외부 악당에 의해서 ICMP broadcast 응답이 한 대상에 집중포화되다
Smurf Attack
스머프 공격(Smurf Attack) 은
인터넷 제어 메시지 프로토콜(ICMP)이 갖는 특성 중
특정 네트워크 주소로부터 생성된 네트워크 패킷으로 ICMP 핑 메시지를 전송하면
수신된 ICMP Echo Request 에 대하여 ICMP Echo Reply 를 응답한다는 것이 있다.
이를 이용한 서비스 거부(DoS) 공격 행위를 유발 하기위하여
여러 호스트(증폭기)에게
출발지(Source) IP를 희생자(Target) IP로 위조한(IP Spoofing)한
다량의 ICMP Echo Request를 보내면
해당 요청을 수신한 증폭기로부터 특정 공격 대상(희생자)에게
다량의 ICMP Echo Reply가 되돌아가게 한다.
https://en.wikipedia.org/wiki/Smurf_attack
https://www.imperva.com/learn/ddos/smurf-attack-ddos/
https://usa.kaspersky.com/resource-center/definitions/what-is-a-smurf-attack
https://www.cloudflare.com/learning/ddos/smurf-ddos-attack/
https://security.radware.com/ddos-knowledge-center/ddospedia/smurf-attack/
인터넷 프로토콜(IP) 브로드 캐스트나 증폭 네트워크 등
기타 인터넷 운용 측면을 이용한다.
'스머핑'이라는 프로그램을 사용하여 네트워크를 공격하는데,
스머핑은
IP와 인터넷 제어 메시지 프로토콜(ICMP)의 특성을
이용한다고 알려져 있다.
스머핑 프로그램은
마치 다른 네트워크 주소(이것을 스머핑 주소라고 한다)로부터 생성된 것처럼 보이는 네트워크 패킷을 만들어서,
주어진 네트워크 내의 모든 IP 주소들, 즉 IP 브로드캐스트 주소로 ICMP 핑 메시지를 보낸다.
이 핑 메시지에 대한 응답은 스머핑 주소로 보내지는데,
엄청난 양의 핑과 그에 대응한 에코 메시지로 인해
네트워크는 실시간 트래픽을 처리할 수 없을 만큼 많은 정보로 넘쳐 흐르게 된다.
| Attacker | ICMP Echo Request | Amplifier(Bounce) Network | ICMP Echo Reply | Target |
| ➡ | ➡ ➡ ➡ |
➡⬆⬇ ➡⬆⬇ ➡⬆⬇ |
||
| | | ➡ ➡ ➡ |
➡ ➡ ➡ |
➡⬆ ➡⬆ ➡⬆ |
| Smurf Attack | ||||
예를들어
희생자(Target) IP로 출발지(Source) 주소를 위조한
대량의 ICMP Echo Request 메시지를 브로드캐스트(Broadcast) 한 상황에서,
Wireshark를 통해 패킷을 캡처하여
공격자 호스트 관점에서 봤을 경우
브로드캐스트 주소(192.168.56.255)에게
희생자 주소(10.10.10.20)로 위조된 대량의 ICMP Echo Request 메시지가 전송됨을 확인할 수 있다.
희생자 호스트 관점에서 봤을 경우
192.168.56.15, 192.168.56.20, 192.168.56.37, 192.168.56.40 등
브로드캐스트 주소(192.168.56.255)의 다양한 호스트로부터 희생자 주소(192.168.57.20)으로
ICMP Echo Reply 메시지가 수신되고 있음을 확인할 수 있다.
스머프 공격의 특성상
공격이 시각되면
단시간에 다수의 ICMP Echo Reply 패킷을 희생자(Target)에게 전송한다.
스머핑 공격을 무력화 시키는 방법은
공격받는 쪽과 각 네트워크 라우터(호스트)에서 진행 할 수 있다.
공격받는 쪽에서는
침입차단 시스템을 통한 패킷 필터링(Ingress Filtering)으로서
Echo Reply message의 rate-limit을 설정하여
한꺼번에 동일한 ICMP Echo Reply message가 들어오는 것을 막는다.
각 네트워크 라우터(호스트)에서는
증폭 네트워크로 사용되는 것(중간 매개지로 쓰이는 것)을 막기 위해서
IP Broadcast 패킷에 응답하지 않도록
IP 브로드캐스트 주소로 전송된 ICMP Echo Request 메시지(Spoof 된 패킷)을
수신 할 수 없게(사용 및 응답하지 않게) 시스템에서 미리 차단 설정해 놓는다.
이러한 설정을 해둔 호스트는
다른 네트워크로부터 자신의 네트워크로 들어오는(IP브로드캐스트로 전송된)
Directed Broadcast 패킷을 허용하지않도록(Disable) 라우터를 설정함으로써
해당 ICMP패킷에 대해 응답하지 않게하여 해결할 수 있다.
라우터에서 direct broadcast 를 차단하는 명령어는 다음과 같다.
(config-id)# no ip directed-broadcast
유닉스 명령어는 다음과 같다.
ndd -set /dev/ip ip_forward_directed_broadcasts 0
댓글 0
| 번호 | 제목 | 글쓴이 | 날짜 | 조회 수 |
|---|---|---|---|---|
| 23 | 새로 출시한 모의 해킹 OS | 미르다테 | 2024.12.30 | 20 |
| 22 | 맬웨어(Malware) 감지를 위한 테스트 사이트 | 미르다테 | 2024.12.30 | 24 |
| 21 | hashcat 사용법 | 미르다테 | 2024.12.30 | 21 |
| 20 | 포맷스트링 공격(Format String Attack) | 미르다테 | 2024.12.30 | 20 |
| 19 | Cross Site Scripting(XSS)이란? | 미르다테 | 2024.12.30 | 21 |
| 18 | Cross-Site Request Forgery(CSRF)이란? | 미르다테 | 2024.12.30 | 18 |
| 17 | MS-Office의 DDE 취약점을 이용한 공격 주의 | 미르다테 | 2024.12.30 | 16 |
| 16 | 하트블리드(HeartBleed) | 미르다테 | 2024.12.30 | 20 |
| 15 | Cisco에서 제안한 TCP SYN Flooding 공격 차단 솔루션 TCP Intercept | 미르다테 | 2024.12.30 | 16 |
| 14 | Trinoo를 이용한 DDos 공격(UDP사용) | 미르다테 | 2024.12.30 | 16 |
| 13 | DRDoS 공격 기법 | 미르다테 | 2024.12.30 | 19 |
| 12 | 포트 스캐닝 (Port Scanning) 기법 | 미르다테 | 2024.12.30 | 18 |
| » | Smurf Attack, 스머프 공격 이란 무엇인가 | 미르다테 | 2024.12.30 | 12 |
| 10 | 트랩도어(Trapdoor) | 미르다테 | 2024.12.30 | 14 |
| 9 | 워터링 홀(Watering Hole) 공격 | 미르다테 | 2024.12.30 | 12 |
| 8 | 서비스거부(Dos) 공격 Teardrop, Land attack, Syn Flooding, Smurf attack | 미르다테 | 2024.12.30 | 21 |
| 7 | 구글(Google) 검색엔진을 이용한 해킹 | 미르다테 | 2024.12.30 | 29714 |
| 6 | Httpry | 미르다테 | 2024.12.30 | 16 |
| 5 | URLSnarf | 미르다테 | 2024.12.30 | 20 |
| 4 | 최고의 무료 보안 도구 20선 | 미르다테 | 2024.12.30 | 17 |