UDP 플러드 공격

 UDP (User Datagram Protocol)는 정보와 요청이 수신 대상의 응답이나 확인 없이 서버로 전송되도록 해 주는 비상태형 전송 프로토콜입니다. UDP 플러드를 개시하기 위해 공격자는 대량의 UDP 패킷을 위조된 소스 주소와 함께 공격 대상 호스트의 임의의 포트로 전송합니다. 호스트는 이러한 데이터그램과 연계된 애플리케이션을 점검하고 아무 것도 발견하지 못하곤 "도달할 수 없는 목적지(Destination Unreachable)" 패킷으로 응답합니다. 공격자는 호스트가 압도당해 더 이상 합법적인 사용자에게 응답할 수 없을 때까지 더 많은 패킷을 보냅니다.

1. NTP Amplification DDoS Attack - 

NTP 증폭 공격

NTP (Network Time Protocol)는 컴퓨터 시스템간의 시계 동기화용 네트워킹 프로토콜입니다. DNS 증폭 공격과 유사하게, NTP 증폭 공격은 UDP 프로토콜을 사용하기 때문에 가능한데, 이는 소스 IP 위조를 허용하고 그러면 NTP 서버가 여러 명령에 대해 요청자가 보낸 것보다 더 많은 데이터를 돌려 보내기 때문입니다.

일반적으로, NTP 증폭 공격을 전개할 때 공격자는 자신이 의도하는 서비스 거부 대상에 맞춘 소스 IP 주소를 가지고 NTP 서버에 "monlist" 명령이 포함된 요청을 보냅니다. "monlist" 명령은 NTP 서버에서 진단에 사용되며 NTP 서버와 동기화된 마지막 600개의 IP 주소 목록을 돌려 보냅니다. 이 목록은 각각 448 바이트인 UDP 패킷 30개에 있는 대상에 돌려 보내집니다. 전체 사이즈는 서버마다 다르지민, 데이터의 용량은 공격자기 보낸 패킷보다 약 1,000배가 큽니다.

NTP의 monlist (최근접근한서버목록) 기능을 이용한 대량의 네트워크 트래픽을 유발시켜 분산 서비스 거부 공격을 일으킬 수 있는 취약점

ntpd 4.2.7 이전 버전에 취약, UDP 123

공격자는 변조된 소스IP를 취약한 NTP 서버로 monlist 명령어를 전송함.

취약한 NTP 서버는 최근 접속한 시스템 목록(최대 600개)를 변조된 소스IP로 monlist 명령어에 대한 Response 패킷을 전송하여 대량의 네트워크 트래픽을 유발함

ntpd를 4.2.7 이상 버젼으로 업그레이드 하거나 ntp 서버에 최근 접속한 시스템 목록을 요청하고 출력하는 monlist 기능을 해제

2. DNS Amplification DDoS Attack - DNS 증폭 공격

DNS 증폭 공격은 공격자가 봇이나 봇넷에게 합법적인 서버에 위조된 소스 주소를 가진 DNS 쿼리를 보내도록 지시할 때 일사분란하게 진행됩니다. 그 결과 대량의 응답이 공격자의 공격 대상인 위조된 주소의 실제 소유주에게 반송됩니다. 수 많은 네임 서버를 동원하는 공격은 초당 기가비트 수준의 데이터를 대상에게 보낼 수 있으며 공격을 개시하는데 사용된 실제 봇은 공격 대상에게 보이지도 않습니다.

DNS reflector attack 이라고도 함, 2013년 6.25 DDoS에서 사용됨

DNS Amplification 공격을 수행하는 악성 코드는 일반 PC및 모바일 기기를 감염시키고 PC나 모바일 기기의 출발지 인터넷 주소를 공격 대상인 DNS 서버 출발지 인터넷 주소로

위장할수 있다. 이후 다수의 다른 DNS 서버로 특정 도메인에 대한 확인 요청을 일시에 보내게 되면, 요청에 대한 응답은 각 1천 바이트 이상으로 일반적인 요청의 수십배에

달하게 된다. 요청 받은 각각의 DNS 서버는 이에 대한 응답을 악성코드가 의도한 특정 기업및 기관의 DNS 서버로 집중시켜 서버 과부하를 일으키게 된다.

3. SSDP Amplification DDoS Attack - SSDP 증폭 공격

SSDP (Simple Service Discovery Protocol)는 네트워크 서비스 및 존재 정보의 광고와 확인에 사용되는 네트워크 프로토콜로 유니버설 플러그앤플레이의 확인의 기반으로 가장 일반적으로 사용됩니다. 실행하면 1900번의 포트에서 UDP (User Datagram Protocol)를 사용하여 정보를 주고 받습니다. SSDP는 소스 IP 주소 위조와 증폭 요소를 가능하게 해 주는, 연결이 없는 상태라는 자체 속성 때문에 공격에 활용됩니다.

ShadowServer 데이터에 따르면, 인터넷 상에는 SSDP 실행이 가능한 기기가 1,500만 개 존재하며 DDoS 공격에 이용당할 수 있는 취약성을 안고 있습니다. 모든 반사 공격과 마찬가지로, 공격자들은 봇넷에서 취약한 기기들이 모두 공격 대상에게 SSDP 요청으로 융단폭격을 하기 위해 의도한 대상과 일치하도록 요청의 소스 IP를 위조해야 합니다.

SSDP( Simple Service Discovery Protocol) : 네트워크 서비스나 정보를 찾기 위해서 사용하는 네트워크 프로토콜

iot 기기등을 찾기 위한 UPnP(UDP 1900) 디바이스 찾기 기능을이용한 공격 UDP 1900