DoS
What is DoS?
Dos는 서비스거부로 공격 대상이 수용할 수 있는 능력 이상의 정보를 제공하거나 사용자 또는 네트워크 용량을 초과시켜 정상적으로 작동하지 못하게 하는 공격
Feature
1. 파괴 공격: 디스크, 데이터, 시스템 파괴
2. 시스템 자원 고갈 공격: CPU, 메모리, 디스크의 과다한 사용으로 인한 부하 가중
3. 네트워크 자원 고갈 공격: 쓰레기 데이터로 네트워크 대역폭의 고갈
Ping of Death 공격
ping을 이용하여 ICMP 패킷의 크기를 정상보다 아주 크게 만드는 것
패킷이 전달하는 과정에서 작게 쪼개지는데 조각화된 모든 파일을 처리해야하므로 시간이 더 오래 걸림
보안 대책
현재 대부분의 시스템은 Ping of Death 공격을 받을 때 반복적으로 들어오는 일정 수 이상의 ICMP 패킷을 무시하도록 설정 되어 있음
만약 취약하다면 패치를 통해 해결 가능
SYN Flooding
서버별로 한정되어 있는 접속 가능 공간에 존재하지 않는 클라이언트가 접속한 것처럼 속여 다른 사용자가 서비스를 제공받지 못하게 하는 것
3-way Handshaking
원래 정상적인 사용자라면 Server로부터 SYN+ACK 패킷을 받은 후 ACK 패킷을 보내야하는데 DoS 공격에서는 존재하지 않는 사용자를 임의로 생성하는 것이기에 ACK 패킷을 보낼 수 없다
그래서 ACK 패킷을 받지 못하는 Server는 그 사용자에게 답이 올 때까지 기다림
보안 대책
침입 탐지 시스템이나 침입 방지 시스템 설치
Syn_Cookie: 서버에서 클라이언트로 보내는 SYN+ACK 패킷에 임의로 생성되는 시퀀스 넘버 대신 암호화 기술을 이용해서 인증 정보가 담긴 시퀀스 넘버를 생성하여 클라이언트에 보내는 것
Land
출발지 IP 주소 = 도착지 IP 주소
보안 대책
현재 시스템에서 모두 전송시 인식해서 버림
Smurf and Fraggle
브로드캐스트: 목적지 IP 주소로 255.255.255.255를 가지고 네트워크의 임의의 시스템에 패킷을 보내는 것
에이전트를 통해 공격자에 접근
DDoS
DoS에서 발전된 형태 -> 피해는 심각하나 확실한 대책이 없음
Default Configuration
- 공격자: 공격을 주도하는 해커의 컴퓨터
- 마스터: 공격자에게 직접 명령을 받는 시스템, 여러 대의 에이전트를 관리
- 핸들러 프로그램: 마스터 시스템 역할을 수행하는 프로그램
- 에이전트: 공격 대상에 직접 공격을 가하는 시스템
- 데몬 프로그램: 에이전트 시스템 역할을 수행하는 프로그램
Tools
- Trinoo
- UDP를 기본으로 공격을 수행
- 'stad, cmsd, ttdbserverd' 데몬이 주된 공격 대상
- TFN, TFN 2K, Stacheldraht
- Trinoo가 약간 발전된 형태
- 클라이언트와 데몬 간에 ICMP Echo Request 패킷 사용
- TCP, UDP 연결도 이루어지지 않음
- 공격자 시스템과 마스터 시스템 간의 연결이 평문으로 전달 -> 다른 사람들에게 스니핑 되거나 세션 하이재킹 될 수 있음
대응책
방화벽 설치
침입차단
침입 차단 시스템의 설치와 운영
안정적인 네트워크 설계
시스템 패치
스캐닝
서비스별 대역폭 제한
LAB
SYN Flooding
공격자 시스템: 칼리 리눅스
공격 대상 시스템: 우분투 리눅스
우분투에서 ifconfig로 ip주소 얻기
칼리에서 root shell 열고
hping3 --rand-source --flodd <ip 주소> -p 80 -S
FireFox 웹 브라우저가 안 열림!
