서비스 거부 공격 (DoS, DDos)
-
취약점 공격형: 보잉크/봉크/티어드롭, 랜드공격
-
자원 고갈 공격형: 랜드 공격, 죽음의 핑 공격, SYN 플러딩 공격, HTTP GET 플러딩, 스머프 공격, 메일 폭탄 공격 등
보잉크/봉크/티어드롭 공격
프로토콜의 오류 제어 로직을 악용하여 시스템 자원 고갈 시키는 방식
TCP 프로토콜의 경우 시퀀스 넘버로 오류 제어하는데,
이를 반복적인 재요청과 수정을 계속하게 함으로, 자원 고갈시키는 공격티어드롭: 패킷의 시퀀스 넘버와 길이 조작하여 패킷 간의 데이터 부분이 겹치거나, 빠진 상태로 패킷을 전송하는 공격
=> 패치 관리를 통해 제거 가능랜드공격
패킷의 출발지 IP와 목적지 IP 주소를 같은 값으로 만들어 전송
SYN 플러딩처럼 동시 사용자 수를 점유, CPU 부하 높힘Ping of death
NetBIOS 해킹과 함께 시스템 파괴에 사용되는 DoS 공격
패킷을 여러 패킷을 분할하여 전송, 대량의 작은 패킷으로 네트워크 마비
=> ICMP를 차단하여 내부 네트워크에 Ping이 들어오지 못하도록 차단SYN 플러딩 공격
동시 사용자 수 제한을 이용하여 존재하지 않는 클라이언트가 접속한 척하여 다른 사용자가 서비스 제공받지 못하도록 함
TCP 연결과정 중 3-Way handshake의 문제점 악용
=> IPS 및 Recieved 대기 시간 줄이는 방식으로 공격 차단HTTP GET 플러딩
정상적인 TCP 3-Way handshke 후 HTTP GET Method 이용하여 특정페이지 공격
-
HTTP C: HTTP요청 및 응답 요구하기 위해 캐시 기능을 사용하지 않음
Cache-Control no-store, must-revalidate 옵션 사용
=> 캐시를 사용하지 않아, 웹 서비스에 부하 증가 -
동적 HTTP Request 플러딩: 웹페이지 지속적 요청
=> 웹 방화벽에서 패턴 확인하여 방어가능, 차단기법 우회하기위해 지속적으로 페이지 변경하는 기법 -
슬로 HTTP header DoS 공격
: HTTP 메시지의 헤더 정보를 비정상적으로 조작, 웹서버가 완전한 수신할 때 까지 유지하도록 하는 공격, Header와 body를 구분하는 개행 문자 없이 HTTP 메시지를 전달하면 웹서버는 연결 유지하는 방식을 이용 -
슬로 HTTP POST 공격
웹 서버와의 커넥션 최대한 오래 유지하도록 하는 공격,
HEADER의 Content-Length 필드에 임의의 값 설정, 해당 크기의 메시지 전송 때까지 커넥션 유지스머프 공격
ICMP 패킷과 네트워크에 존재하는 임의의 시스템을 이용하여 패킷 확장,
다이렉트 브로드캐스트:
목적지 IP 주소 255.255.255.255를 가지고 네트워크 임의 시스템에 패킷 전송
라우터를 넘어가서 브로드캐스트 해야하는 경우 네트워크 부분에 정상적인 IP를 적고, 네트워크에 있는 클라이언트 IP주소에 브로드캐스트 주소인 255를 채워 원격지 네트워크에 브로드캐스트
ICMP request 받은 네트워크는 패킷의 위조된 시작 IP주소로 ICMP request ICMP reply 전송, 공격 대산은 수많은 ICMP reply를 받아 패킷 과부화
=> 라우터에서 다이렉트 브로드캐스트를 막으면 됨
분산 서비스 거부 공격(DDoS)
마스터(공격자)와 에이전트(직접 공격하는 시스템)가 중간자인 동시에 피해자
1. PC에 악성코드 전파, 별다른 공격 없이 잠복, 악성 코드에 감연된 PC가 봇넷
2. 봇넷은 정해진 공격 스케줄 따라서 대규모의 분산 서비스 거부 공격
스니핑 공격
-
스위치 재밍 공격
MAC 주소 테이블 기반으로 패킷을 포트에 스위칭 할 때 기능 마비시키는 공격
= MACOF 공격 -
SPAN 포트 태핑 공격
