안녕하세요 정보보안 유튜버이신 노말틱님의 분석 영상을 바탕으로 공부하는 글입니다.
글을 더 잘 이해하시려면 아래링크를 참고해 주세요
https://www.youtube.com/watch?v=jE9OVoTz-1U&t=385s
디도스 정의
도스(Denial of Service) : 서비스 거부 공격
- 정의: DOS 공격은 특정 서버나 네트워크에 과도한 트래픽을 보내거나 자원을 고갈시켜 정상적인 사용자들이 서비스를 이용하지 못하도록 만드는 공격입니다.
- 목적: 시스템의 작동을 방해하거나 다운시켜 서비스 중단을 유발하는 것.
롤 디도스 상황에 적용하면 롤 서버가 다운되게 만드는 것입니다. 컴퓨터가 감당할 수 없는 요구를 보내어 컴퓨터에 과부하를 일으키는 것입니다.
디도스(Distributed Dos) : 분산 서비스 공격
- 정의: DOS의 확장된 형태로, 다수의 컴퓨터를 이용해 목표 시스템이나 네트워크를 과부하 상태로 만들어 서비스를 마비시키는 공격입니다.
요즘의 스펙 좋고 네트워크 대역이 넓은 서버를 먹통시키기 위해선 다수의 컴퓨터 사용이 용이합니다. (봇넷같은 좀비pc를 사용)
따라서 도스는 디도스로 통용될 수 있습니다.
이런 서버를 향한 디도스 공격에 대응하는 디도스 방어 장비는 많습니다.
최근 디도스의 특징
과거에는 서버를 공격하여 사용할 수 없게한 후 연락해서 협박하여 돈을 갈취하는 수법이 많았습니다.
그러나 요즘은 서버의 스펙이 좋아진 관계로 서버를 향한 공격이 힘들어졌습니다.
랜섬웨어에 밀린다는 평가를 받을만큼 효과를 볼 수 없었는데
최근 해커들이 해킹 대상을 서버에서 클라이언트로 전환하면서 다시 디도스로 인한 문제가 많아졌습니다.
클라이언트가 서버에 비해 상대적으로 보안이 취약하기 때문에 공격이 수월해졌기 때문입니다.
https://www.kookje.co.kr/news2011/asp/newsbody.asp?code=0300&key=20230125.22008007069
디도스 공격에 PC방 먹통 “대목에 날벼락” 업주들 분통
- 업장 상당수 LG유플러스 망 써 - “인터넷 끊겨 손님 화내며 떠나 - 명절이라 통신사 연락도 어려워” 설 대목에 들이닥친 전국적 디도스(DDos)..
www.kookje.co.kr
위처럼 클라이언트를 대상으로 한 디도스로 피씨방 공격하는 사례도 대거 발생했습니다.
만약 디도스 공격의 방식으로 네트워크 대역폭을 다 매워버리면 디도스 방어 장비도 소용이 없게 됩니다.
이 경우 ip를 변경하거나 우회시키는 방법밖에는 답이 없습니다.
이러한 방식으로 롤 인터넷 방송을 대상으로 디도스 공격이 흥행하고 있는 것입니다.
디도스 전략
디도스 전략은 크게 두가지로 생각해 볼 수 있습니다.
1. 프로그램 취약점 이용
롤 프로그램 안에서 클라이언트 프로그램 부하를 줄 수 있는 취약점이 있을 때 이용할 수 있는 방법입니다.
취약점을 이용해 부하를 줄 수 있는 요청을 보내는 것입니다.(음성대화나 친구초대 등등)
요청 자체가 자원을 과도하게 소모하도록 설계되어 있기 때문에 다수의 봇넷을 사용하지 않아도 된다는 장점이 있습니다.
*애플리케리션 계층 공격/Low and Slow 공격 참고
이 경우의 결과 : 프로그램, 게임이 끊김
2. 네트워크 대역폭 가득 채우는 방법
네트워크 대역폭을 가득 채우면 네트워크의 용량의 초과하는 트래픽이 발생하여 네트워크를 원활하게 활용할 수 없게 됩니다.
예시로 티켓팅을 들 수가 있겠군요. 티켓팅으로 인해 많은 사람이 몰리면 서버가 먹통이 되잖아요? 이게 네트워크 과부하로 인한 현상입니다.
이 경우의 결과 : 인터넷 끊김
디도스 원인 추측
디도스의 원인이 밝혀지지 않았기 때문에 확신할 수는 없지만 가장 가능성이 높은 방법을 소개해주셨습니다.
근거1
아래는 실시간으로 방송하는 사람이 피해받은 사례에서 찾아볼 수 있는 근거입니다.
1. 롤이 끊겼으나 방송은 진행중이었음
2. 그래서 네트워크 문제가 아닌가 싶었지만 채팅방이 멈춰있는 것을 발견함.
근거2
피해자의 증언으로 구성한 내용입니다.
1. 인터넷이 끊겼다.
2. 근데 게임이 끝나자 정상으로 돌아왔다
두 근거를 조합한 결과 이는 네트워크 대역폭을 가득 채우는 방식으로 공격했다는 것으로 추측할 수 있습니다.
디도스는 누구의 책임인가
위 추측 내용이 맞다면 롤 디도스 문제 누구의 잘못일까요.
우선 네트워크 공격을 하려면 ip 주소가 필요합니다. 이 ip주소가 어떻게 유출되었는지가 관건인데요.
옛날에는 p2p 방식을 사용하는 경우가 많아 클라이언트끼리 통신했기 때문에 ip 주소를 쉽게 알 수 있었습니다.(스타크래프트같은 경우)
하지만 롤은 클라이언트-서버 구조로 되어 있어서 상대의 ip주소를 알 수는 없습니다.
https://m.ddaily.co.kr/page/view/2024030822054193804
[단독] LoL 디도스 공격 배후 '스위스나이프' 누구냐, 넌?
스위스나이프 디스코드 채널에 가입하려면 거쳐야 하는 홈페이지...
m.ddaily.co.kr
그런데 게임 음성 채팅 채널인 ‘디스코드’를 통해 제한된 인원들에게 여러 불법 프로그램을 판매하는 '스위스나이프'에서 만든 유틸리티로 ip 주소를 가져올 수 있다는 사실이 공개되었다.
노말틱님은 해킹에 사용하는 프로그램을 직접 본 적은 없지만 다음과 같이 생각한다고 하였다.
1. RIOT API를 이용하면 플레이어의 정보를 return 받을 수 있다.
2. ip 주소를 return하는 취약점이 존재할 것이다.
혹은
1. 롤 프로그램 내 취약점 중 플레이어의 패킷을 직접 주고 받을 수 있는 취약점이 있을 것이다