◆ 해킹유형, 탐지방법 및 조치사항 ◆
■ 서비스거부
서버가 정상적인 서비스를 하지 못하도록 하는 공격으로 네트워크 트래픽을
폭증 시키거나 시스템의 자원(CPU, Memory 등)을 소모하도록 하여 속도를 저
하시키거 나 또는 특정 위조된 Packet을 보내 서버를 정지시키는 공격 방법이
다.
● TCP SYN Flooding
▲ 공격방법
DOS 공격의 한 방법으로서 서버가 정상적인 서비스를 지연 또는 불능상태로
만 들기 위해서 사용하는 공격으로 사용된다. 이는 TCP 프로토콜을 이용하여
클라이언트가 서버에 접속을 시도할 때 TCP헤더에 SYN Flag을 보내면, 서버
는 이에 대한 답변으로 SYN/ACK를 보내고 다시 클라이언트의 ACK를 받는다는
점을 이용하는 것으로, 공격자가 임의로 자신의 IP Address를 속여 (응답을
할 수 없는 IP Address) 이를 다량 서버에 보내면 서버는 클라이언트에 SYN/
ACK를 보내고, 이에 대한 클라이언트의 응답 ACK 를 받기 위한 대기 상태에
빠 짐으로써 공격이 이루어진다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 IP Header, TCP Header를 분석한다.
② TCP Header분석결과 flag 가 SYN 이면 공격자가 보내는 Packet의 Count를
증 가 시키고, SYN/ACK 이면 Count를 감소시켜 SYN의 개수를 파악한다.
③ Count가 공격인정 시간내에 공격인정회수 이상이면 SYN Flooding 으로 탐
지한다.
▲ 조치방법
SNIPER는 클라이언트가 서버에 요구한 SYN의 개수만큼 서버에게 RESET 신호
를 보내어 서버가 대기 상태에서 벗어나게 함으로서 공격을 무력화 시킨다.
또한 이러한 사실을 Network 및 System 관리자에게 주지 시키고 서버의 Conn
-ect Queue Size 증대, Time Out 조절 및 O.S. 를 버전업하여 공격의 피해를
최소화 할 수 있다.
● TCP NULL Flooding
▲ 공격방법
DOS 공격의 한 방법으로, 서버가 정상적인 서비스를 지연 또는 불능상태로
만들기 위한 공격으로 사용된다.
이는 TCP 프로토콜을 이용하여, 클라이언트가 서버에 TCP Header의 Flags를
NULL(0x00)으로 Setting하여 대량의 Packet을 보내면, 서버는 이를 처리하기
위해서 대부분의 자원(System Resource)을 소모하게 되고, 정상적인 서비스
를 하지 못하는 현상이 발생한다
▲ 탐지방법
① 공격자가 보낸 Packet에서 IP Header, TCP Header를 분석한다.
② TCP Header분석결과 flag가 NULL이면, 공격자가 보내는 Packet의 수를
Count한다.
③ Count가 공격인정 시간내에 공격인정회수 이상이면 NULL Flooding으로 탐
지한다.
▲ 조치방법
이러한 사실을 Network 및 System 관리자에게 주지시키고, 공격자의 주소에
대해서 F/W 또는 기타 보안장비에서, 이를 Filtering함으로써 공격의 피해를
최소화 할 수 있다.
● TCP FIN Flooding
▲ 공격방법
DOS 공격의 한 방법으로, 서버가 정상적인 서비스를 지연 또는 불능상태로
만들기 위한 공격으로 사용된다.
이 는 TCP 프로토콜을 이용하여, 클라이언트가 서버에 TCP Header의 Flags를
FIN(0x01)으로 Setting하여 대량의 Packet을 보내면, 서버는 이를 처리하기
위해서 대부분의 자원(System Resource)을 소모하게 되고, 정상적인 서비스
를 하지 못하는 현상이 발생한다
▲ 탐지방법
① 공격자가 보낸 Packet에서 IP Header, TCP Header를 분석한다.
② TCP Header분석결과 flag가 FIN 이면, 공격자가 보내는 Packet의 수를
Count한다.
③ Count가 공격인정 시간내에 공격인정회수 이상이면 FIN Flooding으로 탐
지 한다.
