728x90
DoS(Denial of Service) 공격
DoS 공격
- 공격 대상이 수용할 수 있는 능력 이상의 정보를 제공하거나 사용자 또는 네트워크 용량을 초과시켜 정상적으로 작동하지 못하게 하는 공격
DoS 공격의 특징
- 파괴 공격 : 디스크, 데이터, 시스템 파괴
- 시스템 자원 고갈 공격 : CPU, 메모리, 디스크의 과다한 사용으로 인한 부하
- 네트워크 자원 고갈 공격 : 쓰레기 데이터로 네트워크 대역폭의 고갈
Ping of Death
- Ping을 이용하여 ICMP Packet의 크기를 정상보다 아주 크게 만듦
- 크게 만들어진 Packet은 네트워크를 통해 라우팅되어 공격 네트워크에 도달하는 동안 *아주 작은 조각으로 쪼개짐
- 공격 대상은 조각화된 패킷을 모두 처리해야 하므로 정상적인 Ping보다 부하가 훨씬 많이 걸림
*패킷을 작게 분할하는 이유
- 네트워크마다 최대로 전송이 가능한 패킷의 길이가 다름, 최대 전송 가능한 Packet의 길이가 작은 네트워크를 지나면 데이터는 더 작게 분할됨
- 한번 분할된 Packet은 다시 커지지 않는다.
- 패킷을 늘리려면 패킷을 저장 후 다음에 들어온 Packet Data를 재조합해야하는데 Router 성능에 치명적일 정도로 높은 부하를 야기한다.
Ping of Death 공격 보안 대책
- 반복적으로 들어오는 일정 수 이상의 ICMP Packet을 무시하도록 설정
- 가장 일반적인 대책은 패치
SYN Flooding
- 서버별로 한정되어 있는 접속 가능 공간에 존재하지 않는 클라이언트가 접속한 것처럼 속여 다른 사용자가 서비스 제공을 받지 못하게 하는것
- 정상 또는 비정상적인 TCP Flag가 설정된 패킷을 전송하여 장비의 자원을 고갈시키는게 목적
- 공격자는 많은 숫자의 SYN Packet을 Server에 보낸다.
- Server는 받은 SYN Packet에 대한
- SYN/ACK Packet을 각 Clinet로 보낸다.
- Server는 자신이 보낸 SYN/ACK Packet에 대한 ACK Packet을 받지 못함
- 서버는 세션의 연결을 기다리게 되고 공격 성공
SYN Flooding 보안 대책
- 시스템 패치 설치
- 침입 탐지 시스템(IDS)이나 침입 차단 시스템(IPS)을 설치
- 짧은 시간 안에 똑같은 형태의 Packet을 보내는 형태의 공격을 인지했을 경우, 그에 해당하는 IP Address 대역의 접속을 금지하거나 방화벽 또는 Router에서 해당 접속을 금지시킨다.
- Server -> Client로 보내는 SYN+ACK Packet에 암호화 기술을 이용해서 인증 정보가 담긴 시컨스 넘버를 생성하여 Client에 보내는 SYN_Cookie 이용
Boink, Nonk, Teardrop
- Bonk : 처음 패킷을 1번으로 보낸 후 두 번째와 세 번째 Packet의 시퀀스 넘버를 모두 1번으로 조작해서 보냄
- Boink : 처음 패킷을 1번으로 보낸 후 두 번째 Packet은 101번, 세 번째 Packet은 201번 등으로 정상적으로 보내다가 중간에서 일정한 시퀀스 넘버를 보낸다.
- Teardrop : 시퀀스 넘버를 일정하게 바꾸는 것을 넘어 중첩과 빈 공간을 만들어 시퀀스 넘버가 좀 더 복잡해지도록 섞음
Boink, Bonk, Teardrop 보안 대책
- 시스템 패치 설치
- 침입 탐지 시스템(IDS)이나 침입 차단 시스템(IPS)을 설치
- 짧은 시간 안에 똑같은 형태의 Packet을 보내는 형태의 공격을 인지했을 경우, 그에 해당하는 IP Address 대역의 접속을 금지하거나 방화벽 또는 Router에서 해당 접속을 금지시킨다.
- Server -> Client로 보내는 SYN+ACK Packet에 암호화 기술을 이용해서 인증 정보가 담긴 시컨스 넘버를 생성하여 Client에 보내는 SYN_Cookie 이용
- 반복적으로 들어오는 일정 수 이상의 ICMP Packet을 무시하도록 설정
SYN Flooding / Ping of Death 공격의 대응책과 같다.
Land
- 시스템을 나쁜 상태에 빠지게 하는 것
- Packet을 전송할 때 출발지 IP Address와 목적지 IP Address의 값을 똑같이 만들어서 공격대상에게 보냄
- Land 공격겁은 동시 사용자 수를 점유하여 CPU 부하까지 올린다.
Land 보안 대책
- Router나 방화벽에서 출발지 IP Address가 내부 IP Address와 동일한 Packet 차단
Smurf
- ICMP Request를 받게 된 네트워크는 ICMP Request Packet의 위조된 시작 IP Address로 ICMP Reply를 다시 보냄
- 공격 대상은 수많은 ICMP Reply를 받게 되고 Ping of Death처럼 수많은 Packet이 시스템을 과부하 상태로 만든다.
Smurf 보안 대책
- 다이렉트 브로드캐스트를 막음
7계층 DoS 공격
- 최근 DoS 공격은 웹 어플리케이션 등을 대상으로 공격 방향 전환
7계층 공격 주요 특징
- 정상적인 TCP/UDP 연결 기반의 공격, 변조 IP가 아닌 정상 IP 이용한 접속 요청 후 공격이 진행됨, 정상 사용자의 트래픽과 구분하기 어려움
- 소량의 트래픽을 이용한 공격, 오랜 시간에 걸쳐 서서히 공격이 진행되어 탐지가 어려움
- 특정 서비스의 추약점을 이용하여 공격
7계층 공격 유형
- HTTP HET Flooding
- HTTP CC
- 동적 HTTP Tequest Flooding
- Slow HTTP Header DoS
- Slow HTTP POST
- Mail Bomb
'모의해킹 > 이론' 카테고리의 다른 글
[모의해킹] SQL Injection이란? (0) | 2024.08.14 |
---|