[정보보안기사실기] 보안공격 모음 2, 정리

 

보안공격 모음 두 번째입니다.

 

 

 

 

DDos공격, 네트워크 대역폭 소진 공격 정리

15) UDP Flooding 공격
다량의 udp 패킷을 서버로 전송하여 서버 네트워크 대역폭을 소진시키는 공격입니다.

16) ICMP Flooding 공격
다량의 icmp 패킷을 서버로 전송하여 서버 네트워크 대역폭을 소진시켜 가용성을 침해하는 공격으로 서버/서비스 자원 소진 공격입니다.

17) TCP syn flooding 공격
tcp 연결설정과정의 취약점을 이용한 공격으로 tcp연결 자원을 소진시켜 외부로부터 tcp 연결요청을 받을 수 없는 상태로 만드는 공격입니다. 존재하지 않는 ip로 다량의 syn 패킷을 보내는 방식을 이용합니다.

 

대응책

syncookie 기능을 활성화합니다. syn+ack에 대한 대기 시간을 줄이거나 백로그큐를 늘립니다.

18) HTTP GET flooding 공격
동일한 동적 컨테츠에 대한 http get 요청을 다량으로 발생시켜 공격대상 웹서버 자원 고갈 공격입니다.

19) Hulk dos 공격
동일한 주소에 대한 http get요청을 웹사이트 주소를 지속적으로 변경하며 다량의 get요청을 발생시키는 서비스 거부 공격입니다. 임계치기반의 ddos장비를 우회하기 위하여 웹사이트 주소를 지속적으로 변경합니다.

20) Hash dos 공격
조작된 많은 수의 파라미터를 post방식으로 웹서버로 전달하면 웹서버에서는 다수의 해시 충돌이 발생합니다. 다수의 해시 충돌이 발생할 경우 파라미터 조회 시 많은 cpu자원을 소모하게됩니다. 이렇게 cpu 자원을 소모하게 만드는 slow 계열 공격 유형입니다.

21) slow http header dos (slowloris 공격)
slowloris공격은 공격자가 요청헤더의 끝을 전달하지 않고 지속적으로 불필요한 헤더필드 정보를 전달하여 다수의 연결상태를 유지합니다. 다수의 연결상태를 유지할 경우 더 이상 연결할 수 있는 웹서버 연결자원이 존재하지 않게 됩니다. 이렇게 웹서버 연결자원을 소진시켜 정상적인 요청을 받을 수 없는 상태로 만드는 저대역폭 공격입니다. slowloris 공격에서 요청헤더의 끝을 마무리하지 않도록 0d0a를 한번만 사용합니다. 0d0a이 한 번오는 경우 비정상으로 판단합니다.

22) slow http post dos(Rudy)
rudy공격은 공격자가 content-length의 크기를 비정상적으로 크게 설정한 후 매우 소량의 데이터를 지속적으로 천천히 웹사이트에 전송합니다. 지속적으로 천천히 전송하여 오랜시간 다수의 연결을 지속하게 만드는 방식으로 웹서버의 연결자원을 소진시켜 정상적인 요청을 받을 수 없는 상태로 만드는 공격입니다.

23) slow http read dos
tcp 흐름제어 특성을 이용하여 http 요청을 보낸 후 window 크기를 조작하여 0인 zero window packet을 지속적으로 서버측에 전달하여 서버가 요청에 대한 응답메세지를 전송하지 못한 상태로 다수의 연결을 지속시켜 대상 웹서버의 연결자원을 모두 소진시키는 공격입니다.

slow http header/post dos 대응책
1) 동시연결에 대한 임계치설정을 통한 차단
iptables –A INPUT –p tcp --dport 80 –m connlimit —conlimit –above 30 –j DROP
2) 연결 타임아웃 설정을 통한 차단(아파치)
Timeout 120
3) 읽기 타임아웃 설정을 통한 차단(아파치)
RequestReadTimeout header=5 body=10
DRdos 공격 – udp 이용

24) DNS 증폭 DRDOS 공격
dns서버에 많은 양의 레코드 정보를 요구하는 dns질의타입(any,txt)을 요청하여 공격대상에게 대량의 트래픽 유발시키는 공격입니다.

25) NTP 증폭 DRDOS 공격
ntp에 최근 접속한 클라이언트목록(monlist)이용하여 대량의 응답 트래픽(증폭) 유발시키는 공격입니다.