아파치 웹서버 DoS 공격 주의

AhnLab 보안in 2009/06/19 18:44
6월 18일 SANS에서 아파치 웹서버 HTTP DoS 툴에 대한 주의 권고가 있었습니다.( http://isc.sans.org/diary.html?storyid=6601) 아파치 웹서버는 국내외 가장 많이 사용(60% 내외)되는 웹서버라 자칫 확산 시 피해 우려가 있어 주의가 필요하여 권고문을 작성/안내합니다.
ASEC Advisory SA-2009-009 
최초 작성일 : 2009/06/19
마지막 개정 : 2009/06/19 17:00:00
위험 수준 : 위험



 ◈ 제목
불안전한 다중 HTTP 접속 요청에 의한 서비스거부 공격 주의

◈ 개요
최근 인터넷에 HTTP 프로토콜에 불안전한 요청을 통해 웹 서비스가 서비스거부(DoS)에 빠지는 공격도구가 공개되었다. 해당 도구를 이용한 공격방식은 과거에도 사용된 적이 있으며, 최근 이를 이용한 도구가 공개되며 악의적으로 이용될 가능성이 높아 사용자들의 주의가 요구된다.

◈ 공격유형
서비스거부공격

◈ 해당시스템
현재까지 알려진 영향을 받는 소프트웨어는 아래와 같다.

Apache 1.x
Apache 2.x
dhttpd
GoAhead WebServer
Squid

◈ 영향
공격자는 해당 도구를 이용하여 대상시스템의 웹 서버에 서비스거부 공격을 수행할 수 있다. 이로 인해 정상적인 웹 서비스 운영을 방해한다.

◈ 설명
이번 공격은 특정 소프트웨어의 취약점이 아니다. HTTP 프로토콜의 구조적인 부분을 이용한 공격으로서, 공격자가 웹 서버에 접속 요청을 할때 연결을 해지하지 않고 지속적으로 같은 요청을 반복해 연결세션을 생성한다. 웹 서버에서 정의된 한계만큼 세션이 접속되어 사용자는 더 이상 접속을 할 수 없게된다. 예를 들면, 공격자는 아래와 같은 정상적인 HTTP 요청을 수행한다.

GET / HTTP/1.1\r\n
Host: host\r\n
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0;) \r\n
Content-Length: 42\r\n

이때 서버는 연결을 오픈하고 기다리지만 공격자는 연결을 계속 유지하기 위하여 임의의 추가적인 헤더를 보내 연결을 해제하지 않는다. 이와같은 요청이 계속될 경우, 연결은 급격하게 증가되어 서비스거부 상태가 된다. 이 같은 방법은 오래전부터 알려져 있던 공격방법중의 하나였으나, 최근 아파치 DoS 공격 도구라는 이름으로 공개되어 이의 악의적 사용이 우려된다.

이 공격의 특징은 대량의 트래픽을 전달하지 않는다는 점이다. 일반적인 공격에 이용되는 DoS 방법은 대량의 트래픽을 전달하여 라우터 및 전체 네트워크에 까지 영향을 미치지만 이 공격은 아주 적은 트래픽으로도 HTTP 서버에 서비스거부 상태를 만들 수 있다. 그러므로, 트래픽이 크게 증가하지 않더라도 이 공격에 예의주시하여야 한다.

현재까지 이 공격이 와일드하게 이뤄지고 있다는 증거는 발견되지 않았다.

◈ 차단정보
이 공격은 취약점을 이용한 것이 아니라 HTTP 의 구조형식때문에 의한 것이므로, 차단은 제한적이다.
다만, 트러스가드(TrusGuard)는 해당 공격도구의 패턴 차단을 제공하고 있다.

◈ 해결책
이 공격의 피해를 최소화하기 위해서는 다음과 같은 방법을 고려할 수 있다. 단, 여기의 모든 방법들은 동일한 해결책이 될 수 없다. 현재 운영하고 있는 웹 서버의 구성과 네트워크 상황에 따라 달라지므로 위협을 최소화할 수 있는 방안을 논의하여 적용할 것을 권고한다. 잘못된 적용은 웹 서버 운영에 큰 문제를 가져올 수 있다.

1. 웹 서버의 Timeout 을 낮게 설정해 HTTP 요청 후 연결이 빨리 끊어지도록 할 수 있다.  기본적으로 아파치 웹 서버는 300 초의 Timeout 을 가지고 있다.

2. IPTable 등과 같은 방화벽을 통해 동시접속을 제한한다. 또는 로드밸런스 등이 영향을 최소화 시켜줄 수 있다.

3. 웹 서버의 지속적인 관찰이 필요하다.

4. 특정 IP 에서 공격이 이뤄지는 경우 해당 IP 를 차단하여 공격을 방어한다.

◈ 참고정보
[1] Apache HTTP DoS tool released
-------------------------------------------------------------------
NO WARRANTY
이 권고문은 ㈜안철수연구소의 ASEC에서 국내 인터넷 보안의 발전을 위하
여 발표하는 보안 권고문이다. ㈜안철수연구소는 이 권고문에 포함되어 있
는 내용 및 기타 어떠한 결과에 대해서도 보장을 하지 못하며, 책임을 지지 않는다.

ASEC Contact Information
Email:
asec@ahnlab.com
Copyright 2002-2009 ASEC(Ahnlab Security E-response Center).
All Rights Reserved.

 

Writer profile
세상에서 가장 안전한 이름,
안랩입니다.
2009/06/19 18:44 2009/06/19 18:44

Trackback Address :: http://blog.ahnlab.com/ahnlab/trackback/645

  1. 아파치(Apache) HTTP 서비스 거부 공격 툴 발견

    Tracked from ASEC Threat Research | 2009/06/26 01:47  Delete

    SANS에서 6월 18일 아파치 웹 서버에 대한 HTTP 프로토콜을 이용한 분산 서비스 거부 공격을 수행 할 수 있는 툴이 발견되었다는 보고가 있었다.Apache HTTP DoS tool released해당 분산 서비스 거부 공격

댓글을 달아 주세요

  1. 요시 2009/06/19 21:58  Address |  Modify / Delete |  Reply

    감사드려요~~~

  2. AhnLab ASEC 2009/06/23 18:40  Address |  Modify / Delete |  Reply

    ASEC Threat Research 블로그에도 해당 위협 정보가 게시 되었습니다. ^^

    http://blog.ahnlab.com/asec/15?category=0

[로그인][오픈아이디란?]