분산 서비스 거부 공격

'''D'''istributed '''D'''enial '''o'''f '''S'''ervice attack, '''DDoS'''

1. 개요

---

'''디디오에스/디도스''', 분산 서비스 거부 공격(Distributed Denial of Service attack)을 뜻하는 것으로 서비스 거부 공격 DoS(Denial of Service attack)에서 한 단계 파워업한 것이다. 인터넷상에서 사이트 공격을 하는 방법 중 하나로 사이버 전쟁, '''사이버테러'''의 대표적인 경우다.

1.1. 상세

---

생각외로 기본원리는 단순하다. '''"세상 여기저기에 퍼져있는 좀비PC들아 내게 힘을 빌려줘"'''를 시전하여 대상 웹 서버에 비정상적으로 많은 트래픽을 흘려보내 웹 서버가 과도한 트래픽 소모 및 프로세스 진행, 과도한 입출력등을 통해 서버가 먹통이 되게 만드는 기본적인 서버 공격방법. 어찌보면 굉장히 간단하지만 의외로 확실하게 막을 방안이 없다. 현실에서 가장 비슷한 예시를 찾자면 바로 인해전술이다.
물론 그냥 사이트의 인기가 너무 많아서 정상적인 접속이 폭주해 먹통이 되는 것도 같은 원리지만[1] DDoS 공격은 아니다. 굵직한 DDoS 사건으로 인지도가 높아져서 비유하는 말로도 쓰인다. 대학교 수강신청, 큐넷 자격증 접수, 인터파크 공연 티켓팅 등에서 자주 보이는게 정상적인 접속이 폭주해서 먹통되는 DDoS에 해당한다. 이것은 Distributed Denial of Service으로 Attack이 빠진 DDoS이다.
해당 법률을 보면 알겠지만 형이 상상 이상으로 무겁다. 지금 이 순간에도 이 세상 어딘가에 DDoS 공격이 행해지고 있다. 한국의 사이버 수사대가 하루에만 500건의 사건을 해결하고 있다.
2016 나무위키 DDoS 공격사태 이후 나무위키도 현재 DDoS 프로텍터를 사용중이다.
가끔 누군가 고의적으로 일으킨 교통 정체가 이 것에 비유되기도 하는데, 대표적인 사례가 일명 ‘창원터널 디도스’ 사건이다.[2]

1.2. 실행 방법

---

1.2.1. ctrl+F5 연타

---

브라우저에서 특정 웹 페이지를 열어놓고 Ctrl+F5키(브라우저에 따라 F5만 눌러도 되고 Ctrl+R을 눌러도 된다)[3]를 계속 연타하면 서버에 해당 웹 페이지 크기와 Ctrl+F5를 누른 횟수를 곱한 만큼의 트래픽을 주기 때문에 DDoS 공격에 해당된다.[4] 물론 혼자서 해서는 여러 대의 컴퓨터라는 정의에 맞지 않기 때문에 단순 DoS 공격일 뿐이고, 조직적으로 특정한 시간대를 정해 다수의 인원이 동시에 F5키를 연타해 트래픽을 흘려넣으면 DDoS라고 부르는 것이 가능하다.[5] 디시의 유명 프로그램 방법시리즈가 이 방식이다. 2010년 삼일절 사이버 전쟁 또한 이런 과정을 통해 이루어졌다. 참고로 계속 누르고 있으면 안된다. ctrl을 계속 누른 상태에서 F5키를 손가락으로 연타해야 하기 때문에 힘들다.
일반인들도 누구나 할 수 있는 방법이다. 하지만 원한이 있다고 DDoS를 남발하지 말자. 서버에 로그가 남기 때문에 '''적발되는 순간 철창행이다'''. 대표적인 사건은 수능 갤러리 강제정모. 그리고 폭력조직의 청부폭력에 사용된 사례도 있다. 기사

