기사 자격증(알기사, DOS 공격)

네트워크를 취약하게 하는 요소

1. 많은 공격 지점

2. 공유

3. 시스템의 복잡성

 

네트워크 위협의 종류

구분	수동적 공격	능동적 공격
특징	직접적 피해 없음	직접적 피해가 있음
탐지가능성	어려움	쉬움
종류	스니핑, 도청	재전공격, 변조, DOS/DDOS

 

서비스 거부 공격(DOS)

- 시스템에 과도한 부하를 일으켜 정보 시스템의 사용을 방해하는 공격으로 가용성을 떨어뜨리는 공격

- DOS 공격은 단일 컴퓨터를 통한 공격을 하는 경우이고, DDOS는 물리적으로 분산된 다수의 컴퓨터를 이용하여 공격함

- DOS 공격은 소프트웨어 취약점을 이용한 공격과 flooding 유형 공격으로 나눌 수 있다.

 

TCP SYN Flooding Attack

- 3-way-handshaking의 Half-open연결시도가 가능하다는 취약점을 악용한 공격

 ※ half-open : 어떤 문제가 발생하여 한 장비가 상대방에 알리지 않은채 연결을 닫는 것

- 공격대상 피해 시스템은 외부로부터 접속요청을 더 이상 받을 수 없어 정상적인 서비스 제공이 불가능하다.

- 공격과정

 1. 공격자는 시작주소가 위조된 상당양의 SYN 패킷을 목적지에 전송

 2. 서버는 SYN+ACK를 위조된 시작주소에 전송

 3. SYN을 보내지 않았는데 SYN+ACK 주소를 받은 송신자는 RST 패킷 회신하여 연결설정 작업중단 요청, RST 패킷 수 신한 서버는 연결설정 중단 후 연결해제

 4. 만약 위조 IP 주소가 바쁘거나 없는 주소일 경우 서버는 SYN+ACK가 답장이 안오자 정해진 시간동안 SYN+ACK 패킷을 재전송하여 연결 설정시도

 5. TCP 연결테이블에 존재x 주소를 가득채워 이후에 통신을 못하게함

- 보안대책

 1. 방화벽, DDOS 대응장비 이용하여 동일 client의 SYN 연결 요청에 임계치 설정해 과도한 연결요청 발생을 차단

 2. SYN쿠키 기법

  - SYN+ACK 패킷 전송시 시퀀스 값에 쿠키값을 넣어 전송하는 방식

  - 요청이 들어오면 SYN쿠키만 보내놓고 세션을 닫아 공격자의 계속적인 SYN Flooding을 막는방법

 3. TCP 연결 테이블 엔트리 선택적 삭제

 4. 연결테이블 확장 - SYN Flooding공격에 오래 버틸 수 있게는 하지만 지속적인 DOS 공격에 대한 솔루션이 될 수 없음

 

스머프 공격

- 광범위한 DOS 공격으로 DOS 공격 중 피해가 가장 크다.

- 공격자, 충돌 N/W, 공격대상 서버로 나눔

- 공격방법

 1. 공격자가 공격대상 IP를 시작주소로하여 ICMP를 브로드캐스트로 다수의 시스템에 전송

 2. ICMP를 수신한 다수의 시스템은 ICMP Echo 패킷을 공격대상 IP에게 전송

 3. 공격대상 IP는 다수의 ICMP Echo 패킷을 수신하게 되어 시스템에 과부하가 걸림

  ※ 다수의 시스템이 브로드캐스트 응답으로 다수의 ICMP Echo 패킷을 전송하기 때문에 증폭 N/W라고 한다.

- 보안대책

 1. 라우터에서 다른 N/W로부터 자신의 N/W로 들어오늘 IP Directed Broadcast 패킷은 모두 차단(명령어 : no ip directed broadcast)

 2. 호스트는 IP broadcast address로 전송된 ICMP 패킷에 대해 응답하지 않도록 함

 3. 동일한 ICMP Echo Reply 패킷이 다량으로 발생시 해당 패킷들을 침입차단시스템을 통해 모두 차단

 

Flooding Attack

- 목표 시스템에 연결된 N/W링크에 과부하 시키는 것

- 패킷 사이즈가 클수록 효과는 커진다

 

UDP Flood

- UDP의 비연결성, 비신뢰성을 이용한 공격(UDP = 소스 IP와 포트를 스푸핑 하기 쉬움)

