사용자가 특정 리소스에 액세스할 수 없는 공격을 DDoS 공격 또는 서비스 거부 문제라고 합니다. 이러한 해커 공격의 주요 특징은 전 세계 수많은 컴퓨터에서 동시 요청이 이루어지며, 주로 잘 보호되는 회사나 정부 기관의 서버를 대상으로 하며 개별 비상업적 리소스를 대상으로 하는 경우는 적습니다.
감염된 컴퓨터는 일종의 '좀비'가 되며, 해커는 수백, 심지어 수만 마리의 '좀비'를 이용해 자원 장애(서비스 거부)를 일으킨다.
DDoS 공격에는 여러 가지 이유가 있을 수 있습니다. 가장 인기 있는 공격을 식별하고 동시에 다음 질문에 답해 봅시다. "DDoS 공격은 무엇입니까? 자신을 보호하는 방법은 무엇이며 그 결과는 무엇이며 어떤 수단으로 수행됩니까?"
경쟁
인터넷은 오랫동안 사업 아이디어, 대규모 프로젝트 구현 및 상당한 돈을 벌 수 있는 기타 방법의 소스였으므로 DDoS 공격이 명령에 따라 수행될 수 있습니다. 즉, 조직에서 경쟁자가 발생하여 이를 제거하려는 경우 인터넷 리소스(DDoS)를 통해 원치 않는 회사의 작업을 마비시키는 간단한 작업으로 해커(또는 그 그룹)에게 의지할 수 있습니다. 서버나 웹사이트에 대한 공격).
특정 목표와 목표에 따라 이러한 공격은 특정 기간 동안 적절한 힘을 사용하여 설정됩니다.
사기
웹 사이트에 대한 DDoS 공격은 시스템을 차단하고 개인 데이터 또는 기타 중요한 데이터에 액세스하기 위해 해커의 주도로 조직되는 경우가 많습니다. 공격자는 시스템을 마비시킨 후 공격받은 리소스의 기능을 복원하기 위해 일정 금액의 돈을 요구할 수 있습니다.
많은 인터넷 기업가들은 제시된 조건에 동의하여 작업 중단 시간으로 인해 자신의 행동을 정당화하고 막대한 손실을 입습니다. 매일 중단 시간 동안 상당한 이익을 잃는 것보다 사기꾼에게 소액을 지불하는 것이 더 쉽습니다.
오락
많은 사용자는 단순히 호기심이나 재미로 "DDoS 공격 - 정의 및 수행 방법"에 관심이 있습니다. 따라서 초보 공격자가 재미와 힘 테스트를 위해 무작위 리소스에 대한 공격을 구성하는 경우가 종종 있습니다.
이러한 이유와 함께 DDoS 공격에는 고유한 분류 특성이 있습니다.
- 대역폭. 오늘날 거의 모든 컴퓨터 장소에는 다음 중 하나가 장착되어 있습니다. 지역 네트워크, 또는 단순히 인터넷에 연결되어 있습니다. 따라서 네트워크 플러딩이 자주 발생합니다. 즉, 후속 실패 또는 장애를 목적으로 특정 리소스 또는 장비에 대해 잘못 구성되고 의미 없는 시스템에 대한 많은 요청이 발생하는 것입니다. 하드 디스크, 메모리 등).
- 시스템 고갈. 이번 Samp 서버에 대한 DDoS 공격은 캡처를 위해 수행됩니다. 물리적 메모리, CPU 시간 및 기타 시스템 리소스 부족으로 인해 공격 대상 개체가 완전히 작동할 수 없습니다.
- 루핑. 끝없는 데이터 확인과 순환적으로 작동하는 기타 루프로 인해 객체는 많은 리소스를 낭비하게 되고, 이로 인해 메모리가 완전히 소진될 때까지 메모리가 막히게 됩니다.
- 거짓 공격. 이 조직은 보호 시스템을 잘못 트리거하여 궁극적으로 일부 리소스를 차단하는 것을 목표로 합니다.
- HTTP 프로토콜. 해커는 특수 암호화를 사용하여 저용량 HTTP 패킷을 전송하며 리소스는 당연히 DDoS 공격이 시작되는 것을 보지 못하고 서버 프로그램은 작업을 수행하는 동안 훨씬 더 큰 용량의 패킷을 다시 전송하여 피해자의 패킷을 막습니다. 이는 다시 서비스 실패로 이어집니다.
- 스머프 공격. 이것은 가장 위험한 종 중 하나입니다. 해커는 브로드캐스트 채널을 통해 피해자에게 가짜 ICMP 패킷을 보냅니다. 여기서 피해자의 주소는 공격자의 주소로 대체되고 모든 노드는 ping 요청에 대한 응답을 보내기 시작합니다. 이 DDoS 공격은 다음을 목적으로 하는 프로그램입니다. 대규모 네트워크즉, 100대의 컴퓨터에서 처리되는 요청은 100배로 증폭됩니다.
- UDP 플러드. 이 유형의 공격은 이전 공격과 다소 유사하지만 공격자는 ICMP 패킷 대신 UDP 패킷을 사용합니다. 이 방법의 핵심은 피해자의 IP 주소를 해커의 IP 주소로 대체하고 대역폭을 완전히 로드하여 시스템 충돌을 일으키는 것입니다.
- SYN 홍수. 공격자는 반환 주소가 잘못되었거나 완전히 누락된 SYN 채널을 통해 다수의 TCP 연결을 동시에 시작하려고 합니다. 이러한 시도를 여러 번 시도한 후에 대부분의 운영 체제는 문제가 있는 연결을 대기열에 추가하고 특정 횟수만큼 시도한 후에만 연결을 닫습니다. SYN 채널 흐름은 꽤 크며, 그러한 시도를 많이 한 후에 피해자 커널은 새로운 연결 열기를 거부하여 전체 네트워크를 차단합니다.
- "무거운 패키지". 이 유형은 "서버에 대한 DDoS 공격이란 무엇입니까?"라는 질문에 대한 답변을 제공합니다. 해커는 사용자의 서버에 패킷을 보내지만 대역폭이 포화되지 않고 프로세서 시간만을 목표로 합니다. 결과적으로 이러한 패키지는 시스템 오류로 이어지며 결과적으로 해당 리소스에도 오류가 발생합니다.
- 로그 파일. 할당량 및 순환 시스템에 보안 허점이 있는 경우 공격자는 대규모 패킷을 보내 모든 것을 차지할 수 있습니다. 자유로운 장소~에 하드 드라이브섬기는 사람.