1.2.2. 좀비 PC

---

불특정 다수의 PC에 악성코드를 심어 유사시에 공격이 가능한 좀비 PC로 만든 뒤 공격에 동원하기도 한다. (섹시하니)악성코드에 감염된 수많은 좀비 PC가 공격자의 명령에 따라 일제히 서버에 대량의 트래픽을 전송하는 방식으로 이루어지며, 서버가 허용하는 트래픽 용량을 넘어서게 되면 정상적인 클라이언트가 서버로 접속할 수 없게 된다.[6] 근래 들어 수많은 컴퓨터가 좀비 PC가 되었다가 맛이 가는 사례가 뉴스에 종종 보도되니 주의하자. 다만 좀비 PC가 맛이 가는 경우는 DDoS 공격 자체의 특성이 아니고 좀비 PC를 조종하는 공격자가 파괴 명령을 내린 것이다.[7] 그렇지 않다면 좀비 PC측의 피해는 컴퓨터가 느려지는 정도.[8] 그 외에 좀비 PC에서 개인정보를 꺼내가기도 한다. '''공인인증서를 저장장치에 저장했다면......'''[9]
좀비 PC 감염을 막으려면 당연히 OS 및 백신 프로그램을 항상 최신 버전으로 유지해야 하며, 앞서 이야기했듯 좀비 PC가 되면 개인정보가 유출될 수 있으니 중요한 개인정보를 PC에 저장하지 말자.
악성코드를 PC가 아닌 웹 사이트에 심는 방법도 있다. 가령 A라는 웹 사이트를 공격하고자 할 때, 접속량이 많은 B사이트를 해킹하여 B사이트에 접속 시 A사이트를 공격하도록 하는 스크립트를 삽입한다. 코드 삽입에 성공했다면 그 순간부터 B사이트에 접속하는 사람은 자신도 모르게 A사이트를 공격하는 것이다. 이 방식은 탐지하기 힘들다. 해킹당한 제 3의 사이트는 자신의 사이트에 아무런 영향이 없기에 해킹당했다는 것을 알지 못해 해킹에 대응하지 않고 공격을 하는 접속자는 자신의 컴퓨터가 감염된것이 아니기에 디도스에 악용되고 있다는 상황을 인지하지 못한다. 보안부분에서 제 3의 빈 공간이 생겨서 헛점이 만들어지는 것이다. 안랩기사 안랩 기술적 설명(악성 스크립트 부분)
결론은 '''절대 해서는 안 되는 짓'''. 만일 이런 형태의 DDoS 공격을 한 사람이 있다면 평생 까이고 까여도 부족함이 없다. '''그런데 그걸 실제로, 그것도 정치인들이 그랬다!''' 외국에서도 사례가 있는걸 봐서는 정치적 이용이 우려되는 상황.

1.2.3. DDoS For Hire (웹 스트레서)

---

일정 금액을 지불하고 봇넷 혹은 대용량 대역폭 서버를 가진 업체의 DDoS-For-Hire 서비스를 이용하기도 한다.
일반인이 접근할 수 있을정도로 간단한 웹 UI, UX를 갖고 있는 경우가 많아, 이 분야의 전문가가 아니더라도 강력한 공격을 수행할 수 있도록 돕는다. 대개 Layer 4 에서 5~80 Gbit/s 의 공격을 지원하며, 일반적인 상황에서는 상상할 수 없을 정도로 큰 대역폭이다.
이 서비스는 적게는 월 5$에서부터, 많게는 1000$ 이상까지 가격이 형성되어있고, 낮은 가격으로도 큰 공격을 수행할 수 있다.
이 서비스를 제공하는것은 물론, 사용하는 것 까지 모두 '''불법'''이다.
2018년 대형 웹 스트레서 제공자 일당이 체포된 바 있으며, 사용자들 역시 추적중이라고 한다. 관련 기사

2. 공격 수법

---

2.1. L4 에서

---

2.1.1. Ping of death

---

우리가 익히 알고 있는 명령 프롬프트에서의 ''''( "ping [IP.IP.IP.IP]" )''''의 패킷 크기를 정상 크기보다 매우 큰 수치로 부풀려 공격하는 것, 만들어진 패킷은 라우팅 되어 공격 대상지에 도달하는 동안 파편화(fragment)되고, 공격 대상은 파편화된 패킷을 모두 처리해야 하여 리소스 사용량이 급증하여 정상적 이용이 불가능해진다.

2.1.2. SYN Flooding

---

3-Way Handshaking 과정에서 처음 단계인 SYN 전송 단계에서 대량의 SYN패킷을 서버로 전달하고, 서버는 TCP/SYN-ACK 응답을 다시 보내야 하는데, 도착 지점이 없기에 응답이 수립되지 않게 된다. 이러한 과정 중 서버는 대기를 하게 되고, 연결 요청을 수용하는 서버의 대기열이 가득 차게 되어 다른 연결 요청을 무시하게 된다.

