트로이 목마는 대상 시스템에 대해 DDoS (Distributed Denial of Service) 공격을 시작하는 데 종종 사용되지만 DDoS 공격은 무엇이며 어떻게 수행됩니까?
가장 기본적인 수준에서 DDoS (Distributed Denial of Service) 공격은 대상 시스템의 데이터를 압도하여 대상 시스템의 응답이 느리게되거나 중지됩니다. 필요한 트래픽을 생성하기 위해 좀비 또는 봇 컴퓨터 네트워크가 가장 자주 사용됩니다.
DDoS, 좀비 및 봇넷
좀비 또는 봇넷은 일반적으로 트로이 목마를 사용하여 공격자가 침입하여 손상된 시스템을 원격으로 제어 할 수있는 컴퓨터입니다. 총체적으로, 이러한 시스템은 DDoS 공격을 생성하는 데 필요한 높은 트래픽 흐름을 생성하도록 조작됩니다.
이러한 봇넷의 사용은 종종 경매되고 공격자들 사이에서 거래되므로 손상된 시스템이 각각 다른 목적을 염두에 둔 여러 범죄자의 통제를받을 수 있습니다. 일부 공격자는 봇넷을 스팸 릴레이로 사용하고, 일부는 악성 코드 다운로드 사이트로, 일부는 피싱 (phishing) 사기를 호스팅하기 위해 사용할 수 있습니다.
DDoS 공격의 발생 방법
분산 된 서비스 거부 공격을 용이하게하기 위해 몇 가지 기술을 사용할 수 있습니다. 가장 일반적인 두 가지는 HTTP GET 요청과 SYN 홍수입니다. HTTP GET 공격 중 가장 악명 높은 사례 중 하나가 SCO.com 웹 사이트를 대상으로 한 MyDoom 웜이었습니다. GET 공격은 이름에서 알 수 있듯이 작동합니다. 특정 페이지 (일반적으로 홈페이지)에 대한 요청을 대상 서버로 보냅니다. MyDoom 웜의 경우 감염된 시스템마다 매초 64 건의 요청이 전송되었습니다. 수만 대의 컴퓨터가 MyDoom에 감염된 것으로 추정되면서이 공격은 SCO.com에 압도적 인 영향을주었습니다.
SYN 홍수는 기본적으로 중단 된 악수입니다. 인터넷 통신은 3 방향 핸드 셰이크를 사용합니다. 시작 클라이언트는 SYN으로 시작하고 서버는 SYN-ACK로 응답하며 클라이언트는 ACK로 응답해야합니다. 스푸핑 된 IP 주소를 사용하여 공격자는 SYN을 전송하여 SYN-ACK을 요청하지 않는 (종종 존재하지 않는) 주소로 보냅니다. 그런 다음 서버는 아무런 응답이없는 ACK 응답을 기다립니다. 이러한 많은 중단 된 SYN 패킷이 대상으로 보내지면 서버 자원이 고갈되고 서버가 SYN Flood DDoS에 굴복합니다.
UDP Fragment Attacks, ICMP Floods, Ping of Death 등 여러 가지 유형의 DDoS 공격도 시작할 수 있습니다.