▲ 조치방법
이러한 사실을 Network 및 System 관리자에게 주지시키고, 공격자의 주소에
대 해서 F/W 또는 기타 보안장비에서, 이를 Filtering함으로써 공격의 피해를
최소화 할 수 있다.
● TCP ACK Flooding
▲ 공격방법
DOS 공격의 한 방법으로, 서버가 정상적인 서비스를 지연 또는 불능상태로
만들기 위한 공격으로 사용된다.
이는 TCP 프로토콜을 이용하여, 클라이언트가 서버에 TCP Header의 Flags를
ACK(0x10)으로 Setting하여 대량의 Packet을 보내면, 서버는 이를 처리하기
위해서 대부분의 자원(System Resource)을 소모하게 되고, 정상적인 서비스
를 하지 못하는 현상이 발생한다
▲ 탐지방법
① 공격자가 보낸 Packet에서 IP Header, TCP Header를 분석한다.
② TCP Header분석결과 flag가 ACK 이면, 공격자가 보내는 Packet의 수를
Count한다.
③ Count가 공격인정 시간내에 공격인정회수 이상이면 ACK Flooding으로 탐
지한다.
▲ 조치방법
이러한 사실을 Network 및 System 관리자에게 주지시키고, 공격자의 주소에
대해서 F/W 또는 기타 보안장비에서, 이를 Filtering함으로써 공격의 피해를
최소화 할 수 있다.
● TCP PUSH Flooding
▲ 공격방법
DOS 공격의 한 방법으로, 서버가 정상적인 서비스를 지연 또는 불능상태로
만들기 위한 공격으로 사용된다.
이 는 TCP 프로토콜을 이용하여, 클라이언트가 서버에 TCP Header의 Flags를
PUSH(0x08)으로 Setting하여 대량의 Packet을 보내면, 서버는 이를 처리하기
위해서 대부분의 자원(System Resource)을 소모하게 되고, 정상적인 서비스
를 하지 못하는 현상이 발생한다
▲ 탐지방법
① 공격자가 보낸 Packet에서 IP Header, TCP Header를 분석한다.
② TCP Header분석결과 flag가 PUSH이면, 공격자가 보내는 Packet의 수를
Count한다.
③ Count가 공격인정 시간내에 공격인정회수 이상이면 PUSH Flooding으로 탐
지한다.
▲ 조치방법
이러한 사실을 Network 및 System 관리자에게 주지시키고, 공격자의 주소에
대해서 F/W 또는 기타 보안장비에서, 이를 Filtering함으로써 공격의 피해를
최소화 할 수 있다.
● TCP RESET Flooding
▲ 공격방법
DOS 공격의 한 방법으로, 서버가 정상적인 서비스를 지연 또는 불능상태로
만들기 위한 공격으로 사용된다.
이는 TCP 프로토콜을 이용하여, 클라이언트가 서버에 TCP Header의 Flags를
RESET(0x04)으로 Setting하여 대량의 Packet을 보내면, 서버는 이를 처리하
기 위해서 대부분의 자원(System Resource)을 소모하게 되고, 정상적인 서비
스를 하지 못하는 현상이 발생한다
▲ 탐지방법
① 공격자가 보낸 Packet에서 IP Header, TCP Header를 분석한다.
② TCP Header분석결과 flag가 RESET이면, 공격자가 보내는 Packet의 수를
Count한다.
③ Count가 공격인정 시간내에 공격인정회수 이상이면 RESET Flooding으로 탐
지한다.
▲ 조치방법
이러한 사실을 Network 및 System 관리자에게 주지시키고, 공격자의 주소에
대해서 F/W 또는 기타 보안장비에서, 이를 Filtering함으로써 공격의 피해를
최소화 할 수 있다.
● TCP URG Flooding
▲ 공격방법
DOS 공격의 한 방법으로, 서버가 정상적인 서비스를 지연 또는 불능상태로
만들기 위한 공격으로 사용된다.
이는 TCP 프로토콜을 이용하여, 클라이언트가 서버에 TCP Header의 Flags를
URG(0x20)으로 Setting하여 대량의 Packet을 보내면, 서버는 이를 처리하기
위해서 대부분의 자원(System Resource)을 소모하게 되고, 정상적인 서비스
를 하지 못하는 현상이 발생한다
▲ 탐지방법
① 공격자가 보낸 Packet에서 IP Header, TCP Header를 분석한다.
