Security

[Security] 서비스 거부 공격(DoS : Denial of Service)_2

구루싸 2020. 2. 16. 14:48
반응형
SMALL

오늘은 서비스 거부 공격(DoS) 두번째 시간입니다

먼저, ICMP Flooding에 대해 알아보겠습니다

IP특징(Broadcast 주소 방식)과 ICMP 패킷을 이용한 공격 방법인

ICMP Flooding은 Smurfing Attack이라고도 하는데

다수의 호스트가 존재하는 서브 네트워크에 Sorce Address를 공격대상 서버로 위조해서

ICMP Echo 패킷을 Broadcast로 전송합니다

그럼 이에 대한 다량의 응답 패킷이 공격대상 서버로 집중되겠죠-_-

그러면서 DoS가 발생하도록 하는 것입니다

아래에 ICMP 공격에 사용되는 메시지와

ICMP 및 UDP Flooding 대응 방법을 표로 정리하였습니다

메시지 내용
Source Quench(Type-4) 사용 중 전송자에게 패킷 전송 속도를 줄여 줄 것을 요구하는 메시지로 전송 속도의 지연 발생
Time to live exceeded in Transit(Type-11, Code-0) 시간 초과로 패킷이 폐기되었기 때문에 재전송
Destination unrechable(Type-3, Code-0, 1, 2, 3) ICMP 트래픽 처리에 자원을 사용하게 되므로 시스템이 느려지는 현상 발생
대응 방법 내용
접근 제어 목록(ACL:Access Control List)을 이용한 차단 웹 서버 혹은 운영 장비에 대한 접근 제어 목록을 차단
Inbound 패킷 임계치 설정 운영 장비로 유입되는 Inbound 패킷을 기준으로 PPS 수치를 유입되는 수치보다 낮게 설정하여 임계치 이상의 ICMP 및 UDP를 차단

다음은 Tear Drop에 대해 알아보겠습니다

네트워크 패킷은 MTU(Maximum Transmission Unit)보다 큰 패킷이 오면 분할(Fragmentation)하고

분할된 정보를 flags와 offset이 가지고 있게 되는데

이 때 TCP Header 부분의 offset field 값이 중첩되는 데이터 패킷을 전송하는 등의

offset을 임의로 조작하여 대상 시스템에서 패킷을

다시 조립할 수 없도록 하여 DoS를 유발하는 공격을 Tear Drop이라 합니다

 아래의 표는 Tear Drop 공격 종류를 정리한 것입니다

종류 내용
Tiny Fragment 최초의 Fragment를 아주 작게 만들어서 네트워크 침입 탐지 시스템(IDS:Intrusion Detection System)이나 패킷 필터링 장비를 우회하는 공격 
Fragment Overlap Tiny Fragment 공격 기법에 비해 더욱 정교해진 방법으로 IDS의 Fragment 처리 방법과 패킷 필터링의 재조합, Overwrite 처리를 이용
Ping of Death Ping을 이용하여 ICMP 패킷을 규정된 길이 이상으로 큰 IP 패킷을 전송

마지막으로 Land Attack에 대해 알아보겠습니다

Land Attack은 IP Header를 변조하여

송신자 IP 주소 및 Port 주소를 수신자 IP 주소 및 Port 주소로 설정하여

네트워크 장비에 부하를 유발하는 공격입니다

대응 방법은 송신자와 수신자의 IP 주소 및 Port 주소가 동일한 패킷을 삭제하는 것이겠네요-_-

오늘은 이만-_- 

반응형
LIST