- 프로그램 코드. 풍부한 경험을 가진 해커는 피해자 서버의 구조를 완벽하게 연구하고 특수 알고리즘(DDoS 공격 - 익스플로잇 프로그램)을 실행할 수 있습니다. 이러한 공격은 주로 다양한 분야와 분야의 기업 및 조직의 잘 보호되는 상업 프로젝트를 대상으로 합니다. 공격자는 프로그램 코드에서 허점을 찾아 시스템이나 서비스 충돌을 일으키는 잘못된 명령이나 기타 예외적인 알고리즘을 실행합니다.
DDoS 공격: 정의 및 자신을 보호하는 방법
DDoS 공격으로부터 보호하는 방법에는 여러 가지가 있습니다. 그리고 그것들은 모두 수동적, 능동적, 반동적, 예방적 네 부분으로 나눌 수 있습니다. 나중에 더 자세히 이야기하겠습니다.
경고
여기서 우리는 DDoS 공격을 유발할 수 있는 원인을 예방해야 합니다. 이러한 유형에는 개인적인 적대감, 법적 불일치, 경쟁 및 귀하와 귀하의 비즈니스 등에 대한 "증가된" 관심을 불러일으키는 기타 요인이 포함될 수 있습니다.
이러한 요인에 제때 대응하고 적절한 결론을 도출하면 많은 불쾌한 상황을 피할 수 있습니다. 이 방법은 문제라기보다 문제라고 볼 수 있습니다. 기술적 측면질문.
대응조치
리소스에 대한 공격이 계속되면 법적, 기술적 활용을 모두 활용하여 문제의 원인(고객 또는 계약자)을 찾아야 합니다. 일부 회사에서는 기술적 방법을 사용하여 침입자를 검색하는 서비스를 제공합니다. 이번 문제에 관련된 전문가들의 자질을 토대로 DDoS 공격을 가한 해커뿐만 아니라 고객 본인도 찾아낼 수 있다.
소프트웨어 보호
일부 하드웨어 및 소프트웨어 제조업체는 해당 제품과 함께 몇 가지 효과적인 솔루션을 제공할 수 있으며 사이트에 대한 DDoS 공격은 즉시 중단됩니다. 중소 규모의 DDoS 공격 대응을 목표로 하는 별도의 소형 서버가 기술적 방어 역할을 할 수 있습니다.
이 솔루션은 중소기업에 적합합니다. 이상 대기업, 기업 및 정부 기관에는 DDoS 공격에 맞서기 위한 전체 하드웨어 시스템이 있으며, 이는 높은 가격과 함께 뛰어난 보호 특성을 가지고 있습니다.
여과법
들어오는 트래픽을 차단하고 신중하게 필터링하면 공격 가능성을 줄일 수 있을 뿐만 아니라 경우에 따라 서버에 대한 DDoS 공격을 완전히 배제할 수도 있습니다.
트래픽을 필터링하는 방법에는 방화벽과 전체 목록 라우팅이라는 두 가지 주요 방법이 있습니다.
목록(ACL)을 사용한 필터링을 사용하면 TCP를 중단하거나 보호된 리소스에 대한 액세스 속도를 줄이지 않고도 필수적이지 않은 프로토콜을 필터링할 수 있습니다. 그러나 해커가 봇넷을 사용하거나 빈도가 높은 쿼리, 이 방법은 효과가 없습니다.
DDoS 공격으로부터 훨씬 더 잘 보호하지만 유일한 단점은 개인 및 비상업적 네트워크에만 사용된다는 것입니다.
거울
이 방법의 핵심은 들어오는 모든 공격자 트래픽을 다시 리디렉션하는 것입니다. 이는 트래픽을 리디렉션할 뿐만 아니라 공격자의 장비를 비활성화할 수 있는 강력한 서버와 유능한 전문가를 보유함으로써 가능합니다.
시스템 서비스, 프로그램 코드 및 기타 네트워크 응용 프로그램에 오류가 있으면 이 방법이 작동하지 않습니다.
취약점 검색
이러한 유형의 보호는 악용 패치를 적용하고 웹 애플리케이션 및 시스템은 물론 네트워크 트래픽을 담당하는 기타 서비스의 오류를 제거하는 것을 목표로 합니다. 이 방법은 특히 이러한 취약점을 겨냥한 플러드 공격에 대해서는 쓸모가 없습니다.
최신 리소스
이 방법은 100% 보호를 보장할 수 없습니다. 그러나 DDoS 공격을 방지하기 위해 다른 조치(또는 일련의 조치)를 보다 효과적으로 수행할 수 있습니다.
시스템 및 자원 할당
리소스를 복제하고 시스템을 배포하면 서버가 현재 DDoS 공격을 받고 있는 경우에도 사용자가 데이터로 작업할 수 있습니다. 배포를 위해서는 다양한 서버나 네트워크 장비를 사용할 수 있으며, 서로 다른 중복 시스템(데이터센터)에 서비스를 물리적으로 분리하는 것도 권장됩니다.
이 보호 방법은 올바른 아키텍처 설계가 만들어진 경우 오늘날 가장 효과적입니다.
회피
이 방식의 주요 특징은 공격받은 객체의 출력과 분리( 도메인 이름또는 IP 주소), 즉 한 사이트에 있는 모든 작업 리소스는 제3자에 나누어 배치되어야 합니다. 네트워크 주소, 또는 심지어 다른 주의 영토에서도 마찬가지입니다. 이를 통해 어떤 공격에서도 살아남고 내부 IT 구조를 보존할 수 있습니다.
DDoS 공격으로부터 보호하기 위한 서비스
DDoS 공격과 같은 재앙(그것이 무엇인지, 어떻게 대처해야 하는지)에 대해 모든 것을 이야기한 후 마침내 한 가지를 알려드릴 수 있습니다. 좋은 조언. 많은 대규모 조직에서는 이러한 공격을 예방하고 예방하기 위한 서비스를 제공합니다. 기본적으로 이러한 회사는 대부분의 DDoS 공격으로부터 비즈니스를 보호하기 위해 다양한 조치와 다양한 메커니즘을 사용합니다. 그들은 해당 분야의 전문가와 전문가를 고용하므로 귀하의 리소스가 귀하에게 소중한 경우 가장 좋은 방법은 (비록 저렴하지는 않지만) 이러한 회사 중 하나에 문의하는 것입니다.
DDoS 공격을 직접 수행하는 방법
인식은 무장되어 있습니다 - 진정한 원칙입니다. 그러나 개인이나 집단에 의한 DDoS 공격을 고의적으로 조직하는 것은 범죄 행위이므로 이 자료는 정보 제공의 목적으로만 제공됩니다.
