정보보호개론 10주차

ICMP(The Internet Control Message Protocol) : 네트워크 상에 현재 오류가 없는지 진단한거나 제어하는 목적으로 사용

-> IP 프로토콜의 약점 보완 목적

- ICMP의 사용 목적 1 : 네트워크 진단

-> 네트워크 연결 여부 확인 : ping 또는 traceroute

- ICMP 사용 목적 2 : 네트워크 흐름 통제

-> 게이트웨이가 2개인 네트워크 환경에서 게이트웨이의 IP 메세지 재전송

 

ICMP 스푸핑

1. ICMP 리다이렉트 보내기 (여러 번 반복 실행 하여 어쩌다 한 번 걸림)

2. 단말 A에서 보낸 메세지는 먼저 공격자 I에게 전송 

3. 스니핑 성공을 위해 기존 게이트웨이로 전송

 

DNS(Domain Name Service 도메인 네임 서비스) : UDP 통신 사용

- 접속하려는 URL 주소 이름으로 IP 주소를 구하는 서비스

 

DNS 스푸핑

- 공격 대상에게 전달되는 IP를 변조하거나 DNS 서버에 변조된 IP 주소를 저장되게 해서 공격 대상이 의도하지 않은 주소로 접속하게 하는 공격 방법

DNS 스푸핑 공격 방법 1 : 스니핑을 이용한 공격

- DNS 질의(www.google.co.kr같은 URL)를 스니핑

- 변조된 DNS 응답(74.125.235.184 같은 주소)의 선택

-> UDP 방식으로 DNS 응답이 전달되어 먼저 도착한 메세지가 선택 이후 도착한 메시지 무시

-> 공격자가 DNS서버보다 조금 더 빠르게 질의를 받아 먼저 응답을 보냄(공격자가 더 가까이 있기 때문)

DNS 스푸핑 공격 방법 2 : DNS 캐시 포이즈닝 - DNS 서버의 IP 주소 변조

- DNS 서버의 동작 방식은 순환 질의(Recursive Query)방식

-> 계층적으로 도메인의 주소를 질의하는 방식

-> 구해진 IP주소는 DNS 서버에 캐시(Cache)로 저장

- DNS 서버에 대한 스푸핑 공격 (내부망)

- 랜덤 ID 생성 기반의 DNS 캐시 포이즈닝

-> 대규모 DNS 질의를 보냄 서로 다른(랜덤) ID 포함

-> 대규모 DNS 응답을 보냄 (여러 개의 서로 다른 ID 값을 랜덤하게 생성하여 DNS 질의와 응답을 동시에 보냄)

=> DNS서버와 공인 네임 서버가 공유하는 ID 값을 맞추기 위해

-> 일단 ID 값이 같으면 공격자가 보낸 DNS 응답이 공인 네임 서버에서 보내는 DNS 응답 대신 선택됨(공격자가 가까움)

 

생일 공격 기법 : 우리가 예상하는 것보다 실제 확률이 높다

- DNS 질의에 사용되는 ID 크기는 2바이트(16비트)

-> 0~65,535사이 값

-> 약 750정도 이상의 DNS 응답 ID를 생성하면 1개 정도 성공할 확률이 높다

 

DNS 캐시 포이즈닝 대비책

- DNS 서버 소프트웨어를 최신 버전으로 업데이트

- 외부에서 요청되는 DNS 질의에 대해서 DNS 서버가 순환 질의를 하지 않도록 설정

- DNSSEC(Domain Name System Extensions) 사용

 

서비스 거부(DoS : Denial Of Service)공격

- 서비스가 정상적으로 제공되지 못하게 방해하는 공격

- 도스 공격 or 디오에스 공격

- 공격 목적 : 가용성을 떨어트리는 것

-> 대규모 가짜 요청을 만들어 공격 대상자 시스템에 과부하를 일으킴

분산 서비스 거부(DDos : Distributed Denial Of Service) : 공격자가 여러 곳에서 동시에 서비스 거부 공격을 하는 방법

 

Dos 공격과 DDos 공격에 사용되는 공격 유형

서비스 거부 공격은 명백한 범법 행위다

 

TCP SYN 플러딩 공격 - 서비스 거부 공격

- SYN 패킷을 대량으로 보내 웹 서버의 네트워크 대역폭을 낭비하여 다른 사용자들이 일반 사용자들이 아예 웹 서버로 접속을 못하게 하는 공격 방법

-> SYN패킷을 넘치게하는 공격 - 신 플러딩(SYN Flooding)이라고 함

- TCP의 3-웨이 핸드셰이킹(3-way Handshaking)의 특징을 악용하는 방법

-> 처음 두 단계가 이루어진 다음 송신자가 세 번째 단계인 ACK패킷을 보내지 않음

-> 수신자는 송신자가 ACK 패킷을 보낼 때 까지 기다림 (운영체제에서 설정된 최대 기다리는 시간 10초~1분)

=> n명이 사용자에게 서비스하는 서버로 공격자가 n개 이상의 SYN 패킷을 동시에 전송

- 대기 큐에서 지워지는 속도보다 채워지는 속도가 더 빠르다.