② TCP Header분석결과 flag가 URG 이면, 공격자가 보내는 Packet의 수를
Count 한다.
③ Count가 공격인정 시간내에 공격인정회수 이상이면 URG Flooding으로 탐
지한다.
▲ 조치방법
이러한 사실을 Network 및 System 관리자에게 주지시키고, 공격자의 주소에
대해서 F/W 또는 기타 보안장비에서, 이를 Filtering함으로써 공격의 피해를
최소화 할 수 있다.
● TCP XMAS Flooding
▲ 공격방법
DOS 공격의 한 방법으로, 서버가 정상적인 서비스를 지연 또는 불능상태로
만 들기 위한 공격으로 사용된다.
이는 TCP 프로토콜을 이용하여, 클라이언트가 서버에 TCP Header의 Flags를
FIN(0x01), URG(0x20), PUSH(0x08), RST(0x04) 등으로 Setting하여, 대량의
Packet을 보내면, 서버는 이를 처리하기 위해서 대부분의 자원 (System Re-
source)을 소모하게 되고, 정상적인 서비스를 하지 못하는 현상이 발생한다
▲ 탐지방법
① 공격자가 보낸 Packet에서 IP Header, TCP Header를 분석한다.
② TCP Header분석결과 flag가 FIN(0x01), URG(0x20), PUSH(0x08), RST(0x04)
등으로 설정되어 있으면, 공격자가 보내는 Packet의 수를 Count한다.
③ Count가 공격인정 시간내에 공격인정회수 이상이면 XMAS Flooding으로 탐
지한다.
▲ 조치방법
이러한 사실을 Network 및 System 관리자에게 주지시키고, 공격자의 주소에
대해서 F/W 또는 기타 보안장비에서, 이를 Filtering함으로써 공격의 피해를
최소화 할 수 있다.
● UDP Flooding
▲ 공격방법
DOS 공격의 한 방법으로서 UDP 프로토콜을 이용하여 클라이언트가 서버에 가
상의 데이터를 연속적으로 보내어 서버의 부하 및 Network Overload 를 발생
시켜 정상적인 서비스를 하지 못하도록 한다. 특히 MS Windows 계열의 O.S에
치명적인 영향을 미칠 수 있다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 UDP를 분석한다.
② 대상 Port 번호를 확인하여 7,17,19,135,137 번이 아니고, UDP Port Scan
공격 아니면 UDP Flood공격으로 간주한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수 이면 UDP Flooding으로 탐지한다
▲ 조치방법
이러한 정보를 관리자에게 알리고, 관리자는 불필요한 UDP 서비스를 Disable
함으로서 공격의 피해를 최소화 할 수 있다. 또한 방화벽(F/W) 및 Router에
서 불필요한 UDP 서비스를 차단함으로써 해결할 수 있다.
● ICMP Unreachable Storm
▲ 공격방법
공격자는 연속적으로 ICMP의 port-unreachable frame 을 보내서 시스템의 성
능을 저하시키거나 마비 시킨다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 ICMP를 분석한다.
② Source IP Address, Destnation IP Address 를 확인하여 도달할 수 없는
IP Address이면 ICMP Unreachable STORM 공격으로 간주한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 ICMP Unreachable Storm으로 탐지한다
▲ 조치방법
공격정보를 Network, System 관리자에게 알림으로써 관리자가 침입차단 시스템
에서 ICMP(ECHO)서비스를 close함으로써 해결할 수 있다.
● FTP PASV Dos
▲ 공격방법
DOS 공격의 한 방법으로서 FTP서비스에 접속하여 서버가 응답하기 전에 대량
의 FTP PASV 명령어를 연속적으로 보내어 FTP Server를 Down 시키거나, 부하
를 발생시켜 정상적인 서비스를 하지 못하도록 한다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 TCP를 분석한다.
② FTP 서버가 응답하기 전에 공격자(Client)로부터 FTP PASV 명령어가 서버
로 보내지면 FTP PASV공격으로 간주한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 FTP PASV DOS 공격으로 탐지한다.
▲ 조치방법
공격 클라이언트와 서버에 RESET 신호를 보내어 공격을 무력화시킴으로서
서 버 의 정보를 보호한고, FTP PASV Dos에 취약하지 않은 최신버전의 FTP
서버로 업그레이드 할 것을 권장한다.
