네트워크 기반 공격

 

🥞서비스 거부 공격(Dos)

1. TCP SYN Flooding Attack

3way handshake 과정에서 **Half-Open 연결 시도가 가능하는 취약점을 이용한 공격

=> 외부로부터 접속 요청을 더 이상 받아들일 수 없게 함

과정)

공격자가 다수의 syn 보냄 -> 피해자는 syn/ack를 공격자에게 보냄

-> 공격자는 ack 안보냄 -> 피해 시스템은 일정 시간동안 기다림

**Half-Open: 상대에게 알리지 않은채 연결을 중지할 때 반개방 연결 상태가 발생함

                    그 장비는 여전히 established(응답 대기상태) 상태에 머물러있음

보안대책)

1. 방화벽이나 ddos 대응장비로 동일 클라이언트 IP의 연결(syn) 요청에 대한 임계치 설정

2. syn 패킷 받고 syn cookie만 보내놓고 세션을 닫아버리기=> 세션을 열고 기다릴 필요 x

3. First SYN Drop 설정: 연결 요청 패킷을 보내는 클라이언트가 실제로 존재하냐?

클라이언트로부터 전송된 첫번째 syn은 드랍하여 재요청 패킷이 도착하는지 확인해 출발지 IP가

위조되었는지 판단 => 대부분 drop 시에 재전송 안하기 때문에

4. 연결 테이블 엔트리 선택적 삭제 기법: 연결테이블이 오버플로우될 때 일부 엔트리를 삭제함으로써

새로운 syn 패킷을 처리할 수 있게 만든다

5. 연결 테이블 확장: 연결테이블에 할당된 메모리를 확장함으로써 syn 플러딩에 오래 버틸 수 있게 함

but 근본적인 해결책은 아니긴하다

 

2. SMURF Attack

위장+icmp 특징 이용한 공격

과정)

공격자는 피해자 서버 IP주소로 위장-> ICMP 를 브로드캐스트로 다수의 시스템에 전송

-> 그 다수의 시스템들은 ICMP 패킷을 피해자 서버에게 전송

-> 공격자 서버가 다수의 ICMP Echo 패킷을 수신하게되어 마비됨

보안대책)

1. 라우터에서 다른 네트워크로부터 자신의 네트워크로 들어오는 IP directed broadcast 패킷을 막도록 설정

2. 호스트 IP는 broad cast 주소로 전송된 ICMP 패킷에 대해 응답하지 않도록 시스템 설정

3. 동일한 ICMP Echo Reply 패킷이 다량으로 발생한다면 해당 패킷들을 모두 차단

 

3. LAND Attack

출발지 IP == 목적지 IP

보안대책)

자신의 시스템 주소와 동일한 소스 주소를 가진 외부 패킷을 필터링 한다

 

4. Ping of Death

과정)

ping을 이용하여 ICMP 패킷을 아주 크게 만듦 -> 공격 네트워크에 도달하는 동안 잘게잘게 쪼개짐

-> 조각화된 패킷을 모두 처리하다보니 부하 발생

보안대책)

분할이 일어난 ICMP 패킷을 탐지

 

5. Teardrop Attack

과정)

네트워크 상에서 IP가 정상적으로 패킷을 전송하면 **IP 단편화 발생

**IP 단편화: 상대적으로 큰 데이터그램을 더 작은 정보 패킷으로 분리하는 과정

수신자는 재조립을 통해단편화된 데이터 복구

재조립시에 명확한 조립을 위해 오프셋이란 값을 더함

이 값을 단편화 간에 중복되도록 고의적으로 수정하거나 정상적인 값보다 큰 값을 더해

범위를 넘어가게 함=> 오버플로우 발생

따라서 시스템 마비

보안대책)

IDS, FW 우회 가능, 변종 많음으로 완벽한 차단은 어렵다 시스템 운영체제 패치만이 답

 

inconsistent fragmentation(일관성 없는 분열) Attcak

6. Bonk

모든 패킷의 순서번호를 모두 1번으로 조작

 