미국 IT 위협 예방 전문가들은 서버 부하에 대한 저항력과 공격자가 DDoS 공격을 수행한 후 이 공격을 제거할 가능성을 테스트하는 프로그램을 개발했습니다.
당연히 "뜨거운" 마음은 이 무기를 개발자 자신과 그들이 맞서 싸우고 있는 대상에 대항하도록 돌렸습니다. 제품 코드명은 LOIC입니다. 본 프로그램은 무료로 제공되며, 원칙적으로 법적으로 금지되지 않습니다.
프로그램의 인터페이스와 기능은 매우 간단하여 DDoS 공격에 관심이 있는 사람이라면 누구나 사용할 수 있습니다.
모든 것을 스스로하는 방법? 인터페이스 라인에 IP 피해자를 입력한 다음 TCP 및 UDP 흐름과 요청 수를 설정하세요. 짜잔-탐나는 버튼을 누른 후 공격이 시작되었습니다!
당연히 심각한 리소스는 이 소프트웨어의 영향을 받지 않지만 작은 리소스에는 몇 가지 문제가 발생할 수 있습니다.
이 조직은 .tr 영역에 도메인 이름을 등록하는 것 외에도 터키 대학에 백본 통신을 제공합니다. 익명의 핵티비스트들은 터키 지도부가 ISIS를 지원하고 있다고 비난하며 이번 공격이 자신들의 소행이라고 주장했습니다.
DDoS의 첫 번째 징후는 12월 14일 아침에 나타났으며, 정오까지 5개의 NIC.tr 서버가 최대 40Gbps 용량의 정크 트래픽 공격으로 인해 중단되었습니다. 이 문제는 대체 NS 인프라 NIC.tr을 제공하는 RIPE 조정 센터에도 영향을 미쳤습니다. RIPE 담당자는 공격이 RIPE의 보안 조치를 우회하는 방식으로 수정되었다고 지적했습니다.
대규모 DDoS 공격은 웹 서비스를 중단시키는 가장 효과적인 방법이 되고 있습니다. 공격 비용은 지속적으로 감소하고 있으며 이로 인해 전력이 증가합니다. 단 2년 만에 DDoS 공격의 평균 전력이 8Gbps로 4배 증가했습니다. 평균값과 비교하면 터키 국가 도메인 영역에 대한 공격은 인상적이지만 전문가들은 400Gbps 수준의 DDoS 공격이 곧 표준이 될 것이라고 강조합니다.
터키 공격의 특징은 공격자가 올바른 대상을 선택했다는 것입니다. 상대적으로 적은 수의 IP 주소에 집중하여 단 40기가비트 공격으로 국가 전체의 인프라를 실질적으로 무력화할 수 있었습니다.
터키어 국립 센터사이버 사고에 대한 대응으로 인해 다른 국가에서 NIC.tr 서버로 들어오는 모든 트래픽이 차단되었습니다. 이로 인해 40만 개의 터키 사이트 모두에 액세스할 수 없게 되었으며 모든 메시지가 차단되었습니다. 이메일발송인에게 반송되었습니다. 나중에 센터는 전술을 변경하여 의심스러운 IP 주소를 선택적으로 차단하기로 결정했습니다. .tr 영역의 도메인용 DNS 서버는 터키 인터넷 제공업체인 Superonline과 Vodafone의 도움을 받아 공용 서버와 개인 서버 간에 요청을 분산하도록 재구성되었습니다.
공격받은 도메인은 같은 날 온라인으로 돌아왔지만 많은 사이트와 우편 서비스그들은 며칠 동안 간헐적으로 일했습니다. 지역 회사와 정부 기관뿐만 아니라 .tr 영역에서 도메인 이름을 선택한 많은 국가 웹 리소스도 영향을 받았습니다. 전체적으로 이것은 약 40만 개의 웹사이트이며, 그 중 75%가 기업입니다. 터키 국가 도메인도 사용됩니다. 교육 기관, 지방 자치 단체 및 군대.
"익명"이 성명을 발표할 때까지 많은 사람들은 터키와 러시아 간의 긴장된 관계로 인해 DDoS 공격에 대해 러시아를 비난했습니다. 한때 비슷한 이유로 러시아 해커가 에스토니아(2007), 조지아(2008), 우크라이나(2014)에 대한 대규모 사이버 공격에 연루된 혐의를 받았습니다. 일부 전문가들은 터키 DDoS가 러시아 뉴스 사이트 스푸트니크(Sputnik)에서 발생한 터키 사이버 그룹의 DDoS 공격에 대한 러시아의 대응이라고 간주했습니다.
익명의 성명은 "러시아의 흔적"에 대한 어떤 근거도 박탈했습니다. 핵티비스트들은 또한 터키가 ISIS 지원을 중단하지 않으면 터키 공항, 은행, 정부 서버 및 군사 조직을 공격하겠다고 위협하고 있습니다.
누가 공격을 받고 있나요?
중앙은행에 따르면 2016년 러시아 금융기관의 수는 거의 두 배로 늘어났습니다. 지난 11월, DDoS 공격은 러시아의 5개 대형 은행을 겨냥했습니다. 지난해 말 중앙은행은 중앙은행을 포함한 금융기관을 대상으로 한 DDoS 공격을 보고했다. “공격의 목적은 서비스를 방해하고 결과적으로 이러한 조직에 대한 신뢰를 약화시키는 것이었습니다. 이러한 공격은 러시아에서 처음으로 사물 인터넷을 대규모로 사용한 공격이었기 때문에 주목할 만했습니다. 공격에는 주로 인터넷 비디오 카메라와 가정용 라우터가 포함되었습니다.”라고 대형 은행의 보안 서비스는 밝혔습니다.동시에 DDoS 공격은 은행에 심각한 피해를 입히지 않았습니다. 잘 보호되어 있으므로 이러한 공격은 문제를 일으켰지만 심각하지 않았으며 단일 서비스를 중단하지 않았습니다. 하지만 해커들의 반은행 활동이 크게 늘었다고 할 수 있다.
2017년 2월 기술 서비스러시아 보건부는 최근 몇 년간 최대 규모의 DDoS 공격을 격퇴했는데, 그 공격은 최고조에 달했을 때 분당 400만 건에 달했습니다. DDoS 공격도 있었습니다. 상태 레지스터, 그러나 그들은 또한 성공하지 못했고 데이터 변경으로 이어지지 않았습니다.