2.1.3. 기타 증폭 공격

---

3. 사례

---

• 2003년 초에 전국적인 인터넷 대란이 터진 것도 한국의 DNS 서버에 DDoS 공격이 집중되어서 DNS 서버가 다운된 것.[10]
  자세히 설명하자면 당시 SQL 서버들의 취약점을 이용해 슬래머웜이 침투하여 혜화 전화국에 DDoS 공격을 하여 발생 한 것이다.
  2009년 7월 7일에도 한국과 미국 주요 사이트에 DDoS로 인해 여기저기 문제가 생기는 등 인터넷 대란이 일어났다.
• 그 외에 디시인사이드도 이 DDoS 공격을 받아 2009년 3월 3일~4일까지 먹통이 된 적이 있었다. 그 당시 정상적으로 접속이 되진 않았지만 그나마 서버가 살아있던 디씨뉴스의 디씨 공격관련기사에 수백개의 '빨리 디씨 복구해주세요 현기증 난단 말이에요\'라는 내용의 리플이 올라와 장관을 이룬 적이 있다.공격은 한 10대 학생이 했다고 한다.
• 대학교의 수강신청 기간에는 아무도 의도하지 않았더라도 엄청난 양의 트래픽 때문에 이 공격을 당한 것과 비슷한 상태가 된다.
• 엔젤하이로에서도 엔하 본관이 복구된 지 한 시간만에 또 터졌다. 한 시간만에 사이트 트래픽이 소모되는 것은 정상적인 웹서핑만으로는 불가능하기에 게시판에 누군가에 대한 논쟁 중에서 DDoS 공격을 한 것으로 추측하고 있다. 그리고 결국 엔하 본관을 뻗게 만들었다. 엔젤하이로 임시볼트로 가자... 고 했으나 임시볼트마저 무너졌다. 일단 엔젤하이로 비상대책실로 재망명했으나 다시 임시볼트를 탈환해 엔젤하이로 알파센타우리라는 이름으로 부활. 하지만 2011년 들어 알파센타우리의 접속 불가 현상이 발생, 아예 엔하위키 도메인 자체에 게시판을 만들었다(...).
• 2010년 3월 1일에는 대한민국 테러대응 연합이 이온포를 이용하여 2ch를 다운시켰다. 이는 경인대첩이라고도 불리게 되었으며 자세한 사항은 2010년 삼일절 사이버 전쟁 참고.
• 2010년 10월 7일에는 아이템 거래중계 사이트에 중국 해커를 동원해 2008년 12월부터 2009년 2월까지 지속적인 디도스 공격을 감행해 사이트를 마비시키고 협박 등으로 4천만원 상당의 금품을 뜯어낸 경쟁사의 전 이사가 구속되었다.기사 바로가기
• 2011년 4월에는 미러위키, 4camel, 스레딕이 동시에 털렸다. 덕분에 한동안 미러위키를 사용하지 못했다.
• 2012년 3월에는 10대 청소년 몇 명이 여성가족부의 행동이 맘에 안 든다는 이유로 여성가족부를 공격하는 일도 있었다.
• 2012년 12월에는 당월 13일 좌파 사이트 연합 공격을 막아내었다는 승리감에 방심하고 있던 일베저장소가 다음날인 14일 약 40Gbps 정도 규모로 DDoS 공격을 받았다고 운영진이 밝혔다. 40Gbps는 일반적 규모를 초월한 것이라고.[11]
  당시 DDoS 공격의 평균 규모는 약 2 Gbps 남짓이였기 때문에 아래에 서술된 내용에 비하면야 하찮긴 하지만 큰 공격인건 맞다.
• 2013년 2월 19일에 다시 일베저장소가 DDoS 공격을 받았으나 이번에는 방어에 실패(...)하여 2월 20일 새벽까지 접속이 안되다가 아침이 돼서야 접속이 가능해졌다.[12]
  다만 위의 DDoS 공격 주장은 자신이 IDC 직원이라 주장하는 거짓이라 주장하고 있다.
  4월 8일 다시 접속이 끊켰다.
• 2013년 2월 25일 현재 국내 토렌트 사이트가 DDos 공격으로 서버 접속 불가 상태.
• 2013년 4월 8일 일베저장소가 DDoS 공격을 받아 0시부터 오후 3시 30분까지 서비스 장애가 이어졌다.
• 2013년 4월 18일 디시인사이드가 DDoS 공격을 받아 10시간 넘게 전 갤러리가 마비상태에 가까운 렉을 먹고 있다. 새벽에 잠시 복귀가 되었다가 19일 오전 10시부터 재공격을 받아 접속이 되고 있지 않다. 디시이슈
• 2013년 6월 25일 오후 4시부터 일베저장소가 다운되었다. 해킹과 DDoS 공격을 동시에 받았으며 2013년 6월 26일 오전 9시에 복구하였으나 [13]
  공격받기 하루 전으로 복구한것으로 보임.
  복구 후 현재도 서버 상태가 영 좋지 않다. 운영진에 따르면 공격을 방어 하면서 서비스 중이라 그렇다고 한다. 2013년 6월 26일 오후 4시 현재는 어느정도 안정된 것으로 보인다.... 는 훼이크고 가끔 500 에러가 뜨고 심지어는 다른 사람이 쓴 글이 섞이는 이상한 현상이 잠시 발견되었으나 2013년 6월 27일 현재 속도도 평상시 속도로 돌아왔고 에러도 잘 안뜬다. 확실하게 서버가 안정화 된듯하나 아직 2차 공지가 나오지 않았다. 예측대로 6월 25일 새벽 4시에 백업해둔 데이터를 복구했으며 후에도 계속 공격을 당하기도 했었다.

