신종 DDoS(분산서비스거부)공격 대응 요령
- 조회수 3110
- 작성자 총관리자
- 작성일 2009-07-09
지식정보처에서 알려드립니다.
2009년7월7일 저녁 발생한 777사이버테러 관련하여
아래와 같이 대응요령을 공지하오니 참조하시기 바랍니다.
- 아 래 -
□ 개요
o 2009년 7월 7일 발생한 분산서비스거부공격에 의해 청와대, 네이버 등
국내외 주요 사이트에 대한 접속 장애 유발
o 해당 악성코드는 명령제어 서버로부터 공격목표를 전달받는 것이 아니라 감염 시
생성되는 공격목표 설정 파일을 기반으로 자동공격을 수행함
□ 악성코드 감염 PC 증상
o 윈도우 서비스 형태로 등록되어 컴퓨터 시작과 함께 자동으로 실행됨
o 방화벽 설정 비활성화
o 다수의 특정 도메인을 대상으로 HTTP / UDP / ICMP Ping 패킷을 지속적으로 전송
- 악성코드의 명령제어(C&C) 서버 접속 없이 악성코드 감염 시 생성된
공격 대상 도메인 목록 파일을 기반으로 자동 공격
- 각 도메인으로 향하는 공격 트래픽은 1.0 ~ 25.3 KBPS 수준임
(분당 트래픽으로 환산하면 57.2 KB ~ 1.5 MB)
- 하나의 감염 PC에서 발생시키는 총 트래픽은 54.2 KBPS로 해당 PC에
큰 무리를 주지 않음 (분당 약 3.3 MB)
- HTTP GET Flooding으로 발생하는 트래픽의 비율이 전체 공격 트래픽의 92.4%로
대부분을 차지하는 반면 UDP와 ICMP Ping 트래픽은 약 4%에 해당함
□ 악성코드 감염 여부 확인
o 보호나라(www.boho.or.kr)로 접속
o 상단의 메뉴에서 pc점검 -> 악성봇 감염 확인 선택
o 악성봇 감염 여부 및 coflicker웜 감염여부 확인
□ 악성코드 감염시 조치 방법
o 최신 업데이트된 백신을 이용하여 치료
※ 7월 8일 12시 현재, 아래의 국내 6개 주요 백신 모두 진단함
V3 (안철수연구소), 바이로봇 (하우리), 바이러스체이서 (에스지알아이)
알약 (이스트소프트), nProtect (잉카인터넷), 피시그린 (네이버)
※ 현재 6개 업체 모두 전용 백신을 배포 및 배포할 계획이거나
평가판에서 진단/치료 기능을 제공함
※ 안철수 전용백신 :다운로드
숙명보안십계명을 실천하여 본인의 PC가 원치않는 DDoS공격에 이용되지 않도록 주의 바랍니다.