대응 방안

- 대기 큐의 크기 증가(서버 가용성 증가) -> 자원 증가의 한계 존재

- 최대 접속 대기 시간 감소 : ACK 패킷이 2초 내에 안오면 강제 접속 종료

- 보안 솔루션 적용

 

ICMP 플러딩 공격 - 스머프 공격

- 대량의 ICMP echo 응답을 만들어 공격

-> 브로드캐스팅 방식으로 동작하는 ICMP 프로토콜의 특성을 악용

- ICMP echo의 출발 IP 변조(IP를 공격 대상자 IP로)

-> 에이전트는 ICMP echo요청을 공격자에게 받고 공격 대상자에게 응답을 보냄

공격 단계

1. 공격자에 의한 브로드캐스트

2. 에이전트에 의한 공격 실행

용어:

서비스 거부 공격의 수단으로 사용되는 단말

1. 에이전트(Agent)

2. 슬레이브(Slave)

3. 봇(Bot)

4. 좀비(Zombie)

 

DDos 공격의 용어

1. 공격자

2. 공격 대상자

3. 에이전트 : 공격 대상자에게 실제 공격하는 주체 (슬레이브, 봇 혹은 좀비)

4. 마스터 : 중간 증폭기 역할 (전달 공격자로부터 공격 명령을 받아 에이전트로 전달)

 

IP 플러딩 LAND, Teardrop

IP 플러딩 : 서비스 거부 공격을 하기 위해 공격자가 IP 관련 내용을 변조하는 공격 방식

- LAND 공격 : 출발지 IP 주소를 변조하는 공격

- Teardrop 공격 : IP 패킷의 순서를 변조하는 공격

랜드(LAND: Local Area Network Denial) 공격

- 1997년 발견, 패킷을 보낼 때 출발지 IP주소와 도착지 IP주소를 같게 하여 보냄

-> 내보낸 메세지가 다시 자기 자신으로 돌아와서 무한 루프에 빠짐

대처 방안

- 윈도우 서버 2003, 윈도우 XP SP2 이후 버전 OS는 패치가 적용 되어있다.

- 방화벽 및 기타 네트워크 보안 솔루션 : 출발지와 도착지 IP가 같은 경우에 대해 예외처리 적용 

티어드랍(Teardrop)

- IP 패킷(IP Fragments)의 헤더를 서로 중첩되게 조작하여, IP패킷을 재조합 과정에서 오류를 발생하도록 하는 공격

-> 네트워크 연결이 끊어지거나 블루 스크린 등 시스템 자체가 중단되기도 함

대처 방안

- 윈도우 XP 이상의 OS에서는 이러한 티어드랍 공격에 대한 패치가 포함

-> 시퀀스 번호에 오류가 있는 IP 패킷 무시

 

HTTP GET 플러딩 공격

- 특정 웹 페이지를 동시에 여러 에이전트가 요청하여 웹 서버가 감당하지 못하게 만들어 서비스 거부를 만드는 공격

-> 특정 서버를 대상으로 하여 특정 서버가 제공하는 서비스만을 중단

-> 대처가 어려움 : 정상적인 HTTP 요청 -> 단순히 요청 자체를 거부해서는 안 된다.

대응 방안 : 인계치 기반의 방어 기법

- 특정 IP에서 임계치 값을 넘어서 대량의 HTTP GET 요청이 지속 -> 해당 IP에서 전달되는 HTTP GET 무시

 

HTTP CC공격과 동적 HTTP 요청 공격

HTTP CC : HTTP 헤더에 CC 옵션을 변경하여 더 많은 부하 유발

동적 HTTP 요청 공격 : 지속적으로 요청하는 웹 페이지 주소를 변경하여 차단 우회 시도

 

HTTP CC 공격

- 더 많은 부하를 발생시키기 위해 HTTP 헤더의 CC(Cache-Control) 옵션 값 사용

-> (HTTP 1.1표준) 웹 서버에서 캐시기능을 사용하지 않게 만듦

 

동적 HTTP 요청 공격

- 요청되는 웹 페이지 주소가 동적으로 바뀌는 공격

- 매번 요청되는 웹 URL 주소가 변경 -> DDos공격인지 판단 어려움

- 웹 페이지 주소를 기반으로 임계치를 적용하는 것이 어렵다.

- 단, 출발지 IP 주소는 동일

=> 출발지 IP 주소 기반의 임계치 기반의 차단 정책

-> 특정 IP가 짧은 시간 내에 많은 요청을 할 경우 차단