The Apache Software Foundation
안철수연구소 보안 대응 전문 조직에서 ASEC에서 알려드리는 최신 취약점에 대한 분석정보와 보안패치 정보입니다.
제목 : 불안전한 다중 HTTP 접속 요청에 의한 서비스 거부 공격 주의
개요
최근 인터넷에 HTTP 프로토콜에 불안전한 요청을 통해 웹 서비스가 서비스 거부(DoS)에 빠지는 공격도구가 공개되었다. 해당 도구를 이용한 공격방식은 과거에도 사용된 적이 있으며, 최근 이를 이용한 도구가 공개되며 악의적으로 이용될 가능성이 높아 사용자들의 주의가 요구된다.
공격유형
서비스 거부공격
해당 시스템
현재까지 영향을 받는 알려진 소프트웨어는 아래와 같다.
Apache 1.x
Apache 2.x
dhttpd
GoAhead WebServer
Squid
영향
공격자는 해당 도구를 이용하여 대상 시스템의 웹 서버에 서비스 거부 공격을 수행할 수 있다. 이로 인해 정상적인 웹 서비스 운영을 방해한다.
설명
이번 공격은 특정 소프트웨어의 취약점이 아니다. HTTP 프로토콜의 구조적인 부분을 이용한 공격으로서, 공격자가 웹 서버에 접속 요청을 할 때 연결을 해지하지 않고 지속적으로 같은 요청을 반복해 연결세션을 생성한다. 웹 서버에서 정의된 한계만큼 세션이 접속되어 사용자는 더 이상 접속을 수행할 수 없게 된다. 예를 들면 공격자는 아래와 같은 정상적인 HTTP 요청을 수행한다.
이때 서버는 연결을 오픈하고 기다리지만 공격자는 연결을 계속 유지하기 위해 임의의 추가적인 헤더를 보내 연결을 해지하지 않는다. 이와같은 요청이 계속될 경우, 연결은 급격하게 증가하게 되어 서비스 거부 상태가 된다. 이 같은 방법은 오래전부터 알려져 있던 공격방법중의 하나였으나, 최근 아파치 DoS 공격도구라는 이름으로 공개되어 이의 악의적 사용이 우려된다.
이 공격의 특징은 대량의 트래픽을 전달하지 않는다는 점이다. 일반적인 공격에 이용되는 DoS방법은 대량의 트래픽을 전달하여 라우터 및 전체 네트워크까지 영향을 미치지만, 이 공격은 아주 적은 트래픽으로도 HTTP서버에 서비스 거부 상태를 만들 수 있다. 그러므로, 트래픽이 크게 증가하지 않더라도 이 공격에 예의주시하여야 한다.
현재까지는 이 공격이 와일드하게 이뤄지고 있다는 증거는 발견되지 않고 있다.
차단정보
이 공격은 취약점을 이용한 것이 아니라 HTTP의 구조형식에 의한 것이므로, 차단은 제한적이다.
다만, 트러스가드(TrusGuard)는 해당 공격도구의 패턴 차단을 제공하고 있다.
해결책
이 공격의 피해를 최소화하기 위해서는 다음과 같은 방법을 고려할 수 있다. 단, 여기의 모든 방법들은 동일한 해결책이 될 수 없다. 현재 운영하고 있는 웹 서버의 구성과 네트워크 상황에 따라 달라지므로, 위협을 최소화할 수 있는 방안을 논의하여 적용할 것을 권고한다. 잘못된 적용은 웹 서버의 운영에 큰 문제를 야기할 수 있다.
참고정보
[1] Apache HTTP Dos tool released - http://isc.sans.org/diary.html?storyid=6601
제목 : 불안전한 다중 HTTP 접속 요청에 의한 서비스 거부 공격 주의
개요
최근 인터넷에 HTTP 프로토콜에 불안전한 요청을 통해 웹 서비스가 서비스 거부(DoS)에 빠지는 공격도구가 공개되었다. 해당 도구를 이용한 공격방식은 과거에도 사용된 적이 있으며, 최근 이를 이용한 도구가 공개되며 악의적으로 이용될 가능성이 높아 사용자들의 주의가 요구된다.
공격유형
서비스 거부공격
해당 시스템
현재까지 영향을 받는 알려진 소프트웨어는 아래와 같다.