7. Boink

Bonk 수정판

처음 패킷은 1번, 다음 패킷은 100번 그 다음은 200이렇게 보내다가 갑자기 21번 이렇게

규칙과 일관성 없게 보내버리는 공격

 

🥨DDOS 공격

※ 구성요소공격자- 공격자: 해커 컴퓨터- 마스터: 공격자에게 명령을 받은 시스템, 에이전트들 관리 / 핸들러: 마스터의 프로그램- 에이전트: 직접적인 공격을 가하는 시스템(좀비 PC)          / 데몬 프로그램: 에이전트의 프로그램- 표적

마스터					핸들러
에이전트1	에이전트2	에이전트3	에이전트4	에이전트5	데몬프로그램

※ 전통적인 DDOS 공격

1. 트리누 공격

미네소타 대학 사고의 주범

많은 호스트로부터 통합된 UDP flooding 서비스 공격을 유발하는데 사용하는 도구

2. TFN 공격

트리누와 유사

UDP flooding 뿐만 아니라 TCP SYN flooing 공격, ICMP echo 요청 공격, SUMRF 까지 가능

3. Stacheldraht 공격

독일어로 철조망이란 뜻

트리누와 TFN을 참고하여 제작

4. TNF2K 공격

TFN의 발전

통신에 특정 포트가 사용 x, 임의로 사용됨

암호화 되어 있음

UDP, TCP, ICMP 복합적 사용, 

지정한 TCP 포트에 백도어 실행 가능

 

🍄DDOS 공격 유형별 분류

대역폭 공격	자원 소진 공격	웹/ DB 부하 공격
높은 bps	높은 PPS 높은 커넥션	높은 pps 높은 커넥션
UDP Flooding  ICMP Flooing	TCP SYN  ACK Flooding	GET Flooding POST Flooding
UDP, ICMP, TCP	TCP	HTTP, HTTPS

1. 대역폭 공격 

가. UDP Flooding

출발지 IP를 위/변조 한 후 UDP프로토콜로 다량의 데이터를 피해 시스템에 전달

공격을 수행하는 감염된 기기가 많을수록 위험도 증가

대상서버에서 UDP port를 사용하지 않아도 공격 가능

나. ICMP Flooidng

ICMP 응답 패킷을 이용해 피해 서버로 대량의 ICMP 패킷을 생성해 전달

다. DRDoS

분산 반사 서비스 거부 공격

분산 서비스 거부 공격보다 발전됨

 

※UDP 서비스를 이용한 DRDoS 공격 유형

- DNS 증폭 DRDoS 공격

- NTP 증폭 DRDoS 공격

- SNMP 증폭 DRDoS 공격

- CHARGEN 증폭 DRDoS 공격

 

※DRDoS 공격 위협 요소

1. 패킷이 전송되는 경로가 무수히 많음

2. 점차 반사 서버를 추가하면서 공격 경로를 끊임없이 변경 가능

3. 공격대상 IP를 근원지의 IP로 위조하여 전송하기 때문에 역추적하기 쉽지 않음

 

※ DRDoS 공격 종류

1. DNS Reflection Attack

공격자가 피해자의 IP로 위장(스푸핑)하여 DNS 서버에 비정상 질의를 요청

요청을 받은 서버는 응답값을 위장한 IP로 전송하여 공격대상의 회선 대역폭 고갈

그 요청이 zone의 모든 정보를 요청하는 ANY Type 쿼리인게 문제

2. NTP Reflection Attack

시간 동기화를 위해 사용되는 NTP서버를 반사서버로 악용

3. CLDAP Reflection Attack

CLDAP란? 디렉터리 연결, 검색, 수정하는 프로토콜

4. SSDP Reflection Attack

SSDP란? 장치를 탐색할 때 주로 사용되는 프로토콜

웹캠, 공유기, 미디어, 스마트 TV, 프린터 등 스마트홈을 구성하는 IOT 기기들에 널리 사용

5. Memcached Reflection Attack

Memcached란? 내부에서 DB 부하 감소 및 응답 속도 증가를 위해 분산된 메모리에 데이터를 캐싱하는 서비스

6. CoAP  Reflection Attack

IoT 기기를 위해 사용

주로 저전력 컴퓨터를 위해 사용

5683포트 사용

 