● ICMP Ping of Death
▲ 공격방법
공격할 시스템에 Fragmented된 Packet과 비정상적인 OOB (Out of Band)를 함
께 대량으로 전송하여 System 자원을 무의미하게 소모 시키며, 심할 경우 대
상 시스템을 Crash시킬 수도 있다. 이로 인해 내부 네트워크 자원에 심각한
Collision을 임의로 일으켜서 내부자원의 소모율을 높여서 네트워크 성능을
저하시킬 수 있다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 ICMP를 분석한다.
② 분석결과 ICMP type이 ECHO이고 ICMP message-specific data의 크기가 10
24 byte이상인지 확인한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회 수이면 Ping of Death로 탐지한다.
▲ 조치방법
공격정보를 Network,System관리자에게 알려서 관리자가 침입차단시스템(F/W)
에서 ICMP(ECHO) 서비스를 차단 함으로써 해결할 수 있다.
● ICMP Checksum Error
▲ 공격방법
공격자는 임의적으로 ICMP의 비정상적인 Packet 을 대상서버에 보냄으로써
서버에 과부하를 발생시키고 이로 인해서 서버의 정상적인 서비스를 방해하
는 DOS 공격이다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 ICMP를 분석한다.
② 분석결과 ICMP Checksum에 오류가 발생했으면 ICMP Checksum Error로 Sca
-n한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 ICMP Checksum Error 공격으로 탐지한다.
▲ 조치방법
공격정보를 Network,System관리자에게 알려서 관리자가 침입차단시스템(F/W)
에서 ICMP(ECHO) 서비스를 차단 함으로써 해결할 수 있다. 또한 최신의 O.S
및 서비스를 설치 함으로써 공격을 최소화 할 수 있다.
● TCP Checksum Error
▲ 공격방법
공격자는 임의적으로 TCP의 비정상적인 Packet을 대상서버에 보냄으로써 서
버에 과부하를 발생시키고 이로 인해서 서버의 정상적인 서비스를 방해하는
DOS 공격이다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 TCP를 분석한다.
② 분석결과 TCP Checksum에 오류가 발생했으면 TCP Checksum Error 로 Scan
한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 TCP Checksum Error 공격으로 탐지한다.
▲ 조치방법
공격정보를 Network,System관리자에게 알려서 관리자가 침입차단시스템(F/W)
에서 TCP의 불필요한 서비스를 차단 함으로써 해결할 수 있다. 또한 최신의
O.S 및 서비스를 설치 함으로써 공격을 최소화 할 수 있다.
● UDP Checksum Error
▲ 공격방법
공격자는 임의적으로 UDP의 비정상적인 Packet을 대상서버에 보냄으로써 서
버에 과부하를 발생시키고 이로 인해서 서버의 정상적인 서비스를 방해하는
DOS 공격이다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 UDP를 분석한다.
② 분석결과 UDPChecksum 에 오류가 발생했으면 UDPChecksum Error로 Scan한
다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 UDPChecksum Error 공격으로 탐지한다.
▲ 조치방법
공격정보를 Network,System관리자에게 알려서 관리자가 침입차단시스템 (F/W
)에서 UDP의 불필요한 서비스를 차단 함으로써 해결할 수 있다. 또한 최신의
O.S 및 서비스를 설치 함으로써 공격을 최소화 할 수 있다.
● IP Checksum Error
▲ 공격방법
공격자는 임의적으로 TCP/IP의 비정상적인 Packet을 대상서버에 보냄으로써
서버에 과부하를 발생시키고 이로 인해서 서버의 정상적인 서비스를 방해하
는 DOS 공격이다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 TCP/IP의 IP를 분석한다.
② 분석결과 IPChecksum에 오류가 발생했으면 IPChecksum Error로 Scan한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 IPChecksum Error 공격으로 탐지한다.
▲ 조치방법
공격정보를 Network, System 관리자에게 알려서 관리자가 침입차단시스템(F/
W)에서 TCP/IP의 불필요한 서비스를 차단 함으로써 해결할 수 있다. 또한 최
신의 O.S 및 서비스를 설치 함으로써 공격을 최소화 할 수 있다.