• 2013년 7월 1일 오후 7시 경부터 오늘의유머가 40기가 이상의 DDoS 공격을 받아 다운되었다. 공지 임시서버를 마련하여 약 8시 30분경 복구되었으나 복구 이후에도 속도가 약간 느렸고 [14]
  임시서버를 이용한 복구 이후에도 공격을 당했다고 한다.
  로그인 문제등 여려가지 버그가 있었다. 당시 상황 7월 3일 새벽부터 60기가 규모의 공격이 재개되어 2013년 7월 15일까지 이어졌다.
• 2015년 3월에는 중국의 해커들이 바이두를 해킹하여 악성 스크립트를 삽입하고, 해당 스크립트가 GitHub로 요청을 날리도록 하여 GitHub 에 대량의 트래픽을 발생시켜 DDoS 공격을 시도하였다. 일부 페이지가 마비되었으며, 얼마 뒤 복구되었다. 이 해커들은 자신들이 공격한 방법을 pdf 문서로 공개까지 하였다.
• 2015년 7월 10일 아침부터 텔레그램의 아시아-태평양 서버가 공격받았다. 이 때 호주, 인도를 포함한 아시아 지역에 연결 속도 저하 또는 아예 연결이 되지 않는 일이 일어났으며 13일에 복구되었다. 10만 개 가량의 감염된 서버로부터 200Gbps라는 어마무시한 속도로 밀려오는 정크 트래픽으로 인한 스트레스를 받아 왔으며 이 서버들 중에는 헤츠너 AG나 아마존, 컴캐스트같은 유명 사이트의 서버들도 있었다고 한다. 정확한 진원지는 밝히지 않고 있으나, 공교롭게도 중국이 텔레그램 서비스를 "반정부 행위"라고 간주해 차단하기 시작하자 중국 서비스를 아예 종료해 버렸다. 타 국가들에 대해서는 모두 정상 서비스 중.
• JYP의 소속가수 TWICE의 멤버 쯔위의 대만 국기 사건으로 인해 현재 JYP엔터테인먼트의 홈페이지가 디도스 공격에 당했었다. 8월 16일 확인결과 현재는 정상적으로 접속 가능하다. 연예 기획사 홈페이지가 디도스를 맞은 케이스는 이번이 처음이며, 이 때문에 한중외교에까지 파장이 커져버렸다.
• 2015년 리그베다 위키 사유화 사태 이후 리그베다 위키를 대상으로 한 DDoS 공격이 종종 생긴다는 듯. 이에 대비해 자체적으로 미러까지 만드는 등 적극 대응 중이다.
• 2016년 2월 6일 17시 20분 나무위키가 DDoS[15]
  [image]
  공격을 받아 위키 접속이 불안정해져 임시 점검을 하다 잠시후 복구되었다. 2016년 나무위키 DDoS 공격사태 참조. 이후에도 계속 작은 규모로 공격이 계속되는지 종종 클라우드플레어의 DDoS 방어 페이지가 열린다.
• 2016년 4월 14일 배틀넷이 DDoS 공격을 받아 블리자드사의 거의 모든 게임의 서버가 불안정해졌다. 이유는 WOW의 프리서버 폐지 때문이라고(...) 해커는 '나 잡아봐라' 라는 식으로 도발했고, 블리자드 측에서도 법적 조치를 취한다고 했으니 꽤나 무거운 벌을 받을듯.
• 2016년 5월 12일 프리 마인크래프트 포럼에서 2차례 DDoS공격을 받았다. 첫번째 공격은 방어에 실패했으나 그나마 두번째 공격은 방어에 성공해서 1~2분동안 접속이 불안정한 상태였다고 한다. 그 후 Cloudflare를 사용 중인듯.
• 2016년 9월 17일 뽐뿌 사이트가 DDoS 공격을 당해 접속이 불가능한 상태가 되었다. 현재는 접속 가능한 상황이다.
• 2016년 9월 21일 블리자드의 FPS게임인 오버워치가 DDoS 공격을 받아 저녁 6시 30분부터 2시간 가량 배틀넷 자체가 실행이 원활하지 못하고 오버워치 서버 내에 접속을 하지 못하는 사태가 발생했다. 22일 이후로 복구되었다.
