목록§IT/정보보안기사-네트워크 (13)
Information Security
1) 개요 - TCP SYN Flooding 공격은 TCP 연결 설정 과정의 취약점을 이용한 공격으로 출발지 IP를 존재하지 않는 IP 주소로 위조하여 대량의 SYN Packet을 발송하여 해당 시스템의 백 로그큐를 꽉차게 만들어 더 이상 새로운 새로운 연결요청을 받을 수 없도록 하는 공격이다. 2) 특징 - 이 공격의 경우에 ACK 응답이 오지 않아 백 로로그큐에 연결정보가 계속 쌓이게 된다. netstat -an 명령어를 통해 소켓상태를 살펴보면 다수의 SYN_RECV상태의 tcp 소켓을 확인할 수 있고 SYN_RECV 상태가 바로 ACK 응답을 대기하고 있는 상태이다. 3) 대응책 - 완전한 3-way handshaking이 이루어지지 않는다면 백로그큐가 소비되지 않도록 설정한다. - 방화벽 or ..
1. UDP Flooding 공격 1) 개요 - 공격자는 다량의 UDP 패킷을 서버로 전송하여 서버가 보유한 네트워크 대역폭을 소진시켜 다른 정상적인 클라이언트의 접속을 원할하지 못하도록 유발시키는 공격 2) 특징 - 53/udp(DNS서비스) 포트로 다량의 UDP 패킷이 타겟 서버로 발생(패킷 캡처 화면) 2. Trinoo 공격 1) 개요 - DDos 공격툴로 Attacker, Master, Agent로 공격네트워크를 구성하여 UDP Flooding 공격을 수행한다. - Attacker는 Master에게 접속하여 공격명령을 내리고 Master는 Agent에게 공격타겟에 대한 명령을 내리면 Agent는 해당 타겟에게 DDoS 공격을 수행한다.
1) 개요 - 악성 봇에 감염된 PC가 해커의 명령을 받기 위해 C&C 서버로 연결을 시도할 때 C&C 서버 대신 싱크홀 서버로 우회시켜 더 이상 해커로부터 조종/명령을 받지 않도록 해주는 서비스 2) 동작과정 ① KISA에서 배포한 C&C 목록을 ISP 등 DNS 싱크홀 적용기관의 DNS 서버에 업데이트 작업을 주기적으로 진행한다. ② 악성봇에 감염된 PC가 싱크홀이 적용된 DNS에 C&C서버에 대한 질의를 요청한다. ③ DNS는 악성봇 PC에 싱크홀 서버 IP 주소를 반환한다. ④ 이를 통해 악성봇 PC는 C&C 서버가 아닌 싱크홀 서버로 접속하여 공격자의 명령으로부터의 피해를 방지할 수 있다.
1) 개요 - IP 패킷의 재조합 과정에서 잘못된 fragment offset 정보로 인해 수신시스템이 문제를 발생하도록 만드는 DoS 공격을 말한다. - 공격자는 IP fragment offset 값을 중첩되도록 조작하여 전송하고 이를 수신한 시스템이 재조합하는 과정에서 오류가 발생, 시스템의 기능을 마비시키는 공격방식이다. 2) 대응책 OS의 보안패치를 하여 OS의 취약점을 해소한다.
1)개요 - 스머프 공격은 출발지IP를 희생자IP로 위조한 후 증폭 네트워크로 ICMP ECHO REQUEST를 브로드캐스트함으로써, 다수의 ICMP Echo Reply가 희생자에게 전달되어 서비스 거부를 유발시키는 공격기법이다. 2) 대응책 - 단시간에 다수의 ICMP Echo Reply패킷이 발생한다면 해당 패킷들을 침입차단시스템을 통해 모두 차단시킨다. - 증폭 네트워크로 사용되는 것을 막기 위해 다른 네트워크로부터 자신의 네트워크로 들어오는 DIrected Broadcast 패킷을 허용하지 않도록 라우터 설정을 한다. - 브로드캐스트 주소로 전송된 ICMP Echo Request 메시지에 대해 응답하지 않도록 시스템 설정을 한다.
1) 개요 - ICMP 패킷을 정상적인 크기보다 아주 크게 만들어 전송하면 MTU에 의해 다수의 IP 단편화가 발생하게 된다. > Ethernet의 경우 1500bytes, 즉 IP 패킷의 최대 크기가 1500bytes 이기 때문에 IP 헤더부(20bytes)를 제외하면 ICMP 패킷은 최대 1480bytes의 크기로 생성된다. - 수신측에서는 단편화된 패킷을 처리(재조합)하는 과정에서 많은 부하가 발생하거나, 재조합 버퍼의 오버플로우가 발생하여 정상적인 서비스를 하지 못하도록 한다. 2) 대응책 - 보통의 ICMP 패킷은 분할하지 않으므로 패킷 중 분할이 일어나 패킷을 공격으로 의심하여 탐지하도록 한다.