1. 네트워크 기반 위협
1) 네트워크를 취약하게 만드는 요인
= 많은 공격 지점, 네트워크를 통한 자원 공유, 시스템 복잡성
2) 네트워크 위협의 유형
= 기술적 위협, 수동적 공격(스니핑) / 능동적 공격(Replay-attack, DoS, Session Hijacking)
2. 서비스 거부 공격(DoS, Denial of Service)
- 시스템이 정상적으로 서비스를 하지 못하게 해서 일반적으로 서버를 다운시키는 공격
- 특정 서버에게 수많은 접속 시도(=부하)를 만들어 다른 이용자가 정상적으로 서비스 이용을 못하게 만든다.
- 정상적인 서비스를 할 수 없도록 가용성(Availability) 침해가 목표
3. 서비스 거부 공격의 종류와 원리 및 대처방안
1) TCP SYN Flooding Attack
[공격방법]
- TCP 연결과정 중 3-Hand-shaking 과정에서 Half-Open 연결 시도가 가능하다는 취약점을 이용한 공격 기법
- 클라이언트가 다수의 SYN 패킷을 보낸 후, 서버가 보낸 SYN/ACK 패킷을 받으면 ACK 패킷을 서버에 전송하지 않는다.
- SYN-RECIVED 패킷
- Victim에 SYN-RECIVED 패킷이 점점 쌓여 나중에 다른 PC에서 SYN 패킷을 받을 수 없게 된다.
[보안대책]
- SYN 연결 요청에 임계치 설정
- 라우터에 interrupt 모드 설정
- SYN_Cookie
- 요청이 들어오면 SYN Cookie만 보내 놓고 세션을 닫음
- TCP 연결 테이블 (Backlog Queue) 엔트리 선택적 삭제 기법
- 테이블 오버플로우 발생 시 일부 삭제
- 연결 테이블 확장
2) Ping Of Death Attack(죽음의 핑)
[공격방법]
- Ping(ICMP Echo Request(8), ICMP Echo Reply(0))을 이용하여 ICMP 패킷을 정상 크기보다 매우 크게 생성하여 전송
- 큰 사이즈 Ping 전송 => IP 캡슐화 => MTU Fragment 생성 => 수신자 재조합 시 부하 발생
[대응방안]
- 보통 ICMP 패킷은 분할하지 않으므로, 패킷 중 분할이 일어난 패킷을 공격으로 의심하여 탐지하는 방식 사용
- OS 패치
- 방화벽 ICMP 패킷 차단
3) Land Attack
[공격방법]
- 출발지 IP와 목적지 IP가 같은 패킷을 만들어 보냄으로써 수신자가 자기 자신에게 응답을 보내게 하여 시스템의 가용성을 침해하는 공격
[대응방안]
- 출발지 주소가 내부 IP인 패킷을 차단
- 자신의 시스템 주소와 동일한 출발지 주소를 가진 외부 패킷을 필터링
4) Smurf Attack
- IP 위장과 ICMP의 특징을 이용한 공격 기법
- 증폭 네트워크: ICMP Broadcast에 대한 응답으로 다수의 ICMP Echo 패킷 발생
[공격방법]
- Src IP : Target IP
- Dst IP : 증폭 네트워크의 Broadcast IP
- Attacker가 Src IP를 Victim으로 Spoofing 수행 후 Dst IP를 직접 브로드캐스트 주소로 설정 후 Ping Request 송신한다.
- Ping 메시지를 수신한 네트워크 내의 모든 시스템들이 Ping Responce 메시지를 Victim에게 전송한다.
- 신한 Victim은 트래픽 과부하로 인해 서비스를 마비 시킴 (가용성 파괴)
[대응방안]
- 동일한 ICMP Echo Reply 패킷이 다량으로 발생한다면 해당 패킷들을 모두 Drop
- 라우터의 Directed Broadcast를 비활성화
5) Teardrop Attack
[공격방법]
- 공격자는 IP Fragment offset 값을 서로 중첩되도록 조작하여 전송하고 이를 수신한 시스템이 재조합하는 과정에서 오류가 발생, 시스템의 기능을 마비시키는 공격 방식
- 패킷 전송할 때, IP 단편화를 진행하고 수신자는 재조립을 통해 단편화된 데이터를 복구하는데 이 과정에서 정확한 조립을 위해 오프셋 값을 사용한다.
- Bonk, Boink 공격: framgent 하여 전송할 때 순서 번호를 모두 1번으로 조작하여 전송
- IP Fragmentation 취약점을 이용한 침입차단시스템 우회 공격
- Tiny Fragment
- Fragment Overlap
[대응방안]
- 침입차단시스템(IPS), 방화벽
- OS 패치
참고)
https://kaite-story.tistory.com/64
[정보보안기사 25] 서비스 거부 공격(DoS, DDoS, DrDoS)
서비스 거부 공격(DoS) 시스템에 과도한 부하 를 일으켜 시스템의 사용을 방해 하는 공격 방식(가용성 침해) TCP SYN Flooding Attack TCP 연결 과정 중에 3-way handshaking 과정에서 Half-Open 연결 시도가 가능.
kaite-story.tistory.com
'Security > Network' 카테고리의 다른 글
| [Attack] 네트워크 기반 공격 – 분산 반사 서비스 거부 공격(DRDoS) (297) | 2021.10.26 |
|---|---|
| [Attack] 네트워크 기반 공격 – 분산 서비스 거부 공격(DDoS) (430) | 2021.10.26 |
| [보안장비] Snort 정의와 rule 설정 (285) | 2021.10.08 |
| [Network] 방화벽(Fireware)에 대해서 (0) | 2020.09.18 |
| [Network] 네트워크 FTP Active Mode, Passive Mode 정의 및 차이점 (0) | 2020.09.14 |