• 2016년 9월 22일 프랑스의 호스팅 업체인 OVH가 최고 1Tbps급의 역사상 가장 큰 DDoS 공격을 받았다. 공격자는 사물 인터넷의 허점을 이용해 약 14만 5천대의 CCTV를 해킹하여 공격에 이용하였는데 최대 가용 공격력은 무려 1.5 Tbps로 추측되었다.
• 2016년 10월부터 팀 포트리스 2가 DDoS 공격을 받았다.
• 2016년 10월 21일(현지시각), 미국의 호스팅 기업인 딘(Dyn)이 대규모 DDoS 공격을 받았다. 무려 전세계에 있는 Dyn의 모든 데이터센터들이 목표가 되었는데 특히 DNS 서비스를 노린 치밀한 공격 계획으로 인해 Dyn에서 관리하는 수천개의 도메인이 마비되었으며, 특히 미국 동부의 인터넷 이용에 큰 지장이 있었다. 공격자는 이런 국가 규모의 공격을 성공시키기 위해 기존의 봇넷과 더불어 마찬가지로 미라이 악성코드를 이용한 수십만대의 사물 인터넷 디바이스들을 동원했으며, 무려 1.2Tbps의 규모를 달성하여 기존의 1Tbps 규모를 갱신했다. 공격 규모가 너무나도 컸기에 전문가들은 공격자가 일부 공격 자원을 빌려왔을 것으로 추정했으며, 일부 인터넷 서비스 업체들은 공격으로 인한 혼잡을 피하기 위해 라우팅 경로를 일시적으로 변경하기도 했다.
• 2018년 2월 28일(현지시각), GitHub가 약 20분간 대규모 DDoS 공격을 받았다. 방비가 상당히 잘 되어있었음에도 불구하고 간헐적인 사이트 접속 끊김이 발생했지만 그나마 공격 시간이 짧아 큰 피해를 입지는 않았다. 공격자는 memcached 프로토콜을 기반으로 하는 DRDoS 공격을 가했는데 초당 1억 2690만개의 패킷을 발생시켜 1.35Tbps에 달하는 천문학적인 공격 규모를 달성했다.
• 2018년 3월경 1.7Tbps 규모의 디도스 공격이 해외의 디도스 방어업체에서 일어났다.
• 2018년 12월 31일 크레이지 레이싱 카트라이더가 공격을 받았다. 이로인해 DDOS를 방어하기위해 긴급점검에 들어갔었다.
• 2019년 1월 7일과 9일 2,400여 개 언론사가 이용하는 ND소프트가 속한 서초 IDC 전체 네트워크가 타 업체의 공격으로 한때 단절되어 접속 장애가 발생했다.
• 2019년 1월 7일부터 디시인사이드가 공격을 받고 있다. 이에 해외접속을 완전 차단한 상태.
• 2019년 1월 9일 아프리카TV가 공격 받은 것으로 추정되고 있다. 이로인해 50여분 정도 접속 오류가 일어났고 방송 시청이 원활하지 않았다.
• 2019년 4월 8일 커뮤니티 위트랜드가 미상에 의해 지속적으로 공격을 받고 있다.
• 2019년 8월 스타크래프트2 대회인 Assembly Summer 2019 결승전이 디도스 공격으로 지연되는 사태가 발생한다.
• 2019년 10월 코드포스에서 콘테스트가 다시 디도스 공격을 먹었었다.
• 2020년 4월 코로나19 사태로 인한 온라인 개학이 시행되자 졸속 온라인 개학에 반감을 품은 학생들이 Facebook 학생그룹, 단체 채팅방 등에서 특정 시간대에 컴퓨터로 F5 키를 눌러 서버를 과부하시키자는 주장을 하고 일부 실행도 하고 있다.
• 2020년 7월 23일 오전 12시 50분경부터 8월 6일 동안 마피아42가 좀비PC 수만대 이상을 동원한 디도스 공격을 지속적으로 받고 있었으며, 이에 따른 접속장애 현상이 발생했다. 27일 오후 12시 36분, TEAM42 측에서는 마피아42 공식 카페에 서버 불안정 현상과 관련하여 공지를 올렸고 서버 불안정 현상의 원인이 디도스 공격으로 인한 점을 공개했다.# 그 후 8월 13일에 디도스로 인한 서버 접속장애 오류 보상 및 서버 점검 공지가 올라왔으며 사건은 종결되었다.#

