송하고 Content-Length가 42byte 라는 특징이 있다.:: 공격에 취약한 서버 - Apache 1.x, 2.x, squid:: 공격에 취약하지 않은 서버 - lighttpd, IIS6.0, IIS7.0, nginx, varnishd, J5K.공격툴로 테스트를 해보면 아래와 같이 펜더가 나온다. 공격 진행중 패킷을 보면 CRLF(0d 0a) 를 한번만 보내 헤더의 끝을 맺지 않음을 알 수 .. 더보기 이전 1 다음