그러나 이처럼 강력한 '방어력'을 갖추지 못한 수많은 조직과 기업이 DDoS 공격의 피해자가 되고 있습니다. 2017년에는 랜섬웨어, DDoS, 사물인터넷(IoT) 기기 공격 등 사이버 위협으로 인한 피해가 증가할 것으로 예상됩니다.
IoT 장치는 DDoS 공격을 수행하기 위한 도구로 점점 인기를 얻고 있습니다. 중요한 사건은 2016년 9월에 시작된 DDoS 공격이었습니다. 악성코드미라이. 여기에는 비디오 감시 시스템의 수십만 대의 카메라와 기타 장치가 공격 수단으로 사용되었습니다.
이는 프랑스 호스팅 제공업체 OVH를 상대로 진행되었습니다. 이는 거의 1Tbit/s에 달하는 강력한 DDoS 공격이었습니다. 해커들은 봇넷을 사용하여 주로 CCTV 카메라 등 15만 개의 IoT 장치를 악용했습니다. Mirai 봇넷 공격으로 인해 많은 IoT 장치 봇넷이 발생했습니다. 전문가들에 따르면, 2017년에도 IoT 봇넷은 계속해서 사이버 공간의 주요 위협 중 하나가 될 것입니다.
2016년 Verizon 데이터 유출 사건 보고서(DBIR)에 따르면 지난해 DDoS 공격 건수가 눈에 띄게 증가했습니다. 전 세계적으로 엔터테인먼트 산업, 전문 기관, 교육, IT, 소매 분야가 가장 큰 어려움을 겪고 있습니다.
DDoS 공격에서 주목할만한 추세는 '피해자 목록'의 확대이다. 이제 거의 모든 산업 분야의 대표자가 포함됩니다. 또한, 공격 방식도 개선되고 있습니다.
넥서스가드(Nexusguard)에 따르면 2016년 말에는 여러 취약점을 동시에 이용하는 혼합형 DDoS 공격 건수가 눈에 띄게 늘어났다. 대부분의 경우 금융 및 정부 기관이 이러한 조치를 받았습니다. 사이버 범죄자의 주요 동기(사례의 70%)는 데이터를 훔치거나 몸값을 요구하여 데이터를 파괴하겠다는 위협입니다. 덜 자주 - 정치적 또는 사회적 목표. 방어 전략이 중요한 이유다. 공격에 대비하고 그 결과를 최소화하여 재무 및 평판 위험을 줄일 수 있습니다.
공격의 결과
DDoS 공격의 결과는 무엇입니까? 공격 중에 피해자는 다음과 같은 이유로 고객을 잃습니다. 느린 작업또는 사이트에 완전히 접근할 수 없으면 비즈니스의 평판이 손상됩니다. 서비스 제공자는 다른 클라이언트의 피해를 최소화하기 위해 피해자의 IP 주소를 차단할 수 있습니다. 모든 것을 복원하려면 시간과 돈이 필요할 수 있습니다.회사의 조사에 따르면 DDoS 공격은 조직의 절반이 가장 심각한 사이버 위협 중 하나로 간주합니다. DDoS의 위험은 다른 위협은 말할 것도 없고 무단 액세스, 바이러스, 사기, 피싱의 위험보다 훨씬 더 큽니다.
DDoS 공격으로 인한 평균 손실은 전 세계적으로 소규모 조직의 경우 50,000달러, 대기업의 경우 거의 500,000달러로 추산됩니다. DDoS 공격의 결과를 제거하려면 추가 직원 시간, 보안을 보장하기 위한 다른 프로젝트의 리소스 전환, 소프트웨어 업데이트 계획 개발, 장비 현대화 등이 필요합니다.
공격을 받은 조직의 평판은 다음과 같은 이유로 인해 손상될 수 있습니다. 나쁜 일사이트뿐만 아니라 개인 데이터나 금융 정보의 도용으로 인해 발생하기도 합니다.
회사 조사에 따르면 DDoS 공격 건수는 매년 200%씩 증가하고 있으며, 이러한 유형의 공격은 전 세계적으로 매일 2,000건이 보고되고 있습니다. 일주일 동안의 DDoS 공격을 조직하는 데 드는 비용은 약 $150에 불과하며 피해자의 평균 손실은 시간당 $40,000를 초과합니다.
DDoS 공격 유형
DDoS 공격의 주요 유형에는 대규모 공격, 프로토콜 수준 공격, 애플리케이션 수준 공격이 있습니다. 어쨌든 목표는 사이트를 비활성화하거나 데이터를 훔치는 것입니다. 또 다른 유형의 사이버 범죄는 몸값을 얻기 위한 DDoS 공격 위협입니다. Armada Collective, Lizard Squad, RedDoor 및 ezBTC와 같은 해커 그룹이 유명합니다.DDoS 공격 구성은 눈에 띄게 간편해졌습니다. 이제 사이버 범죄자의 특별한 지식이 거의 필요하지 않은 자동화 도구가 널리 사용 가능해졌습니다. 익명으로 대상을 공격하는 유료 DDoS 서비스도 있습니다. 예를 들어, vDOS 서비스는 고객이 "부하 상태에서" 테스트하려는 사이트의 소유자인지, 공격 목적으로 수행되는지 여부를 확인하지 않고 서비스를 제공합니다.
DDoS 공격은 합법적인 사용자가 공격받는 사이트에 액세스하는 것을 방지하는 다중 소스 공격입니다. 이를 위해 공격받은 시스템에 처리할 수 없는 엄청난 수의 요청이 전송됩니다. 일반적으로 손상된 시스템은 이러한 목적으로 사용됩니다.
DDoS 공격 횟수의 연간 증가율은 (에 따르면) 50%로 추정되지만, 데이터 다양한 소스다르지만 모든 사건이 알려진 것은 아닙니다. 레이어 3/4 DDoS 공격의 평균 위력은 최근 몇 년 동안 20GB/s에서 수백 GB/s로 증가했습니다. 대규모 DDoS 및 프로토콜 수준 공격은 그 자체로도 충분히 나쁘지만, 사이버 범죄자들은 이를 레이어 7 DDoS 공격, 즉 데이터 변경 또는 도용을 목표로 하는 애플리케이션 수준 공격과 점점 더 결합하고 있습니다. 이러한 "다중 벡터" 공격은 매우 효과적일 수 있습니다.
다중 벡터 공격은 전체 DDoS 공격 수의 약 27%를 차지합니다.