• 2020년 8월 19일 중앙대학교 서버가 해외 IP에 의해 공격당했다. 오전 10시에 시작한 2학기 홀수학번 수강신청이 중지되는 피해가 있었다. 극히 일부 성공한 학생들의 수강신청 내역도 취소된 상태로 오후 2시에 2차 시도를 했지만, 역시나 똑같은 공격으로 다시 한 번 수강신청이 취소되었다.#
• 2020년 8월 20일 2학년 수강 신청을 앞두고 있던 고려대학교 수강 신청 사이트 서버 또한 디도스 공격의 피해를 입었다. 중앙대처럼 10시에 1차 공격을 당했고 2시에 2차 공격을 당해 결국 당일 신청분을 취소, 롤백시켰고, 수강신청 일자도 8월 24일로 연기되었다.#
• 2020년 9월 8일 계명대학교 교수학습지원센터에 오후 1시부터 현재까지도 디도스 공격을 받고 있다. 이로 인하여 수강생들이 비대면 동영상 강의 접속이 불가능하여 정상적인 수업을 받지 못 하고 교수는 과제 체크가 불가능 한 상황이 발생하고 있다.

4. 관련 사건

---

• 2009년 7.7 DDoS 공격
• 2010년 삼일절 사이버 전쟁
• 2011년 하반기 재보궐선거/선관위 공격 사건
• 2011년 러시아 총선 사태
• 2013년 6.25 사이버 테러
• 2016년 나무위키 DDoS 공격사태
• 2016년 미국 대규모 해킹 사태

5. 관련 문서

---

• DRDos
• 악성코드
• 스파이웨어
• 미라이

사례 항목의 OVH, Dyn에 행해진 1Tbps가 넘는 DDoS 공격에 사용되었다고 알려진 악성코드로 2016년 10월 Hackforums란 사이트에서 Anna-senpai[16]란 아이디가 소스코드를 공개하여 지금은 스턱스넷마냥 오픈소스가 되었다. 그 이후 오픈소스스럽게도 Satori, Okiru, Masuta 등의 변종이 나타났으며 특이하게도 딱히 나쁜짓은 안하지만 미라이의 전파를 막는 Hajime라는 웜이 주목받기도 했는데 마이크로소프트와 리처드 도킨스가 일찍이 예견했던 웜을 이용한 업데이트의 가능성을 보여주기도 했다.[17]

• : 고의적이지 않다는 점만 제외하면 원리 면에서 DDoS와 완전히 동일하다.