0. 개요
※ Terminology
- Internet
AS(autonomous system)에 의한 라우팅으로 구성된 네트워크들의 연결된 집합
- Router
서비스간 데이터 패킷을 전송해주는 네트워크 장치
- AS(Autonomous System)
하나 이상의 IP 주소 범위와 이를 관리하는 네트워크
- DNS(Domain name system)
인터넷에서 도메인 이름과 IP변환을 담당
1. Internet Protocol & Service Denial
1) DoS/DDoS 공격
DoS/DDoS 모두 네트워크 또는 시스템에 대한 악의적인 공격
① DoS 공격 (Denial of Service)
단일 소스(컴퓨터 또는 네트워크)가 과도한 트래픽을 보냄으로써 시스템이 정상적으로 동작하지 못하도록 하는 공격
② DDoS 공격 (Distributed Denial of Service)
여러 시스템 또는 botnet에서 동시에 공격을 수행
botnet 이란?
: 여러 대의 컴퓨터를 원격으로 제어하여 하나의 그룹으로 만든 네트워크
2 BGP(Border Gateway Protocol) security
1) BGP
서로 다른 네트워크(AS)를 연결할 때 사용되는 프로토콜
e.g. '한국의 Google Korea'와 '미국의 Google 본사'는 독립적인 네트워크를 운영하고 있다. 이때 이 두 네트워크 간에 데이터 교환과 통신에 BGP 프로토콜을 사용하여 안전하게 통신할 수 있다.
※ OSPF가 AS 내부의 프로토콜이라면, BGP는 AS간 프로토콜
2) BGP security issue
- BGP Hijacking
(by mistake or by malware) 라우터가 거짓 경로를 선택하게 되면 라우팅 테이블을 혼잡하게 할 수 있음
- 현재 BGP는 RPKI 보안 매커니즘을 사용
RPKI (Resource Public Key Infrastracture)
: AS번호를 PKI로 암호화하여 라우팅 정보의 무결성을 보장
※ 공격자가 악성 라우터의 끝 부분에 제대로된 AS를 추가하여 검사를 우회할 수 있음
3. DNS security
1) DNS (Domain name system)
2) DNS security issue
- Hijacking
DNS는 쿼리에 대응하는 IP주소를 반환할 때 이를 intercept하거나 redirect(다른 곳으로 유도, pharming)하는 공격을 수행할 수 있다.Pharming vs Phishing
① Pharming : 똑바로 쳐도 잘못된 경로로 이동
② Fishing : 실제 도메인과 유사한 곳 (e.g. Never, Gogle 등)
=> 둘 다 자신의 site로 유인(유도)한다는 점에서 동일
3) Prevention to Hijacking
- DNSSEC
: for preventing DNS hijacking, DNS name record에 디지털 서명을 추가※ DOS 공격에 악용
DNS 서버에 대한 리소스 고갈을 유발하여 서비스 거부를 유도
- DNS-over-https(DoH)
: DNS(Domain Name System) 요청을 보안된 HTTPS(Hypertext Transfer Protocol Secure) 프로토콜을 통해 전송
ⓐ DNS 요청 자체를 암호화
ⓑ 현재 대부분 브라우저의 표준 (https)
4) Packet Amplification attack
TCP의 연결 과정(3-way handshake)의 취약점일 이용한 공격
TCP 3-way handshake
A => B : SYN; my number is
A <= B : ACK; now X+1 SYN; my number is Y
A => B : ACK; now Y+1
① SYN flooding
- 공격자가 서버에 연결 요청 (SYN 패킷) 전송
- 서버는 공격자에 응답 (ACK, SYN 패킷)을 보냄
- 공격자는 응답하지 않으므로, 서버는 Queue에 일단 저장
- 공격자는 또다른 연결 요청 (SYN 패킷)을 전송
=> 위 과정을 반복하게 되면 서버의 큐는 가득차고, 정상적인 연결 요청을 수립하지 못하게 됨
② SYN reflection
: 소스 IP 주소를 위조하여(공격 대상의 IP) DNS 서버에 대량의 작은 DNS 쿼리를 보내고, DNS 서버가 이에 대한 응답으로써 큰 크기의 DNS 응답을 생성하여 공격 대상에게 전송하는 공격
