DDoS 이야기2010.08.10 12:44

출처 : http://kin.naver.com/open100/detail.nhn?d1id=1&dirId=11003&docId=1329398

DDoS는 분산서비스 거부공격 즉,

여러대의 컴퓨터를 이용해서 쓰레기 패킷(데이터)를 전송하여 과부화 시키는것을 말합니다.

(패킷은 1~65500크기까지있구요 네트워크 포트도 1~6550까지 있답니다 ^^)



최근 디도스의 소유자들의 좀비PC의수는 몇십만대라고 들었습니다.

관연 몇십만대의 컴퓨터가 65500의 크기로 사이트 공격을 해보면 ?

(그림판 실력 이해해주세요.)

생각해봅시다. 몇십만명이 튼튼한 탱크에 돌을 던집니다.


그러면 과연 탱크의 원래 모형과 같아있을까요 ?


아닙니다.


늘 맞던곳을 계속맞게되면 크기가 변형되거나, 페이게되지요.


아무리 강한 물건이라도 주기적으로 맞게되면 곧 깨지거나 변형됩니다.


잡소리는 그만하겠습니다 하하.


디도스의 특징은 컴퓨터를 제어할수 있다는겁니다.


즉 해킹툴과 공격툴이 뭉쳐져 있는것이지요,


여기서 패킷 플루딩이라는것도 있는데요. 패킷을 많이보내서 다운시키는 방식인데

이는 자기혼자 컴퓨터로 패킷을 전송하는 것이라 왠만한 고사양아니면 회선이안좋으면 자기컴퓨터가 느려지죠 ..

다빈츠 中


넷봇(NetBot)같은 경우는 해킹툴과 공격의 다기능을 가지고있는 무시무시한 디도스툴입니다.

ICMP,UDP,TCP,IGMP공격 등등 여러공격을 지원합니다.



풍운(PoongWoon)같은 경우에는 해킹툴이아닌 단순히 파일 전송과 공격기능을 갖추고있습니다.



넷봇의 경우는넷스타트 -b옵션으로 추적하면 각종 구성요소의 svchost가 나타나는 반면에,


풍운같은 경우에는 받은 파일의 이름으로 프로세스가 실행되고, 아이피가 나타나게됩니다.


다른 특징은 DNS=도메인 아이피 포워팅이라는게 또있는데요.


WowDns나 다이나믹사이트에서 지원해주는 아이피 포워팅 즉-



아이피를 숨기고 다른도메인에 포워팅하여 넷스타트로 해도 아이피가나오지 않고 도메인이 나타나게 됩니다.


꽤나 치명적인 일이지요 ....


그리고 특징을 설명해드리겠습니다.

디도스에 감염되었다면 우선 컴퓨터가 전반적으로 느려지거나 팅기능등의 현상은 없습니다.


다만 블루스크린이 뜰가능성은 있다는 것이지요 .


디도스를 소유하는사람이 어떠한 사이트를 공격하게되면,


자신의 컴퓨터가 과부하게 데이터를 보내게되어서 CPU가 과부화되어 컴퓨터가 느려지거나 블루스크린이 뜨게됩니다.


원래 [해킹]에 관련이있는것은 모두 사용자가 모르게 눈치를 못채도록 만들어서 제작하게 됩니다.


아무런 이상없이 은밀히 해킹을 하게되는 것이지요.



해결 방도를 알려드리도록 하겠습니다.

DDoS의 넷봇의 경우는 한번 감염이되면 인공지능으로 더이상 바이러스가아닌 프로그램으로 변환하여 명령을 받고 수행하는 프로그램으로 바뀌어버립니다.


물론 각종 방화벽이나 서비스팩등을 무력화 시키고 수상한 패킷을 받게되지요.


공유기를 쓰시는 분들은 자체적으로 공유기에서 패킷을 필터하거나, 트래픽을 실시간으로 볼수있습니다.

(약간의 방어기능을 가진다는 것이지요)


뉴스나 각종 소문에 의하면 아래와같습니다.


안전모드에서 날자를 이전으로 돌리면 디도스감염확률이 낮아진다고 합니다.

