네트워크 계층 기반의 주요 공격 유형

네트워크 계층 기반의 주요 공격 유형

 패킷

네트워크 계층의 전송 단위로 패킷 단위를 처리하는 대표적인 장치로는 라우터 등이 있다.

 

네트워크 계층에서 나타나는 공격

 IP스푸핑 공격에 기반한 랜드LAND 공격과 티얼드롭 Teardrop 공격 그리고 ICMP Flooding공격과 ICMP Smurfing 공격 등

 

→ IP스푸핑 공격

   : 출발지 IP주소를 조작해 자신을 은폐하는 공격

 

→ LAND 공격

   : IP 스푸핑 공격을 변형한 기법으로 출발지 IP주소를 아래 그림과 같이 목적지 IP주소와 동일하게 설정한 뒤 ICMP 요청 패킷을       공격 대상자에게 전송한다.

   : 공격 대상자는 ICMP응답 패킷을 전송하기 위해 출발지 IP주소를 참조하는데 이 경우 목적지 IP주고와 동일하기 때문에

     ICMP 응답 패킷을 자신에게 보낸다.

목적지 IP 주소 192.168.10.215

출발지 IP 주소 192.168.10.215

- 위와 같은 랜드 공격은 출발지 IP 주소와 목적지 IP 주소를 동이랗게 설정하여 공격 대상자에게 인위적인 과부하를 유발하게 하는 네트워크 계층의 플러딩 공격에 해당한다.

- 랜드 공격을 전송 계층까지 확장해 사용하는 경우에는 출발지 포트 번호/IP주소를 목적지 포트 번호/IP 주소로 설정한다.

- 현재 운영 체제에서는 출발지 IP 주소와 목적지 IP 주소가 동일할 경우에는 커널 차원에서 해당 패킷을 차단해 방어한다.

 

→ 티얼드롭 공격(Teardrop 공격)

   - 네트워크 계층에서 일어나는 대표적인 공격

   - 패킷 분할 시 공격자는 플래그먼트 오프셋의 정보를 아래 표와 같이 공격 대상자에게 전송한다.

ID 항목	플래그 항목(D 비트)	플래그 항목(M 비트)	플래그먼트 오프셋
1234	0	1	0
1234	0	1	1,500
1234	0	1	1,500
1234	0	0	4,500

  - 위의 표 같은 경우 공격 대상자 운영체제에서 2번째 분할 패킷까지는 정상적으로 재조립을 수행한다.

    문제는 3번째 분할 패킷이다.

• 3번째 분할 패킷의 플래그먼트 오프셋 정보는 2번째 분할 패킷의 플래그먼트 오프셋 정보와 동일하기 때문에 3번째 분할 패킷을 2번째 분할 패킷에 덮어 써 버린다.
• 4번째 분할 패킷이 도달하더라도 운영체제에서는 3번째 분할 패킷의 플래그먼트 오프셋 정보인 3000을 계속 검색하기만 한다. 이 과정에서 과부하가 일어난다.

  - 현재 대부분의 운영 체제에서는 플래그먼트 오프셋 정보가 불일치할 경우 분할 패킷 전체를 폐기함으로써 티얼드롭 공격을 원천적으로 차단시킨다. 

 

 

ICMP 플러딩 공격

  - ICMP 플러딩 공격은 죽음의 핑 공격이라고도 불린다. 

  - ICMP 플러딩 공격은 보통 ICMP 페이로드 크기를 65,000 바이트 이상으로 설정하고 IP 스푸핑 공격을 적용해 출발지 IP주소를 매 순간 임의로 변경해 전송한다. 수신 측에서는 매번 분할 패킷을 재조립한 뒤 ICMP 응답 패킷을 전송해야 하기 때문에 그만큼 과부하가 클 수 밖에 없다.

 

< BackBox을 이용한 ICMP 플러딩 공격 실습 >

hping3도구를 이용해 랜드 공격과 ICMP플러딩 공격을 동시에 적용한 형태이다.

구분	명령어
비활성 전환	echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
활성 전환	echo 0 > /proc/sys/net/piv4/icmp_echo_ignore_all

28headers + 65000 data bytes 부분은 65000바이트의 ICMP 페이로드를 생성한 뒤 8 바이트의 ICMP 헤더와 20 바이트의 IP 헤더를 붙였다는 내용을 의미한다.

 

 

ICMP 스머핑 공격

  - ICMP 플러딩 공격의 변형 기법

  - 아래와 같이 공격 대상자의 IP주소를 출발지 IP 주소로 설정하고 목적지 IP주소를 브로드캐스트 IP 주소로 설정한다.

목적지 IP 주소 192.168.10.255

출발지 IP 주소 192.168.10.215

  - 목적지 IP 주소가 192.168.10.255번 이기 때문에 공격자가 전송한 ICMP 요청 패킷은 192.168.10.0/24 대역에 있는 모든 호스트에게 전해진다.

  - ICMP 요청을 받은 호스트는 출발지 IP 주소를 참조해 ICMP 응답 패킷을 전송하면 공격 대상자는 어느 순간 192.168.10.0/24 대역에 있는 호스트로부터 ICMP 응답 패킷을 받기 때문에 과부하가 일어난다.

  - ICMP 스머핑 공격 시에도 ICMP 플러딩 공격처럼 ICMP 페이로드 크기를 65,000 바이트 이상으로 설정해 보낸다.

 

 

<BackBox를 이용한 ICMP 스머핑 공격 실습 >

 

구분	명령어
비활성 전환	echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
활성 전환	echo 0 > /proc/sys/net/piv4/icmp_echo_ignore_broadcasts

관리자 계정을 이용해 데비안/우분투 운영 체제에서는 위와 가티 브로드캐스트 IP주소를 비활성화할 수 있다.

대부분의 운영 체제에서는 기본적으로 브로드캐스트 IP주소가 비활성 상태이다.

 

---

< 참고 자료 >

우분투 리눅스 기반의 IDS/IPS 설치와 운영 - 오동진 추다영 ,저