2016년 8월 3일 수요일

서비스 거부(DoS) 공격 - 각종 Dos 공격 원리와 대처 방법

ㅇ ㅂㅇ

각종 Dos 공격 원리와 대처 방법

> 서비스 거부(방해) 공격(DoS ; Denial of Service)
 - 시스템의 서비스를 사용 할 수 없도록 만드는 가용성 파괴 공격
 - 일반적으로 서버를 다운시키는 공격
 - TCP/IP Protocol의 구조적 취약점을 이용한 공격이 많음
 - 시스템에 과부하를 주는 공격 / 네트워크 서비스 방해를 하는 공격
 - 방법
  -- 특정 프로토콜을 집중 공격, 다량의 패킷을 대상 서버에 전송하는 등의 방법
 - 유형
  -- Land attack, Teardrop, Ping of Deat, SYN Flooding, Smurf attack, UDP flood attack 등

> (TCP) SYN Flooding
 - TCP의 3-Way HandShaking 과정의 취약점을 이용한 DoS 공격의 일종
 - 공격자가 임의로 자신의 IP를 속인 뒤 서버로 다량의 SYN 패킷을 보내 서버를 대기 상태(SYN+ACK Sent)로 만드는 공격
 - 서버는 계속 ACK 패킷을 기다리는(Half Open 상태, SYN-RECV 상태) 데 모든 자원을 소모하게 되고 정상적인 서비스를 불가능하게 함(시스템에 listen queue를 가득 채워 오버플로우에 빠지게 됨)
 - 탐지 방법
  -- SYN 패킷을 받으면 카운트를 늘리고 ACK를 보내면 카운트를 줄여 특정 기간 내에 카운트가 높으면 SYN Flooding
 - 조치 방법
  -- Connect Queue Size를 증가 시킴(일시적) ; Backlog Queue라고도 표현
  -- SYN Cookie 를 사용, SYN Cookie Size를 늘려줌
   --- L4에서 SYN 패킷을 보내면 세션 테이블 생성없이 SYN/ACK(SYN=Cookie)를 보내고 이에 대한 ACK(ACK=Cookie+1) 패킷을 받으면 서버와 세션을 연결해 주는 방법
   --- 물론 L4가 아닌 단에서도 가능
  -- Router 단에서 서브넷 외의 주소를 가지는 소스 IP를 가지는 패킷을 차단
  -- 중간 G/W에서 일정시간 연결이 이루어지지 않은 SYN 패킷 차단

> UDP Flood Attack 
 - 공격자가 UDP로 서버에 가상의 데이터를 연속적으로 보내 서버의 부하 및 네트워크 오버로드를 발생시키는 공격
 - 공격 대상자 시스템에 다수의 UDP 패킷을 전송 시 목적지 포트에서 서비스 하는 어플리케이션이 없을 경우 서버에서 ICMP Unreachable 패킷을 다수 전송
 - 조치 방법
  -- 불필요하거나 미사용 UDP 서비스 중지 및 차단
  -- 방화벽 등을 이용하여 패킷 필터링
  -- 리눅스의 경우 chargen, echo 서비스 중지

> Smurfing(=Smurf) Attack
 - 공격 대상 호스트 IP 주소로 위장 후 임의의 Broadcast 주소로 ICMP Echo Request (Ping) 패킷을 보내 이에 대한 ICMP Echo Reply 를 공격지로 보내는 방법
 - 공격대상 호스트가 ICMP Reply 패킷들을 동시다발적으로 수신하여 부하 발생
 - 조치 방법
  -- Router에서 Direct Broadcast 패킷은 차단(외부 네트워크에 Broadcast를 Direct Broadcast라고 하는 듯함)
  -- Host에서 Broadcast로 전달된 ICMP 패킷에 대해서는 응답을 않하도록 설정
  -- 외부에서 들어오는 IP(ICMP) broadcast 패킷을 막거나 응답 않도록 설정

> Ping of Death Attack
 - IP 패킷 최대 사이즈보다 큰 ICMP Request 패킷을 보내는 공격
 - 패킷 재 조립 과정에서 Buffer Overflow 및 시스템 충돌이 발생
 - IP 패킷 사이즈를 검증하는 설정을 추가하여 발생 방지

> Teardrop Attack
 - Header가 조작된 일련의 IP 패킷 조각들(Fragments)을 전송하여 공격
 - 비정상적인 송신 패킷조각을 수신자가 재 조합시 부하 발생
 - Offset 값을 일부로 이전 값보다 작게 음수로 만들어 보내기에 재 조립과정에서 에러가 발생 -> 블루 스크린 발생

> Land Attack
 - 목적지와 출발지 IP와 Port가 모두 동일하게 보내는 공격
 - 컴퓨터가 루프 상태에 빠져 IP 프로토콜 스택에 심각한 장애를 발생
 - 시스템 자원을 고갈시켜 서비스 장애를 유발
 - 조치 방법
  -- 라우터나 패킷 필터링 도구를 이용 source 주소가 내부 IP 인 패킷 유입을 차단


작성자: 시간:
라벨:

댓글 없음:

댓글 쓰기

피드 구독하기: 댓글 (Atom)