2. 자원 소진 공격

가. SYN Flooding

SYN Flag만 지속적으로 전달하고 돌아오는 SYN/ACK 패킷에 응답x나. ACK Flooding다. DNS Query Flooding

 

3. 웹/DB 부하 공격가. GET Floodinghttp get 메소드 요청을 통해 웹서버와 DB서버 자원을 소진나. Slowloris Attack오랜 시간 동안 지속적으로 공격

다. RUDY Attack

POST Method☆☆☆를 이용

POST 요청은 전달할 데이터의 크기를 Content-Length 헤더에 삽입하여 보내는데

이 공격은 이 크기를 매우!! 크게!! 해서 장기간에 걸쳐 조금씩 분할해 전달하게 함

그럼 POST데이터가 모두 수신되지 않았다고 판단해서 연결을 계속 유지함

라. Slow read Attack

TCP 통신에서 사용되는 windows size 악용

windows size를 낮게 설정해서 서버에 전달-> 데이터 전송이 완료될 때까지 연결을 유지하게 만들어

-> 커넥션 자원을 고갈시켜버리는 공격

마. GET Flooding with Cache-Control

캐시 옵션을 조작하여 캐싱서버가 아닌 웹서버가 직접 처리하도록 유도해 캐싱서버 기능을 무력화하고

웹서버의 자원을 소진시킴

바. 동적 HTTP Request Flooding 공격

지속적으로 요청 페이지를 변경하여 웹 페이지 요청

사. 해시도스 공격

해시값에 충돌을 발생시켜 정확한 값을 찾기위해 모든 해시테이블을 검사하게해 CPU 자원 소진

아. 헐크도스 공격

웹서버의 가용량(웹서버로 접속할 수 있는 최대 클라이언트 수)를 모두 사용하도록 함

공격대상 URL을 지속적으로 변경하여 DDoS 차단정책을 우회하는 특징

 

🌰DNS 싱크홀

ddos 공격 차단 방법중 하나로감염된 PC에서 특정 주소로 연결을 원할 때 실제 해당 주소로 데이터 전송 x싱크홀 네트워크가 대신 응답하여 패킷이 외부로 전달되지 않게 함

 

🥕네트워크 스캐닝

1. 풋 프린팅: 공격전에 공격대상에 대한 정보 수집(일반적으로 사회공학기법)

2. 스캐닝

3. 목록화: 앞서 수집된 정보를 토대로 지표 작성

 

🥭스캐닝

1. Sweep - TCP, UDP, ICMP

네트워크에 구조를 조사하기 위해 그 네트워크에 존재하는 시스템들이 작동하는지 확인함

2. Open scan: 시스템 자체의 활성화 여부뿐아니라, 해당 포트의 서비스 활성화 여부까지 조사

     2-1. TCP Scan

            2-1-1. TCP Full Open 스캔: 포트가 열려있는 경우, 속도가 느리고 로그를 남김

            2-1-2. TCP Half Open 스캔: 로그를 남기지 않음(공격사실을 완전히 숨길수는 없음)

     2-2. UDP Scan: 비연결 지향 전송 프로토콜, ICMP Port Unreachable 에러 메시지를 통해 포트 활성화 유무 확인

3. 스텔스 스캔

3-1. FIN: 열려있을 땐 응답이 없고, 포트가 닫혀있을 때 RST 패킷이 되돌아옴

3-2. Null: 헤더 내에 플래그 값 설정 x 

3-3. XMAS: 헤더 내에 ACK, FIN, RST, SYN, URG 플래그 모두 넣음

3-4. TCP ACK 스캔: 포트의 오픈 여부 확인 x, 방화벽 필터링 정책을 테스트

3-5. Decoy 스캔: 유인한다는 뜻, 다양한 IP로 스캐너 주소를 위조하여 관리자가 스캔을 누가하는지 알기 어렵게 함