syn flooding,icmp land attack,ping of death

여러가지 공격 사례들을 패킷을 통해 알아보장.

syn flooding 

syn flooding이란 3way handshaking의 첫번째 과정인 syn을 단일시간 내에 무수히 보내는 공격이다.

클라이언트가 서버에게 syn을 보내면 서버는 syn+ack를 보내고 ack를 받을 때까지 기다리는 것이 아니라 일정시간 후 ack가 오지 않으면 큐에 연결정보를 저장한다.

큐에 연결정보가 지속적으로 쌓이게 되면 서버의 서비스가 마비된다.

와이어샤크로 패킷을 보자.

tcp.flags == 0x02로 syn 패킷을 검색했더니 위와 같은결과가 나왔다.

먼저  ip.src가 123.123.123.123으로 동일한 곳에서 단일시간 내(5초~6초 사이)에 무수히 많은 syn가 들어왔다.

위와 같은 경우 syn flooding를 확신할 수 있다.

대응방법

1.큐의 사이즈를 늘린다.

2.임계치를 정해 일정량 이상이면 차단한다.

3.첫번째 syn을 drop하여 재요청 여부를 확인해 클라이언트의 존재 여부를 확인한다.

icmp Land Attack

land attack 공격이란 icmp메세지를 서버에 대량으로 전송해 서비스를 마비시키는 공격이다.

특이점은 IP header를 변조해 ip.src와 ip.dst가 동일하다는 점이다. ip.src와 ip.dst를 모두 서버로 설정후 패킷을 보내면 서버는 응답을 보내지만 ip.dst가 자기 자신이기 때문에 응답이 서버 내에서 돌게된다.

와이어샤크로 확인해보자.

ip.src == ip.dst로 필터링을 해봤다.

icmp프로토콜을 사용하고 있다.

대응방법으로는 ip.src == ip.dst 패킷을 삭제하면 된다.

Ping of Death

패킷은 MTU보다 큰 패킷이 오면 fragmentation하고 분할된 정보를 나중에 조립하기 위해 flags와 offset을 가지고 있다.

하지만 매우 큰 사이즈의 패킷을 받게 되면 패킷이 수백개로 fragmentation되어 전송된다.

와이어샤크로 확인해보자.

ip.flags.mf == 0x02로 필터링 하였다.

ip.flags.mf는 flags에 More Fragment가 있다는 것이다.즉, 패킷이 분할되었다는 뜻이다.

Fragmented IP protocol을 사용한다는 것이 보인다.

또한 flags에서 more fragment에 0x02가 있다.

ping of death와 tear drop은 비슷하게 사용된다.

ping of death는 단순히 큰 패킷을 보내 잘게 패킷을 나누어 서비스를 마비시키지만

tear drop은 패킷을 보내고 fragmentation한 후에 재조합 과정의 취약점을 이용한다. fragmentaion된 패킷들은 flag와 offset을 이용해 재조합되는데 이때 offset의 값을 중복되게 하여 재조합이 불가능하게 하는 공격이다.

ping of death대응 방법은 icmp를 차단하는 방법이다.

tear drop 대응 방법은 offset이 잘못된 경우 버리도록 하는 방법이다.