대규모 DDoS 공격(볼륨 기반)의 경우 합법적인 IP 주소에서 전송되는 수많은 요청이 사용되므로 사이트의 트래픽이 "막히게" 됩니다. 이러한 공격의 목표는 사용 가능한 모든 대역폭을 "막고" 합법적인 트래픽을 차단하는 것입니다.
프로토콜 수준 공격(예: UDP 또는 ICMP)의 경우 목표는 시스템 리소스를 고갈시키는 것입니다. 이를 위해 공개 요청(예: 가짜 IP를 사용한 TCP/IP 요청)이 전송되며, 네트워크 리소스가 고갈되어 합법적인 요청을 처리할 수 없게 됩니다. 대표적인 예로는 Smurf DDos, Ping of Death 및 SYN 플러드 등 좁은 범위로 알려진 DDoS 공격이 있습니다. 또 다른 유형의 프로토콜 수준 DDoS 공격에는 시스템이 처리할 수 없는 대량의 조각난 패킷을 보내는 것이 포함됩니다.
계층 7 DDoS 공격에는 정상적인 사용자 작업의 결과로 보이는 무해해 보이는 요청을 보내는 것이 포함됩니다. 일반적으로 이러한 작업은 봇넷과 자동화 도구를 사용하여 수행됩니다. 주목할만한 예로는 Slowloris, Apache Killer, 크로스 사이트 스크립팅, SQL 주입, 원격 파일 주입.
2012~2014년 대규모 DDoS 공격의 대부분은 상태 비저장 공격(상태를 기억하지 않거나 세션을 추적하지 않음)으로 UDP 프로토콜을 사용했습니다. Stateless의 경우 한 세션(예: 페이지 열기)에 많은 패킷이 순환합니다. 상태 비저장 장치는 일반적으로 누가 세션을 시작했는지(페이지를 요청했는지) 알 수 없습니다.
UDP 프로토콜은 스푸핑(주소 교체)에 취약합니다. 예를 들어, DNS 증폭 공격을 사용하여 56.26.56.26의 DNS 서버를 공격하려는 경우 소스 주소가 56.26.56.26인 패킷 세트를 생성하여 전 세계의 DNS 서버로 보낼 수 있습니다. 이 서버는 56.26.56.26으로 응답을 보냅니다.
동일한 방법이 적용됩니다. NTP 서버, SSDP 지원 장치. NTP 프로토콜아마도 가장 널리 사용되는 방법일 것입니다. 2016년 하반기에는 DDoS 공격의 97.5%에 사용되었습니다.
BCP(Best Current Practice) 규칙 38에서는 ISP가 스푸핑을 방지하기 위해 게이트웨이를 구성하도록 권장합니다. 즉, 발신자 주소와 원래 네트워크가 제어됩니다. 그러나 모든 국가가 이 관행을 따르는 것은 아닙니다. 또한 공격자는 TCP 수준에서 상태 저장 공격을 사용하여 BCP 38 제어를 우회합니다. F5 보안 운영 센터(SOC)에 따르면 이러한 공격은 지난 5년 동안 지배적이었습니다. 2016년에는 UDP 공격보다 TCP 공격이 두 배나 많았습니다.
레이어 7 공격은 주로 전문 해커가 사용합니다. 원칙은 다음과 같습니다. "무거운" URL이 사용됩니다( PDF 파일또는 대규모 데이터베이스에 대한 쿼리) 초당 수십 또는 수백 번 반복됩니다. 계층 7 공격은 심각한 결과를 초래하며 탐지하기 어렵습니다. 현재 DDoS 공격의 약 10%를 차지합니다.
Verizon Data Breach Investigations Report(DBIR)(2016)에 따른 다양한 유형의 DDoS 공격 비율.
DDoS 공격은 온라인 판매일과 같이 트래픽이 가장 많은 기간에 맞춰 발생하는 경우가 많습니다. 현재 대규모의 개인 및 금융 데이터 흐름이 해커의 관심을 끌고 있습니다.
DNS에 대한 DDoS 공격
DNS(Domain Name System)는 웹사이트의 성능과 가용성에 있어 기본적인 역할을 합니다. 궁극적으로 귀하의 비즈니스 성공에 도움이 됩니다. 불행하게도 DNS 인프라는 종종 DDoS 공격의 대상이 됩니다. 공격자는 DNS 인프라를 억제함으로써 웹사이트와 회사의 평판을 훼손하고 재무 성과에 영향을 미칠 수 있습니다. 오늘날의 위협에 대처하려면 DNS 인프라는 탄력성과 확장성이 뛰어나야 합니다.본질적으로 DNS는 분산 기반읽기 쉬운 사이트 이름과 IP 주소를 일치시켜 사용자가 URL을 입력하면 원하는 사이트로 이동할 수 있도록 하는 데이터입니다. 사용자와 웹 사이트의 첫 번째 상호 작용은 웹 사이트의 인터넷 도메인 주소를 사용하여 DNS 서버로 전송된 DNS 쿼리로 시작됩니다. 이러한 처리는 웹페이지 로딩 시간의 최대 50%를 차지할 수 있습니다. 따라서 DNS 성능이 저하되면 사용자가 사이트를 떠나고 비즈니스 손실이 발생할 수 있습니다. DDoS 공격으로 인해 DNS 서버가 응답하지 않으면 누구도 귀하의 사이트에 액세스할 수 없습니다.
DDoS 공격은 탐지하기 어렵습니다. 특히 트래픽이 정상적으로 나타나는 초기에는 더욱 그렇습니다. DNS 인프라에는 다음 사항이 적용될 수 있습니다. 다양한 방식 DDoS 공격. 때때로 이것은 DNS 서버에 대한 직접적인 공격입니다. 다른 경우에는 DNS 시스템을 사용하여 IT 인프라나 서비스의 다른 요소를 공격하는 악용이 사용됩니다.
DNS 반사 공격에서 대상은 대규모로 스푸핑된 DNS 응답에 노출됩니다. 이를 위해 봇넷이 사용되어 수백, 수천 대의 컴퓨터를 감염시킵니다. 이러한 네트워크의 각 봇은 여러 DNS 요청을 생성하지만 소스 IP와 동일한 대상 IP 주소를 사용합니다(스푸핑). DNS 서비스는 이 IP 주소에 응답합니다.
이는 이중 효과를 달성합니다. 대상 시스템은 수천, 수백만 개의 DNS 응답으로 공격을 받고 DNS 서버는 로드를 처리할 수 없어 다운될 수 있습니다. DNS 요청 자체는 일반적으로 50바이트 미만이지만 응답은 10배 더 깁니다. 또한 DNS 메시지에는 꽤 많은 다른 정보가 포함될 수 있습니다.