- 대량의 트래픽을 공격대상 시스템에 전송해 네트워크 마비

- echo(UDP 7번), chagen(UDP 19번)을 이용해 공격

- 계속해서 echo, chargen으로 패킷을 생성해 시스템 과부하 시킴

 

LAND ATTACK

- 출발지 IP와 목적지 IP를 똑같이 하여 공격대상에게 전송하는 공격

- 동시 사용자 수 증가, CPU에 부하 일으킴

- 보안대책

탐지방법	ㆍ공격자가 보낸 TCP를 분석 ㆍTCP 패킷의 출발지와 목적지 IP주소가 동일한지 확인 ㆍ출발지 주소가 내부 IP주소이면 차단 ㆍ공격인정 시간 내 공격인정 횟수 패킷의 수가 많으면 LAND 어택으로 판단
조치방법	ㆍ라우터나 패킷 필터링 도구를 이용해 자신의 시스템과 동일한 외부에서 들어온 패킷 차단 ㆍ침입차단시스템을 이용해 출발지와 목적지 IP / port 번호 동일시 차단하도록 설정

 

Ping Of Death

- ping을 이용하여 ICMP 패킷을 정상 크기(65,535byte)보다 아주 크게 만든다.

- 크게 만든 패킷을 네트워크에서 라우팅시 공격 N/W에 도달하는 동안 아주 작은 조각으로 나눠진다.

- 공격대상은 조각화된 패킷을 모두 작은 조각으로 처리해야하므로 정상적 ping 처리보다 부하가 훨씬 많이 걸린다.

- 보안대책

 1. 패치

 2. 분할된 패킷이 있으면 ping of death 공격을 받았을거라 의심하고 탐지

 3. 대부분의 시스템은 반복적으로 들어오는 일정 수 이상의 패킷을 무시하도록 설정

 

Teardrop Attack

- 네트워크서 패킷 전송시 IP 단편화를 하게 되는데 IP 단편화시 오프셋 값을 고의적으로 중복되도록 설정하거나 범위를 넘어서는 오버플로우를 일으켜 시스템 기능을 마비시킴

- Teardrop attack을 받으면 네트워크 연결이 끊어지거나 블루스크린을 띄우면서 시스템 중지

- 보안대책

 1. teardrop 공격은 침입차단시스템(IPS), 방화벽을 우회할 수 있고, Boink 등과 같은 다양한 변종을 가지는 공격방법으로 완전한 차단은 어렵다.

 2. 그래도 가장 좋은 보안대책은 패치이다.

 

Inconsistent Fragment

1. Bonk

 - 패킷을 프래그먼트하여 전송시 패킷을 조작하여 결과적으로 공격대상 시스템에 부하를 일으키는 방식

 - 처음 패킷을 1번으로 보낸 후 다음 패킷을 보낼 때 순서번호를 모두 1번으로 조작

2. Boink

 - Bonk를 수정한 DOS 공격도구

 - 처음 패킷을 1번으로 보낸후 중간에 패킷 시퀀스 번호를 비정상적인 상태로 보내는 공격

3. 보안대책

 - Bonk, Boink로는 최근에 나온 시스템을 파괴할수 있는 경우는 거의 없다

 - Bonk, Boink는 SYN Flooding, Ping Of Death 공격과 보안대책이 같다.

 

Targa 공격

- 여러 종류의 Dos 공격을 실행할 수 있도록 만든 공격도구

- Mixer에 의해 개발됨

- 이미 나와있는 여러 Dos공격 소스를 사용하여 통합된 공격도구를 만든다.

- Bonk, land, nestea, syndrop, teardrop, winnuke 공격 등을 지원한다.

 

IP Fragment의 취약점을 이용한 공격

1. Tiny Fragment

 - IP헤더보다 작은 fragment를 만들어 침입차단시스템(IPS)를 우회하여 내부 시스템에 침입하는 공격기법

 - DoS 공격이 아닌 우회공격 기법

2. Fragment Overlap

 - IP fragment의 오프셋 값을 조작하여 서비스 포트 필드를 중첩시켜 재조합이 되고 나면 IPS에서 허용하지 않는 서비스에 접근 가능하게 만드는 공격

 - DoS공격이 아닌 우회 공격 기법