본문 바로가기
AhnLab 보안in

아파치 웹서버 DoS 공격 주의

by 보안세상 2020. 4. 8.

2009.06.19

 

6월 18일 SANS에서 아파치 웹서버 HTTP DoS 툴에 대한 주의 권고가 있었습니다.( http://isc.sans.org/diary.html?storyid=6601) 아파치 웹서버는 국내외 가장 많이 사용(60% 내외)되는 웹서버라 자칫 확산 시 피해 우려가 있어 주의가 필요하여 권고문을 작성/안내합니다.

ASEC Advisory SA-2009-009 
최초 작성일 : 2009/06/19
마지막 개정 : 2009/06/19 17:00:00
위험 수준 : 위험

 

◈ 제목
불안전한 다중 HTTP 접속 요청에 의한 서비스거부 공격 주의

 

◈ 개요
최근 인터넷에 HTTP 프로토콜에 불안전한 요청을 통해 웹 서비스가 서비스거부(DoS)에 빠지는 공격도구가 공개되었다. 해당 도구를 이용한 공격방식은 과거에도 사용된 적이 있으며, 최근 이를 이용한 도구가 공개되며 악의적으로 이용될 가능성이 높아 사용자들의 주의가 요구된다.

 

◈ 공격유형
서비스거부공격

 

◈ 해당시스템
현재까지 알려진 영향을 받는 소프트웨어는 아래와 같다.

 

Apache 1.x
Apache 2.x
dhttpd
GoAhead WebServer
Squid

 

◈ 영향
공격자는 해당 도구를 이용하여 대상시스템의 웹 서버에 서비스거부 공격을 수행할 수 있다. 이로 인해 정상적인 웹 서비스 운영을 방해한다.

 

◈ 설명
이번 공격은 특정 소프트웨어의 취약점이 아니다. HTTP 프로토콜의 구조적인 부분을 이용한 공격으로서, 공격자가 웹 서버에 접속 요청을 할때 연결을 해지하지 않고 지속적으로 같은 요청을 반복해 연결세션을 생성한다. 웹 서버에서 정의된 한계만큼 세션이 접속되어 사용자는 더 이상 접속을 할 수 없게된다. 예를 들면, 공격자는 아래와 같은 정상적인 HTTP 요청을 수행한다.

 

GET / HTTP/1.1\r\n
Host: host\r\n
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0;) \r\n
Content-Length: 42\r\n

 

이때 서버는 연결을 오픈하고 기다리지만 공격자는 연결을 계속 유지하기 위하여 임의의 추가적인 헤더를 보내 연결을 해제하지 않는다. 이와같은 요청이 계속될 경우, 연결은 급격하게 증가되어 서비스거부 상태가 된다. 이 같은 방법은 오래전부터 알려져 있던 공격방법중의 하나였으나, 최근 아파치 DoS 공격 도구라는 이름으로 공개되어 이의 악의적 사용이 우려된다.

 

이 공격의 특징은 대량의 트래픽을 전달하지 않는다는 점이다. 일반적인 공격에 이용되는 DoS 방법은 대량의 트래픽을 전달하여 라우터 및 전체 네트워크에 까지 영향을 미치지만 이 공격은 아주 적은 트래픽으로도 HTTP 서버에 서비스거부 상태를 만들 수 있다. 그러므로, 트래픽이 크게 증가하지 않더라도 이 공격에 예의주시하여야 한다.

 

현재까지 이 공격이 와일드하게 이뤄지고 있다는 증거는 발견되지 않았다.

 

◈ 차단정보
이 공격은 취약점을 이용한 것이 아니라 HTTP 의 구조형식때문에 의한 것이므로, 차단은 제한적이다.
다만, 트러스가드(TrusGuard)는 해당 공격도구의 패턴 차단을 제공하고 있다.

 

◈ 해결책
이 공격의 피해를 최소화하기 위해서는 다음과 같은 방법을 고려할 수 있다. 단, 여기의 모든 방법들은 동일한 해결책이 될 수 없다. 현재 운영하고 있는 웹 서버의 구성과 네트워크 상황에 따라 달라지므로 위협을 최소화할 수 있는 방안을 논의하여 적용할 것을 권고한다. 잘못된 적용은 웹 서버 운영에 큰 문제를 가져올 수 있다.

 

1. 웹 서버의 Timeout 을 낮게 설정해 HTTP 요청 후 연결이 빨리 끊어지도록 할 수 있다.  기본적으로 아파치 웹 서버는 300 초의 Timeout 을 가지고 있다.

 

2. IPTable 등과 같은 방화벽을 통해 동시접속을 제한한다. 또는 로드밸런스 등이 영향을 최소화 시켜줄 수 있다.

 

3. 웹 서버의 지속적인 관찰이 필요하다.

 

4. 특정 IP 에서 공격이 이뤄지는 경우 해당 IP 를 차단하여 공격을 방어한다.

 

◈ 참고정보
[1] Apache HTTP DoS tool released
-------------------------------------------------------------------
NO WARRANTY
이 권고문은 ㈜안철수연구소의 ASEC에서 국내 인터넷 보안의 발전을 위하
여 발표하는 보안 권고문이다. ㈜안철수연구소는 이 권고문에 포함되어 있
는 내용 및 기타 어떠한 결과에 대해서도 보장을 하지 못하며, 책임을 지지 않는다.

 

ASEC Contact Information
Email: asec@ahnlab.com
Copyright 2002-2009 ASEC(Ahnlab Security E-response Center).
All Rights Reserved.

'AhnLab 보안in' 카테고리의 다른 글

내 문서, 내 자료 어디에 저장해야 하나요?  (0) 2020.04.08
가짜 MS 아웃룩 업데이트 메일 유포 주의  (0) 2020.04.08
디지털보험 얼마나 준비하고 있나요?  (0) 2020.04.08
신종 인플루엔자와 컴퓨터 바이러스의 닮은꼴  (0) 2020.04.08
인터넷익스플로러(IE) 8.0의 편리함과 보안위협  (0) 2020.04.08

관련글

티스토리툴바