공격자가 50바이트(총 5MB)의 짧은 DNS 요청 100,000건을 발행했다고 가정해 보겠습니다. 각 응답에 1KB가 포함되어 있으면 총계는 이미 100MB입니다. 따라서 이름은 증폭입니다. DNS 반사 공격과 증폭 공격의 조합은 매우 심각한 결과를 초래할 수 있습니다.
요청은 일반 트래픽처럼 보이고 응답은 대상 시스템으로 전달되는 많은 대용량 메시지입니다.
DDoS 공격으로부터 자신을 보호하는 방법은 무엇입니까?
DDoS 공격으로부터 자신을 보호하는 방법과 취해야 할 조치는 무엇입니까? 우선, "나중을 위해" 미루지 마세요. 네트워크를 구성하고, 서버를 실행하고, 소프트웨어를 배포할 때 몇 가지 조치를 고려해야 합니다. 그리고 후속 변경이 있을 때마다 DDoS 공격에 대한 취약성이 증가되어서는 안 됩니다.DNS 보호
DDoS 공격으로부터 DNS 인프라를 보호하는 방법은 무엇입니까? 기존 방화벽과 IPS는 여기서 도움이 되지 않으며 DNS에 대한 복잡한 DDoS 공격에 대해 무력합니다. 실제로 방화벽과 침입 방지 시스템 자체는 DDoS 공격에 취약합니다.그들은 구조하러 올 수 있습니다 클라우드 서비스교통 정리: 특정 센터로 전송되어 확인된 후 목적지로 다시 리디렉션됩니다. 이러한 서비스는 TCP 트래픽에 유용합니다. 자체 DNS 인프라를 관리하는 사람들은 다음 단계를 수행하여 DDoS 공격의 영향을 완화할 수 있습니다.
DDoS 공격으로부터 DNS를 보호하는 가장 좋은 방법은 지리적으로 분산된 Anycast 네트워크를 사용하는 것입니다. 분산 DNS 네트워크는 두 가지를 사용하여 구현할 수 있습니다. 다양한 접근법: 유니캐스트 또는 애니캐스트 주소 지정. 첫 번째 접근 방식은 구현하기가 훨씬 쉽지만 두 번째 접근 방식은 DDoS 공격에 훨씬 더 강합니다.
유니캐스트의 경우, 각각 DNS 서버귀하의 회사는 고유한 IP 주소를 받습니다. DNS는 도메인의 DNS 서버 및 해당 IP 주소 테이블을 유지 관리합니다. 사용자가 URL을 입력하면 IP 주소 중 하나가 무작위로 선택되어 요청이 완료됩니다.
애니캐스트 주소 지정 체계를 사용하면 서로 다른 DNS 서버가 공통 IP 주소를 공유합니다. 사용자가 URL을 입력하면 DNS 서버의 집합적인 주소가 반환됩니다. IP 네트워크는 요청을 가장 가까운 서버로 라우팅합니다.
애니캐스트는 유니캐스트에 비해 근본적인 보안 이점을 제공합니다. 유니캐스트는 공격자가 특정 물리적 서버에 대한 표적 공격을 시작할 수 있도록 개별 서버 IP 주소를 제공합니다. 가상 머신이며, 본 시스템의 자원이 소진되면 서비스 장애가 발생합니다. Anycast는 서버 그룹에 요청을 분산시켜 DDoS 공격을 완화하는 데 도움을 줄 수 있습니다. Anycast는 공격의 효과를 격리하는 데에도 유용합니다.
공급자가 제공하는 DDoS 보호
글로벌 Anycast 네트워크를 설계, 배포 및 운영하려면 시간, 비용, 노하우가 필요합니다. 대부분의 IT 조직에는 이를 수행할 수 있는 재능이나 재정이 없습니다. DNS 전문 관리 서비스 공급자에게 DNS 인프라를 신뢰할 수 있습니다. 그들은 가지고 있다 필요한 지식 DDoS 공격으로부터 DNS를 보호합니다.관리형 DNS 서비스 제공업체는 대규모 Anycast 네트워크를 운영하며 전 세계에 PoP를 보유하고 있습니다. 네트워크 보안 전문가가 365일 24시간 네트워크를 모니터링하여 적용하고 있습니다. 특별한 수단 DDoS 공격의 영향을 완화합니다.
일부 호스팅 제공업체는 서비스도 제공합니다. 네트워크 트래픽 분석은 연중무휴 24시간 수행되므로 귀하의 사이트는 상대적으로 안전합니다. 이러한 보호는 최대 1500Gbit/초의 강력한 공격을 견딜 수 있습니다. 교통비는 지불됩니다.
또 다른 옵션은 IP 주소 보호입니다. 공급자는 클라이언트가 보호 대상으로 선택한 IP 주소를 특수 네트워크 분석기에 배치합니다. 공격 중에 클라이언트에 대한 트래픽은 알려진 공격 패턴과 일치됩니다. 결과적으로 클라이언트는 깨끗하고 필터링된 트래픽만 수신합니다. 따라서 사이트 사용자는 공격이 시작되었다는 사실을 알지 못할 수 있습니다. 이를 구성하기 위해 각 공격에 대해 가장 가까운 노드를 선택하고 트래픽 전송 지연을 최소화할 수 있도록 필터링 노드의 분산 네트워크가 생성됩니다.
DDoS 공격 방지 서비스를 사용하면 DDoS 공격을 시기적절하게 탐지 및 방지하고, 사이트 운영의 연속성과 사용자의 지속적인 가용성을 보장하고, 사이트 또는 포털 가동 중지 시간으로 인한 재정적 및 평판 손실을 최소화할 수 있습니다.
DoS 및 DDoS 공격은 서버의 컴퓨팅 리소스에 대한 공격적인 외부 영향 또는 워크스테이션, 후자를 실패로 만드는 목적으로 수행되었습니다. 고장이란 기계의 물리적 고장이 아니라 선의의 사용자가 해당 리소스에 접근할 수 없음, 즉 시스템이 해당 리소스에 대한 서비스를 거부하는 것을 의미합니다( 디거부하다 영형에프 에스서비스(DoS의 약어)에서 유래되었습니다.