● ICMP Smuf
▲ 공격방법
공격자(클라이언트)가 대상 서버 및 Network에 Over load를 발생시켜 정상적
인 서비스를 하지 못하게 하는 공격으로, 공격자가 ICMP Packet의 Source IP
Address 에 공격대상 서버의 IP Address 를 Setting 하고 임의의 Broadcast
Address로 ICMP ECHO Packet 을 발송하면 이를 수신한 경유지 서버는 동시에
대상서버에 응답을 하게 함으로써 Network Traffic 을 기하급수적으로 증가
시키고, 서버에 과부하를 발생시킨다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 ICMP를 분석한다.
② 분석결과 ICMP type이 REPLY인지 확인한다.
③ Source IP의 변조(IP Spoofing)여부를 확인한다.
④ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회 수이면 ICMP Smurf 공격으로 탐지한다.
▲ 조치방법
공격정보를 Network, System 관리자에게 알려서 관리자가 침입차단시스템(F/
W)에서 ICMP(ECHO)서비스를 차단함으로써 해결할 수 있다.
● Windows Nuke
▲ 공격방법
TCP가 OOB-out of band 데이터를 처리할 때 사용하는 URG(Urgent) 신호를 Wi
-ndows의 139포트(NetBios over TCP)에 보냄으로써 시스템이 다운되거나 Win
-dows시스템 서비스중의 하나인 HDD공유 기능을 마비 시킨다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 TCP를 분석한다.
② TCP Header의 가상 port 를 확인하여 Pakcet의 흐름이 Client에서 Server
이고 sport가 TCP_PORT_NBSS(139)인지 확인한다.
③ TCP Header의 flags를 확인하여 TH_URG이면 Windows Nuke공격으로 간주한
다.
④ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 Windows Nuke로 탐지한다
▲ 조치방법
SNIPER 는 공격자에게 RESET신호를 보내어 공격을 무력화하고, 공격 클라이
언트를 차단하여 공격으로부터 서버를 보호한다. 또한 서버의 OS를 버전업
시킨다.
● Land Attack
▲ 공격방법
공격자가 임의로 자신의 IP Address와 Port를 대상 서버의 IP Address와 Por
-t와 동일하게 하여 서버에 접속함으로서 서버의 실행속도가 느려지거나, 마
비되게 한다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 TCP를 분석한다
② TCP Packet의 Source의 IP, Port 와 Destination의 IP, Port가 동일한지
확인한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수 이면 Land Attack으 로 탐지한다.
▲ 조치방법
공격정보를 Network, System관리자에게 알림으로써 관리자가 침입차단시스템
(F/W) 에서 Source IP/Port와 Destination IP/Port와 동일하면 차단하도록 설
정한다.
● Ping Flooding
▲ 공격방법
Network이 정상적으로 작동하는지 여부를 확인하게 위해서 사용하는Ping Tes
-t를 해커가 해킹을 하기 위한 대상 컴퓨터를 확인하기 위한 방법으로 사용
한다. 또한 대상 system에 ICMP packet을 계속해서 보내서, 대상 system이
Request 에 응답하느라 다른 일을 하지 못하도록 하는 공격이며, 해당 시스
템은 끊임없는 응답에 내부 Service queue counter 자원의 고갈로 서비스불
능 상태에 빠진다. 동시에 Network에 Over load를 발생시키는 치명적인 공격
이 될 수도 있다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 ICMP를 분석한다
② 분석결과 ICMP type이 ECHO인지 확인한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 Ping Flooding으로 탐지한다
▲ 조치방법
공격정보를 Network, System 관리자에게 알려서 관리자가 침입차단시스템(F/
W) 에서 ICMP(ECHO)서비스를 차단함으로써 해결하고, 공격을 한 클라이언트를
집중적으로 관찰하도록 한다.
● Ping Sweep
▲ 공격방법
공격자(Client)가 대상 Network에 어떤 서버가 존재하는지를 파악하기 위해
서 ICMP 를 이용하여 대상 Network의 Broadcast IP 를 입력한 다음 응답되는
패킷을 분석하여 정보를 파악할 수 있는 기법이다. 또한 대상 Network전체에
Overload를 발생 시킬 목적으로 사용 되기도 한다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 ICMP를 분석한다
② 분석결과 ICMP type이 ECHO이면서 대상 IP Address가 Broadcast IP이면 P
-ing Sweep으로 간주한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 Ping Flooding으로 탐지한다
▲ 조치방법
공 격정보를 Network, System 관리자에게 알려서 관리자가 침입차단시스템(F/
W)에서 ICMP(ECHO)서비스를 차단함으로써 해결하고, 공격을 한 클라이언트를
집중적으로 관찰하도록 한다.
