[네트워크] ICMP 취약점을 이용한 공격방법

1. ICMP Flooding

 

  스머프 공격(Smurf attack)이라고도 부르는 이 공격은 공공 인터넷 상에서의 Flood DoS 공격의 한 변종이다. 네트워크 장치 설정이 잘못되었을 경우, 어떤 특정 전산망의 방송 주소로 전달된 패킷이 망 상의 어떤 특정 컴퓨터가 아니라 망의 모든 컴퓨터에 전달될 수 있다는 점을 이용한다. 전산망은 이 경우 스머프 증폭기의 역할을 한다. 이러한 공격에서 가해자는 대량의 IP 패킷을 보내면서 그 발신 주소를 표적 주소로 한다. 전산망의 대역폭이 신속히 소진되어 정상 패킷이 목적지에 도달하지 못하게 된다. 인터넷 상의 DoS 공격에 대항하기 위해 스머프 증폭기 등록처와 같은 서비스에서 이용될 소지가 있는 잘못 설정된 전산망을 기록, 대응할 수 있도록 하고 있다. ICMP Flooding 공격 방법에는 Ping Flooding과 SYN Flooding 등이 있다.

 

1) Ping Flooding

 

  대상 시스템에 막대한 양의 ICMP 에코 요청 패킷(ping 패킷)을 보내는 방법이다. 유닉스 계열의 시스템에서는 ping 명령을 이용하며, ping 응답을 기다리지 않고 되도록 빨리 ICMP 패킷을 보내는 ping 옵션을 활용하는 것이 가장 효율적인 방법이다.

  대상 시스템에 부하를 일으키기 위해서는 ping을 보내는 쪽의 네트워크 대역폭이 대상 시스템이 확보한 네트워크 대역폭보다 더 크면 된다.

 

2) SYN Flooding

 

  막대한 양의 TCP SYN 패킷을 대상 시스템으로 보내서 시스템을 마비시키는 공격 방법이다.

  TCP는 연결을 맺을 때 3-way handshake를 시도한다. SYN 패킷에는 발신자의 IP 주소가 포함되어 있는데, 공격자는 SYN 패킷의 발신자 IP 주소를 잘못된 주소로 변조하여 대상 시스템에 보낸다. 대상 시스템은 수신한 SYN 패킷을 처리하기 위한 프로세스를 생성하고 SYN-ACK 패킷을 발신자에게 보낸다. 그런 후 생성된 프로세스는 발신자가 잘 수신했는지 ACK 패킷 응답을 기다린다. 하지만 SYN 패킷에 있는 발신자의 IP 주소는 잘못된 주소이므로 ACK 응답이 오지 않는다. 공격자가 IP 주소가 변조된 SYN 패킷을 계속 보내면 대상 시스템은 또 다른 프로세스를 생성하고 SYN-ACK을 보낸 후 ACK 패킷 응답을 기다리는 것을 반복한다. 

2. Ping of Death

 

  Ping of Death 란 ICMP 패킷을 정상적인 크기(TCP/IP 명세가 허용하는 최대 크기)인 65535 바이트 보다 크게 만들어 전송하는 DoS 공격의 일종이다. (Windows 에서 전송할 수 있는 최대 크기는 65500, Lunux 에서는 65507 이다.)

 

  정상적인 ping 패킷은 56바이트이며, IP 헤더로 사용되는 경우에는 84바이트 크기이다. 그런데 일부 시스템은 정상 크기보다 큰 ping 패킷을 수신했을 때 제대로 처리할 수 없게 설계된 것도 있다. 이런 시스템에 정상 범위보다 큰 ping 패킷을 전송하게 되면 시스템 내에서 비정상적인 ping 패킷으로 조합되고 이로 인해 버퍼 오버플로우가 발생하여 시스템이 비정상적이 될 수 있으며, 이 때 공격자들은 악성코드를 주입시킬 수 있는 기회를 포착한다.

 

  Ping of Death 는 TCP/IP 명세보다 큰 크기로 반복해서 ping을 보내어 대상 시스템을 그로기 상태에 빠뜨리기 때문에 Ping of Death 라고 불린다.

출처

 

https://ko.wikipedia.org/wiki/%EC%84%9C%EB%B9%84%EC%8A%A4_%EA%B1%B0%EB%B6%80

_%EA%B3%B5%EA%B2%A9

 

http://blog.naver.com/PostView.nhn?blogId=infopub&logNo=220774512335&parentCategoryNo=43&categoryNo=

&viewDate=&isShowPopularPosts=false&from=postView

 

http://blog.daum.net/tlos6733/39