이러한 공격이 단일 컴퓨터에서 수행되는 경우 DoS(DoS)로 분류되고 여러 DDoS(DiDoS 또는 DDoS)에서 수행되는 경우 이는 다음을 의미합니다. "디분배됨 디거부하다 영형에프 에스서비스" - 분산된 서비스 거부. 다음으로 공격자가 그러한 공격을 수행하는 이유, 공격이 무엇인지, 공격자에게 어떤 피해를 입히는지, 공격자가 리소스를 보호할 수 있는 방법에 대해 설명하겠습니다.
DoS 및 DDoS 공격으로 인해 누가 피해를 입을 수 있습니까?
기업 및 웹 사이트의 기업 서버는 공격을 받지만 훨씬 덜 자주 발생합니다. 개인용 컴퓨터 개인. 일반적으로 그러한 행동의 목적은 공격받은 사람에게 경제적 피해를 입히고 그림자 속에 머무르는 것입니다. 경우에 따라 DoS 및 DDoS 공격은 서버 해킹 단계 중 하나이며 정보를 훔치거나 파괴하는 것을 목표로 합니다. 실제로 누구에게나 속한 회사나 웹사이트가 공격자의 피해자가 될 수 있습니다.
DDoS 공격의 본질을 보여주는 다이어그램:
DoS 및 DDoS 공격은 부정직한 경쟁자의 선동으로 가장 자주 수행됩니다. 따라서 유사한 제품을 제공하는 온라인 상점의 웹사이트를 "충돌"시키면 일시적으로 "독점자"가 되어 고객을 직접 확보할 수 있습니다. 기업 서버를 "폐기"하면 경쟁 회사의 업무를 방해하여 시장에서의 입지를 줄일 수 있습니다.
심각한 피해를 입힐 수 있는 대규모 공격은 대개 전문 사이버범죄자들이 막대한 비용을 들여 수행하는 경우가 많습니다. 그러나 항상 그런 것은 아닙니다. 귀하의 리소스는 관심을 끌기 위해 국내 아마추어 해커, 해고된 직원 중 복수자, 그리고 단순히 삶에 대한 귀하의 견해를 공유하지 않는 사람들에 의해 공격받을 수 있습니다.
때로는 강탈을 목적으로 영향이 수행되는 반면 공격자는 공격을 중지하기 위해 리소스 소유자에게 공개적으로 돈을 요구합니다.
국영 기업 및 유명 조직의 서버가 공격을 받는 경우가 많습니다. 익명 그룹공무원에게 영향을 미치거나 대중의 항의를 불러일으킬 목적으로 고도로 숙련된 해커입니다.
공격이 수행되는 방식
DoS 및 DDoS 공격의 작동 원리는 대량의 정보 흐름을 서버에 보내는 것입니다. 이 정보는 해커의 능력이 허용하는 한 최대로 프로세서, RAM의 컴퓨팅 리소스를 로드하고 통신 채널을 막히거나 디스크 공간을 채우는 것입니다. . 공격을 받은 컴퓨터는 들어오는 데이터를 처리할 수 없으며 사용자 요청에 대한 응답을 중지합니다.
Logstalgia 프로그램에서 시각화한 일반적인 서버 작동 모습은 다음과 같습니다.
단일 DOS 공격의 효율성은 그리 높지 않습니다. 또한, 개인용 컴퓨터를 통한 공격으로 인해 공격자가 식별되어 체포될 위험에 노출됩니다. 소위 좀비 네트워크나 봇넷에서 수행되는 분산 공격(DDoS)은 훨씬 더 큰 이익을 제공합니다.
Norse-corp.com 웹사이트는 봇넷 활동을 다음과 같이 표시합니다.
좀비 네트워크(봇넷)는 네트워크에 연결되지 않은 컴퓨터 그룹입니다. 물리적 연결그들 사이. 이들의 공통점은 모두 공격자의 통제를 받고 있다는 점이다. 제어는 트로이 목마 프로그램을 통해 수행되며 당분간은 어떤 방식으로도 나타나지 않을 수 있습니다. 공격을 수행할 때 해커는 감염된 컴퓨터에 피해자의 웹사이트나 서버로 요청을 보내도록 지시합니다. 그리고 그는 압력을 견딜 수 없어 대답을 멈췄습니다.
Logstalgia가 DDoS 공격을 보여주는 방법은 다음과 같습니다.
물론 모든 컴퓨터가 봇넷에 참여할 수 있습니다. 그리고 심지어 스마트폰도요. 트로이 목마를 잡아도 제때 감지되지 않는 것만으로도 충분합니다. 그런데 가장 큰 봇넷은 전 세계적으로 거의 200만 대에 달하는 기계로 구성되어 있었고, 그 소유자는 자신들이 무엇을 하고 있는지 전혀 몰랐습니다.
공격 및 방어 방법
공격을 시작하기 전에 해커는 최대 효과를 발휘하는 방법을 알아냅니다. 공격받은 노드에 여러 가지 취약점이 있는 경우 영향이 다른 방향으로 전달될 수 있으므로 대응이 상당히 복잡해집니다. 따라서 모든 서버 관리자는 모든 "병목 현상"을 연구하고 가능하다면 이를 강화하는 것이 중요합니다.
홍수
홍수, 말하다 간단한 언어로, 이는 의미론적 부하를 전달하지 않는 정보입니다. DoS/DDoS 공격의 맥락에서 홍수는 수신 노드가 강제로 처리해야 하는 한 수준 또는 다른 수준의 비어 있고 무의미한 요청의 산사태입니다.
플러딩을 사용하는 주요 목적은 통신 채널을 완전히 막고 대역폭을 최대로 포화시키는 것입니다.
홍수 유형:
- MAC 플러드 - 네트워크 커뮤니케이터에 대한 영향(데이터 흐름이 있는 포트 차단)
- ICMP 플러딩 - 좀비 네트워크를 사용하여 피해자에게 서비스 에코 요청을 범람시키거나 공격받은 노드를 "대신하여" 요청을 보내 봇넷의 모든 구성원이 동시에 에코 응답을 보내도록 합니다(스머프 공격). ICMP 플러드의 특별한 경우는 핑 플러드(서버에 ping 요청 보내기)입니다.
- SYN 플러드 - 피해자에게 수많은 SYN 요청을 보내고, 다수의 반개방(클라이언트 확인 대기) 연결을 생성하여 TCP 연결 대기열을 오버플로합니다.
- UDP 플러드 - ICMP 패킷 대신 UDP 데이터그램이 전송되는 Smurf 공격 체계에 따라 작동합니다.
- HTTP 플러드 - 수많은 HTTP 메시지로 서버가 플러딩됩니다. 보다 정교한 옵션은 전송된 데이터가 사전 암호화되어 공격받은 노드가 이를 처리하기 전에 해독해야 하는 HTTPS 플러딩입니다.