Apache 1.x
Apache 2.x
dhttpd
GoAhead WebServer
Squid
영향
공격자는 해당 도구를 이용하여 대상 시스템의 웹 서버에 서비스 거부 공격을 수행할 수 있다. 이로 인해 정상적인 웹 서비스 운영을 방해한다.
설명
이번 공격은 특정 소프트웨어의 취약점이 아니다. HTTP 프로토콜의 구조적인 부분을 이용한 공격으로서, 공격자가 웹 서버에 접속 요청을 할 때 연결을 해지하지 않고 지속적으로 같은 요청을 반복해 연결세션을 생성한다. 웹 서버에서 정의된 한계만큼 세션이 접속되어 사용자는 더 이상 접속을 수행할 수 없게 된다. 예를 들면 공격자는 아래와 같은 정상적인 HTTP 요청을 수행한다.
GET / HTTP/1.1\r\n
Host: host\r\n
User-Agent: Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 5.1; Trident/4.0;)\r\n
Content-Length: 42\r\n
Host: host\r\n
User-Agent: Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 5.1; Trident/4.0;)\r\n
Content-Length: 42\r\n
이때 서버는 연결을 오픈하고 기다리지만 공격자는 연결을 계속 유지하기 위해 임의의 추가적인 헤더를 보내 연결을 해지하지 않는다. 이와같은 요청이 계속될 경우, 연결은 급격하게 증가하게 되어 서비스 거부 상태가 된다. 이 같은 방법은 오래전부터 알려져 있던 공격방법중의 하나였으나, 최근 아파치 DoS 공격도구라는 이름으로 공개되어 이의 악의적 사용이 우려된다.
이 공격의 특징은 대량의 트래픽을 전달하지 않는다는 점이다. 일반적인 공격에 이용되는 DoS방법은 대량의 트래픽을 전달하여 라우터 및 전체 네트워크까지 영향을 미치지만, 이 공격은 아주 적은 트래픽으로도 HTTP서버에 서비스 거부 상태를 만들 수 있다. 그러므로, 트래픽이 크게 증가하지 않더라도 이 공격에 예의주시하여야 한다.
현재까지는 이 공격이 와일드하게 이뤄지고 있다는 증거는 발견되지 않고 있다.
차단정보
이 공격은 취약점을 이용한 것이 아니라 HTTP의 구조형식에 의한 것이므로, 차단은 제한적이다.
다만, 트러스가드(TrusGuard)는 해당 공격도구의 패턴 차단을 제공하고 있다.
해결책
이 공격의 피해를 최소화하기 위해서는 다음과 같은 방법을 고려할 수 있다. 단, 여기의 모든 방법들은 동일한 해결책이 될 수 없다. 현재 운영하고 있는 웹 서버의 구성과 네트워크 상황에 따라 달라지므로, 위협을 최소화할 수 있는 방안을 논의하여 적용할 것을 권고한다. 잘못된 적용은 웹 서버의 운영에 큰 문제를 야기할 수 있다.
- 웹 서버의 Timeout을 낮게 설정해 HTTP 요청 후 연결이 빨리 끊어지도록 할 수 있다. 기본적으로 아파치 웹 서버는 300초의 Timeout을 가지고 있다.
- IPTable 등과 같은 방화벽을 통해 동시접속을 제한한다. 또는 로드밸런스 등이 영향을 최소화할 수 있다.
- 웹 서버의 지속적인 관찰이 필요하다.
- 특정 IP에서 공격이 이루어지는 경우 해당 IP를 차단하여 공격을 방어한다.
참고정보
[1] Apache HTTP Dos tool released - http://isc.sans.org/diary.html?storyid=6601
NO WARRANTY
이 권고문은 (주)안철수연구소의 ASEC에서 국내 인터넷 보안의 발전을 위해 발표하는 보안 권고문이다. (주)안철수연구소는 이 권고문에 포함되어 있는 내용 및 기타 어떠한 결과에 대해서도 보장하지 못하며, 책임을 지지 않는다.
ASEC Contact Information
Email : asec@ahnlab.com
Copyright 2002-2009 ASEC. All Rights Reserved.
이 권고문은 (주)안철수연구소의 ASEC에서 국내 인터넷 보안의 발전을 위해 발표하는 보안 권고문이다. (주)안철수연구소는 이 권고문에 포함되어 있는 내용 및 기타 어떠한 결과에 대해서도 보장하지 못하며, 책임을 지지 않는다.
ASEC Contact Information
Email : asec@ahnlab.com
Copyright 2002-2009 ASEC. All Rights Reserved.