=맞는 말입니다. 최근의 디도스는 시스템의 시간과 날자를 이용해서 서버에서 명령을 예약하면 예약한 날자와 시간에 임무를 수행하게되는데 이전의 날자로 돌리면 예약이 무시됩니다.


감염후 하드가 완전이 비틀어지고 병x이 된다는데?

=감염후 하드가 완전이 병x이 되지는 않습니다 MBR이 날라가거나 하드가 완전 초토화되버립니다.

가능성은 희박하지만 하드에 베드섹터가 늘어나게되면 사용할수는 없겠지요 ..


CPU에 문제가 생긴다는데...

=감염만 되었을때 시퓨(시피유)에는 아무런 이상이 없을겁니다.

인터넷이나 네트워크상에 문제는 발생할수 있습니다.


본론으로 완벽한 해결방법은 희박합니다.


v3나 각종 백신업체에서 디도스 치료기를 연구했다고하지만

국내에는 디도스 좀비PC유저가 없어야 정상입니다.


백신의 치료기는 완벽치료는 희박해보입니다...


예를들자면 Win32/Parite.b 와같은 파리떼 바이러스는 완전 exe를 초토화시킬정도의 스피드로 감염을 시킵니다.


Win32/Virut.3과같이 exe를 모두 감염시키는 빠른속도로 감염시킵니다.


백신으로 치료를해도 완벽히 싹쓸이 못하고 백신의 exe를 감염시켜 백신이 백신을잡는 경우도 허다하지요 ..


해결보다는 예방이중요합니다 !


첫째 ! 이상한 파일은 받지 말것,

넷봇이나 풍운이 네이버 카페에서 대유행 하게되면서 블로그에서는 exe파일을 서버파일과 원본프로그램을 합쳐올리는 경우가 있습니다. 의심이 되는 exe파일은 http://virustotal.com에 스캔을 해보도록 합시다.


둘째 ! 확실한 백신을 설치하세요 !

저는 개인적으로 리소스도 적게먹고 기능좋은 바이러스체이서를 쓰고있습니다.

바이러스체이서는 닥터웹이라는 엔진을 쓰는데요 꽤나 유명한 엔진입니다.

알약의 경우 국내에서 유명한데요 .. 문제는 비트디펜더 엔진도 그다지 쓸모있어보이진 않더군요 ..

공유기사용자는 필터링 지원도 하니 네트워크도 수시로 점검하시면 좋습니다 ^^

[바이러스체이서]


[공유기 필터]


셋째 ! 수시로 스니핑툴을 이용해서 내컴퓨터네트워크를 관리하자.

스니핑은 인터넷의 패킷을 캡쳐하여 자기컴퓨터에 로그를 기록하거나 실시간으로 모니터링 할수있습니다.

웹서핑을할때는 스니퍼를 켜두는게 좋겠지요 ? http://hackersnews.org/에서 스니퍼툴을 받으실수 있을겁니다.

[네이버 접속 패킷 스니핑]

패킷의 해독도 지원합니다 ^^

사용법만 제대로알면 어느곳에서 뭘다운로드 했는지는 바로바로 알수있지요 ..


넷째 ! 최적화를 잘해주도록 한다.

좀비PC의 특징은 모두 윈도우 시작시 서버파일이 실행되는 겁니다.

일단 감염이 되있지 않더라도, 쓸모없는 프로그램을 최대한 삭제해주시고, 레지스트리, 인터넷 임시파일을 수시로 삭제해주도록 합니다.

[C클리너]

Posted by Elly Tran :) | 지창훈
유틸리티2010.08.09 22:08

홈페이지서버에서 내아이피를 막았다면 방법은단둘!

아이피를 재할당받거나 프록시를 이용해야만한다.

아이피를 재할당받기에는 절차가 까다롭고 차라리 이프로그램을 이용해서 프록시를받아 우회하는게 빠르다.

전국가의 프록시서버를 받아와 더블클릭 한방으로 프록시서버 우회 !

차단된 웹사이트도 원활히 접속이 가능하다.



Posted by Elly Tran :) | 지창훈