홍수로부터 자신을 보호하는 방법
- 유효성을 확인하고 MAC 주소를 필터링하도록 네트워크 스위치를 구성합니다.
- ICMP 에코 요청 처리를 제한하거나 비활성화합니다.
- 신뢰할 수 없는 것으로 의심되는 특정 주소나 도메인에서 들어오는 패킷을 차단합니다.
- 하나의 주소로 반개방 연결 수에 대한 제한을 설정하고, 유지 시간을 줄이고, TCP 연결 대기열을 늘립니다.
- UDP 서비스가 외부로부터 트래픽을 수신하지 못하도록 비활성화하거나 UDP 연결 수를 제한하십시오.
- CAPTCHA, 지연 및 기타 봇 보호 기술을 사용하세요.
- 증가하다 최대 금액 HTTP 연결, nginx를 사용하여 요청 캐싱을 구성합니다.
- 확장하다 처리량네트워크 채널.
- 가능하다면 암호화를 처리하기 위한 별도의 서버를 지정하십시오(사용된 경우).
- 긴급 상황에서 서버에 대한 관리 액세스를 위한 백업 채널을 만듭니다.
하드웨어 과부하
통신 채널이 아닌 공격받은 컴퓨터의 하드웨어 리소스에 영향을 주어 전체 용량까지 로드하고 정지 또는 충돌을 일으키는 홍수 유형이 있습니다. 예를 들어:
- 사용자가 댓글을 남길 수 있는 포럼이나 웹사이트에 게시할 스크립트를 만드는 것은 엄청난 양의 무의미한 일입니다. 텍스트 정보모든 디스크 공간이 가득 찰 때까지.
- 마찬가지로 서버 로그만 드라이브를 채웁니다.
- 입력된 데이터의 일종의 변환이 수행되는 사이트를 로드하고 이 데이터를 지속적으로 처리합니다(소위 "무거운" 패킷 전송).
- CGI 인터페이스를 통해 코드를 실행하여 프로세서 또는 메모리를 로드합니다(CGI 지원을 통해 서버에서 외부 프로그램을 실행할 수 있습니다).
- 보안 시스템 작동, 외부에서 서버 접근 불가 등
하드웨어 리소스 과부하로부터 자신을 보호하는 방법
- 장비 생산성 및 물량 증대 디스크 공간. 서버가 정상적으로 작동할 때 리소스의 최소 25-30%는 여유 공간으로 남아 있어야 합니다.
- 서버로 전송하기 전에 트래픽 분석 및 필터링 시스템을 사용하십시오.
- 시스템 구성 요소별로 하드웨어 리소스 사용을 제한합니다(할당량 설정).
- 서버 로그 파일을 별도의 드라이브에 저장합니다.
- 서로 독립적인 여러 서버에 리소스를 배포합니다. 따라서 한 부분이 고장나더라도 다른 부분은 계속 작동됩니다.
운영 체제, 소프트웨어, 장치 펌웨어의 취약점
이러한 유형의 공격을 수행하는 데에는 홍수를 사용하는 것보다 훨씬 더 많은 옵션이 있습니다. 구현은 공격자의 자격과 경험, 프로그램 코드에서 오류를 찾아 이를 사용하여 자신의 이익과 리소스 소유자에게 해를 끼치는 능력에 따라 달라집니다.
해커가 취약점(시스템 작동을 방해하는 데 사용할 수 있는 소프트웨어의 오류)을 발견하면 그가 해야 할 일은 익스플로잇, 즉 이 취약점을 악용하는 프로그램을 만들고 실행하는 것뿐입니다.
취약점 악용이 항상 서비스 거부만을 유발하려는 의도는 아닙니다. 운이 좋다면 해커는 자원을 통제할 수 있고 이 "운명의 선물"을 자신의 재량에 따라 사용할 수 있습니다. 예를 들어 배포용으로 사용 악성코드, 정보 도용 및 파괴 등
소프트웨어 취약점 악용에 대응하는 방법
- 운영 체제 및 애플리케이션의 취약점을 다루는 업데이트를 시기적절하게 설치합니다.
- 관리 작업을 해결하기 위한 모든 서비스를 제3자 액세스로부터 격리합니다.
- 서버 OS 및 프로그램의 운영을 지속적으로 모니터링하는 수단(행동 분석 등)을 활용합니다.
- 입증되고 잘 보호되는 프로그램을 선호하여 잠재적으로 취약한 프로그램(무료, 자체 작성, 거의 업데이트되지 않음)을 거부하십시오.
- 하드웨어 및 소프트웨어 시스템 형태로 모두 존재하는 DoS 및 DDoS 공격으로부터 시스템을 보호하기 위해 미리 만들어진 수단을 사용하십시오.
해커가 리소스를 공격했는지 확인하는 방법
공격자가 목표 달성에 성공하면 공격을 눈치채지 못하는 것은 불가능하지만, 어떤 경우에는 공격이 언제 시작됐는지 관리자가 정확히 판단할 수 없는 경우도 있다. 즉, 공격이 시작된 후 눈에 띄는 증상이 나타날 때까지 몇 시간이 걸리는 경우가 있습니다. 그러나 숨겨진 영향력이 있는 동안(서버가 다운될 때까지) 특정 징후도 나타납니다. 예를 들어:
- 서버 애플리케이션의 부자연스러운 동작 또는 운영 체제(정지, 오류로 인한 종료 등).
- CPU 로드, 램초기 수준에 비해 축적량이 급격히 증가합니다.
- 하나 이상의 포트에서 트래픽 볼륨이 크게 증가합니다.
- 동일한 리소스에 대한 클라이언트의 요청이 여러 개 있습니다(동일한 웹사이트 페이지 열기, 동일한 파일 다운로드).
- 서버 로그, 방화벽 및 네트워크 장치다양한 주소로부터의 단조로운 요청이 많이 표시되며, 종종 다음을 목표로 합니다. 특정 포트또는 서비스. 특히 사이트가 제한된 청중(예: 러시아어 사용)을 대상으로 하고 전 세계에서 요청이 들어오는 경우에는 더욱 그렇습니다. 트래픽을 정성적으로 분석한 결과 해당 요청은 클라이언트에게 실질적인 의미가 없는 것으로 나타났습니다.
위의 모든 사항이 100% 공격의 징후는 아니지만 항상 문제에 주의를 기울이고 적절한 보호 조치를 취해야 하는 이유가 됩니다.
