DoS 공격을 하기 위해 해커들이 하는 일을 알아보자. 더 이상 해커들은 번쩍이는 모니터 앞에 앉아있을 필요가 없다. 오늘날의 해커들은 완전히 자동적인 도구들을 무기처럼 자유자재로 사용할 수 있기 때문이다.
해커는 이런 도구들을 통해 별다른 노력을 할 필요없이 시스템에 접근할 수 있다. 이런 것들이 바로 ‘엑스플로잇(exploits)’이라는 것이다.
포트가 SATAN(Security Administrator Tool for Analyzing Networks) 같은 도구들을 스캔할 때 해커들은 끊임없이 네트워크들, 즉 특정 범위의 IP 주소들을 스캔하면서 잘 알려진 보안 취약 부분들을 찾는다. 취약한 부분이 한 번 밝혀지면, 그곳은 체계적으로 이용당함으로써 해커들이 공격대상 시스템에 접근할 수 있도록 해준다.
이용된 포트들
다음은 네트워크 분석 도구에 의해 확인된 일반적인 애플리케이션과 그와 관련된 포트들 중 일부다.
telnet (23)
dns (53)
finger (79)
web (80)
pop(110)
imap (143)
nfs (UDP) (2049)
X (6000)
애플리케이션 및 포트 지정에 관한 전체 목록은 이곳에서 찾아볼 수 있다.
이 모든 애플리케이션에서 가장 흔한 엑스플로잇은 ‘버퍼 초과’다. 거기서 해커는 웹 서버 같은 애플리케이션에 해당 애플리케이션 서버가 처리하기에는 너무나도 긴 일련의 정보를 보내 서버가 사용할 수 있는 메모리를 가득 채워버린다.
이 정보가 갖고 있는 목적은 둘 중의 하나다. 즉 단순히 애플리케이션을 망가뜨리기 위한 것이거나 아니면 악의적인 명령을 실행시키기 위한 것이다. 이 경우, 그 정보는 사실상 스크립트나 다른 애플리케이션을 포함하고 있다.
발생가능한 일
문제는 이 서버가 과도한 데이터를 소화하려다가 에러를 낸다는 사실이다. 이런 에러 중에는 일련의 정보를 보내는 경우도 종종 있다.
에러를 처리하는 과정에서 운영체제는 애플리케이션에서 나온 코드를 실행하거나 터미널 세션을 열 것이다.
두 가지 경우 모두, 에러는 해커가 공격대상이 된 애플리케이션과 똑같은 권리를 부여받음으로써 끝난다. 즉, 해커는 완전한 권리를 가지고 포트 23을 작동시키는 텔넷 애플리케이션처럼 되는 것이다.
사용자도 없고 특권도 거의 없는 아파치 웹 서버 같은 애플리케이션의 경우에는 그다지 위험하지 않다. 근간이 되는 특권을 가지고 작동되곤 하는 유닉스 센드메일 같은 여타 애플리케이션들은 이것이 심각한 보안 위협이 된다.
전자의 경우, 해커는 트로이 목마를 설치하기만 하면 된다. 후자의 경우에는 해커는 자신을 대신해 비행을 저지르도록 설계된 프로그램을 설치한다. 이것이 바로 DDoS 공격이다.
할 수 있는 대책
인터넷의 다루기 어려운 속성을 고려해볼 때, 앞으로도 보안 취약성은 항상 존재할 것이다. 최선의 방어책은 정보를 꾸준히 접하는 것이다.
CERT는 시스템 관리자들이 알려진 네트워크 보안 문제들을 식별하고 해결할 수 있도록 돕기 위해 일련의 실습과 지침들을 발표했다. 그들은 또한 필요할 경우, 인터넷 커뮤니티가 최신의 보안 엑스플로잇에 관한 정보를 꾸준히 업데이트할 수 있도록 경고문도 발표한다. @
