Lucy 하게 너를 메이크★, Whyus™

어느날. 한통의 전화가 걸려왔다. 친구의 전화였는데 당황한 목소리로 나에게

내가 운영하던 서버의 네트워크가 갑자기 먹통이 되버렸어.

나는 그 말을 듣곤 단번에 알아차렸다. 그 후 그 친구집 옆 방에 설치된 서버에 회선을 다시연결하고, 혹시 있을 문제점을 찾기위해 우선 서버 내부의 침입 흔적이나 잘못된 서버 설정들을 찾아보려고 했는데 역시 아니였다. 바로 들어오는 패킷을 확인하니 그것은 막대한 연결과 데이터를 발생시키는 공격 DDoS(분산 서비스 거부 distributed denial-of-service attack) 였다.

뭐 이런 사연이 있었고 여차저차 해서 그 공격의 패턴과 데이터가 갖는 특징 등을 파악했고 그서버에는 임시적인 조치를 취하고 우선 내 호기심에 중국 여러 해킹 포럼 등을 찾다가 그 서버에 가해졌던 공격과 100% 일치하는 패턴을 갖는 프로그램을 발견 하였다.

프로그램 명 : 火狐客_端.exe(2011火狐DDOS改进版) / 954,369 바이트 

위 화면에서는 공격 타겟 기본 value 값이 "www.naver.com" 으로 설정 되어있다.

그 외는 ICMP 와 UCP 를 이용한 공격 값으로 되어있는것을 볼 수 있다.

여기서 잠깐, 해당 툴의 원리를 알아보도록 하겠다. (뭐 확실히 기법은 아니니..)

 - 우선 Remote A 가 있다고 가정하자 A 에 의해서 감염된 파일을 Local P 에 감염되고 해당 A 에 지속적으로 의미없는 요청을 보낸다.

그럼 이 'A' 가 서버 공격을 위하여 해당 클라이언트를 실행시켰을 시. 의미 없는 요청이 그 클라이언트에게 전달되고 그럼 그 클라이언트는 그 서버에게 <OS Name> 값과 <Location> 값 그리고 해당 'P' 의 <외부 ip> 값을 요청한 뒤 그 'P' 의 PC에 감염되 있는 서버가 수집을 한 뒤 다시 그 값들을 모두 클라이언트에 전달 한뒤 세션을 Restart 한다. 이것을 흔히 좀비화가 되다. 라고 한다.

사실 여기까지는 별 의미없는 과정이겠지만. 이 이후 부터가 문제다.

위의 첨부된 이미지를 보면 알 수 있드시 감염된 좀비 PC 는 icmp, udp 등의 DDoS 공격에 이용당한다. 인터넷도 느려질 뿐더러 계속 쓸때없는 반복적인 데이터를 보내는것이기 때문에 대역폭이 눈꼽만해져 메신저로 업무를 위해 p2p 전송을 했다고 하면 바로 인터넷이 끊기는 현상이 일어날 것이다. 그리고 중요한 사실. 당신의 PC로 인하여 국가기관의 서버가 마비되고 또는 포털 사이트 이용이 중단되어 우리가 평소에 누리던 서비스를 할 수 없다는 불편함. 바로 그것들 이다. 기업들 입장에서는 더욱 곤란하다는건 알것이다.

그럼 다시 본론으로 돌아가서 저 프로그램을 우리가 이용해볼텐데 이유는 간단하다 원리를 알면 피해도 막을 수 있다. 또 저런 툴의 특징이 소스를 돌려쓴다는것인데 인터페이스만 다를 뿐 아예 공격 패턴이 같은게 수두룩하다. 자신이 스스로 자신의 좀비가 되는것도 방지책의 하나다. 글 제목은 중국발 DDoS 이긴하나 사실 공격PC는 모두 한국이였다. 우리도 마찬가지 중국넘들을 낚아보자.

다음 포스팅에서는 방화벽을 이용하여 원천 차단하는법과(bypass 따돌리기) 여러분들이 직접 좀비 수집 및 서버 공격을 모의적으로 테스트하여 원리를 이해해보도록 하겠습니다.