본문 바로가기
모의해킹/이론

[모의해킹] DoS(Denial of Service) 공격에 대하여

by 재현짱 2024. 4. 15.
728x90

DoS(Denial of Service) 공격

 

DoS 공격

  • 공격 대상이 수용할 수 있는 능력 이상의 정보를 제공하거나 사용자 또는 네트워크 용량을 초과시켜 정상적으로 작동하지 못하게 하는 공격

DoS 공격의 특징

  • 파괴 공격 : 디스크, 데이터, 시스템 파괴
  • 시스템 자원 고갈 공격 : CPU, 메모리, 디스크의 과다한 사용으로 인한 부하
  • 네트워크 자원 고갈 공격 : 쓰레기 데이터로 네트워크 대역폭의 고갈

Ping of Death

  • Ping을 이용하여 ICMP Packet의 크기를 정상보다 아주 크게 만듦
  • 크게 만들어진 Packet은 네트워크를 통해 라우팅되어 공격 네트워크에 도달하는 동안 *아주 작은 조각으로 쪼개짐
  • 공격 대상은 조각화된 패킷을 모두 처리해야 하므로 정상적인 Ping보다 부하가 훨씬 많이 걸림

*패킷을 작게 분할하는 이유

  • 네트워크마다 최대로 전송이 가능한 패킷의 길이가 다름, 최대 전송 가능한 Packet의 길이가 작은 네트워크를 지나면 데이터는 더 작게 분할됨
  • 한번 분할된 Packet은 다시 커지지 않는다.
  • 패킷을 늘리려면 패킷을 저장 후 다음에 들어온 Packet Data를 재조합해야하는데 Router 성능에 치명적일 정도로 높은 부하를 야기한다.

Packet 분할

Ping of Death 공격 보안 대책

  • 반복적으로 들어오는 일정 수 이상의 ICMP Packet을 무시하도록 설정
  • 가장 일반적인 대책은 패치

SYN Flooding

  • 서버별로 한정되어 있는 접속 가능 공간에 존재하지 않는 클라이언트가 접속한 것처럼 속여 다른 사용자가 서비스 제공을 받지 못하게 하는것
  • 정상 또는 비정상적인 TCP Flag가 설정된 패킷을 전송하여 장비의 자원을 고갈시키는게 목적

  1. 공격자는 많은 숫자의 SYN Packet을 Server에 보낸다.
  2. Server는 받은 SYN Packet에 대한
  3. SYN/ACK Packet을 각 Clinet로 보낸다.
  4. Server는 자신이 보낸 SYN/ACK Packet에 대한 ACK Packet을 받지 못함
  5. 서버는 세션의 연결을 기다리게 되고 공격 성공

SYN Flooding 보안 대책

  • 시스템 패치 설치
  • 침입 탐지 시스템(IDS)이나 침입 차단 시스템(IPS)을 설치
  • 짧은 시간 안에 똑같은 형태의 Packet을 보내는 형태의 공격을 인지했을 경우, 그에 해당하는 IP Address 대역의 접속을 금지하거나 방화벽 또는 Router에서 해당 접속을 금지시킨다.
  • Server -> Client로 보내는 SYN+ACK Packet에 암호화 기술을 이용해서 인증 정보가 담긴 시컨스 넘버를 생성하여 Client에 보내는 SYN_Cookie 이용

SYN_Cookie

Boink, Nonk, Teardrop

  • Bonk : 처음 패킷을 1번으로 보낸 후 두 번째와 세 번째 Packet의 시퀀스 넘버를 모두 1번으로 조작해서 보냄
  • Boink : 처음 패킷을 1번으로 보낸 후 두 번째 Packet은 101번, 세 번째 Packet은 201번 등으로 정상적으로 보내다가 중간에서 일정한 시퀀스 넘버를 보낸다.
  • Teardrop : 시퀀스 넘버를 일정하게 바꾸는 것을 넘어 중첩과 빈 공간을 만들어 시퀀스 넘버가 좀 더 복잡해지도록 섞음

Teardrop 공격 시 패킷의 배치

Boink, Bonk, Teardrop 보안 대책

  • 시스템 패치 설치
  • 침입 탐지 시스템(IDS)이나 침입 차단 시스템(IPS)을 설치
  • 짧은 시간 안에 똑같은 형태의 Packet을 보내는 형태의 공격을 인지했을 경우, 그에 해당하는 IP Address 대역의 접속을 금지하거나 방화벽 또는 Router에서 해당 접속을 금지시킨다.
  • Server -> Client로 보내는 SYN+ACK Packet에 암호화 기술을 이용해서 인증 정보가 담긴 시컨스 넘버를 생성하여 Client에 보내는 SYN_Cookie 이용
  • 반복적으로 들어오는 일정 수 이상의 ICMP Packet을 무시하도록 설정

SYN Flooding / Ping of Death 공격의 대응책과 같다.

 

Land

  • 시스템을 나쁜 상태에 빠지게 하는 것
  • Packet을 전송할 때 출발지 IP Address와 목적지 IP Address의 값을 똑같이 만들어서 공격대상에게 보냄
  • Land 공격겁은 동시 사용자 수를 점유하여 CPU 부하까지 올린다.

Land 보안 대책

  • Router나 방화벽에서 출발지 IP Address가 내부 IP Address와 동일한 Packet 차단

Smurf

  • ICMP Request를 받게 된 네트워크는 ICMP Request Packet의 위조된 시작 IP Address로 ICMP Reply를 다시 보냄
  • 공격 대상은 수많은 ICMP Reply를 받게 되고 Ping of Death처럼 수많은 Packet이 시스템을 과부하 상태로 만든다.

에이전트에 의한 Smurf 공격의 수행

Smurf 보안 대책

  • 다이렉트 브로드캐스트를 막음

 

7계층 DoS 공격

  • 최근 DoS 공격은 웹 어플리케이션 등을 대상으로 공격 방향 전환

 

7계층 공격 주요 특징

  • 정상적인 TCP/UDP 연결 기반의 공격, 변조 IP가 아닌 정상 IP 이용한 접속 요청 후 공격이 진행됨, 정상 사용자의 트래픽과 구분하기 어려움
  • 소량의 트래픽을 이용한 공격, 오랜 시간에 걸쳐 서서히 공격이 진행되어 탐지가 어려움
  • 특정 서비스의 추약점을 이용하여 공격

7계층 공격 유형

  • HTTP HET Flooding
  • HTTP CC
  • 동적 HTTP Tequest Flooding 
  • Slow HTTP Header DoS
  • Slow HTTP POST
  • Mail Bomb

'모의해킹 > 이론' 카테고리의 다른 글

[모의해킹] SQL Injection이란?  (0) 2024.08.14