● Snork Attack
▲ 공격방법
공격자가 대상서버(MS Windows 계열) 의 Resource를 소진 시키기 위해서 UDP
의 destination 포트를 135(Microsoft Location Service)번으로 source 포트
를 7(Echo), 19(Chargen), 135 로 하여 Packet를 보내면 서로가 무한 통신을
한다는 취약점을 이용하여 공격하는 방법이다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 UDP를 분석한다
② 분석결과 destination Port가 135번 이고, Source Port가 7,19,135번 중
의 하나 이면 Snork Attack으로 간주한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 Ping Flooding으로 탐지한다
▲ 조치방법
공격정보를 Network, System 관리자에게 알려서 관리자가 침입차단시스템(F/
W)에서 UDP 서비스를 차단함으로써 해결하고, 공격을 한 클라이언트를 집중
적으로 관찰하도록 한다. 또한 대상 서버를 취약점이 해결된 O.S로 Version
Up을 하여 공격을 최소화한다.
● Open Teardrop Attack
▲ 공격방법
TCP/IP 통신에서 보내는 쪽에서는 IP 데이타그램을 쪼개고 받는 쪽에서는 이
를 합치는(프레그멘테이션과 리어셈블리) 아주 정상적으로 일어나야 할 과정
을 공격자가 임의적으로 과도하게 발생 시키거나, 꼬이게 함으로써 대상컴퓨
터 가 다운되게 하는 DOS공격의 일종이다. 또한 이 공격은 어떤 OS의 IP frag
-ment 재조합 코드 안에 버그를 일으키는 invalid fragmented IP 패킷을 보
낸다. 이 취약성은 공격자가 목적 시스템을 손상시켜 서비스손실을 유발시키
고, 서버를 다운 시킬 수도 있다. Open Tear공격이 일반적인 Tear Drop과 다
른점은 Packet를 보냄에 있어서 IP가 fragment 되어 있다는 Signal만 보내고
실질적인 Data는 보내지 않는 것이다. 이는 서버에게 Tear Drop보다 더 많은
부하를 발생시킬 수 있으며, 이로 인하여 정상적인 서비스를 하지 못하는 경
우가 발생한다.
▲ 탐지방법
① Packet을 분석하여 확인한 결과 Fragmentation이 되어있으면 이를 Count
한다.
② Packet의 Data부분에 Data가 있는지 여부를 확인하여 Data가 없으면Open
Tear공격으로 간주한다.
③ 공격자가 보내는 Packet의 횟수를 Count 하여 공격인정 시간내에 공격인
정회수이면 OpenTear 공격으로 탐지한다
▲ 조치방법
대상 시스템의 O.S를 보안에 관련된 모든 hot fix 뿐만 아니라 최신의 버전
또는 최신의 서비스팩을 설치하여 더 이상 시스템이 영향을 받지 않도록 한
다. 또한 이러한 사실을 System, Network 관리자에게 공지하고 공격자의 IP
를 방화벽(F/W)에서 차단한다.
● Telnet Flooding
▲ 공격방법
DOS 공격의 한 방법으로서 TCP 프로토콜을 이용하여 클라이언트가 서버의 Te
-lnet port에 ^D문자를 연속적으로 보내어 서버의 부하를 발생시켜 정상적인
서비스를 하지 못하도록 한다. 이는 Solaris의 특정 O.S 에 치명적인 영향을
미칠 수 있으면, 대부분의 서버에서 Over Load가 발생하고 있다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 TCP를 분석한다
② 분석결과 대상 Port가 Telnet(23) Port 이고 연속해서 ^D문자가 검출되면
Telnet Flooding 공격으로 간주 한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 Ping Flooding으로 탐지한다
▲ 조치방법
공격정보를 Network, System 관리자에게 알려서 관리자가 침입차단시스템(F/
W)에서 불필요한 Telnet Port서비스를 차단함으로써 해결하고, 공격을 한 클
라이언트를 집중적으로 관찰하도록 한다. 또한 대상 서버를 취약점이 해결된
O.S로 Version Up을 하여 공격의 피해를 최소화 한다.
● Mail Bomb
▲ 공격방법
Mail 서버에 대량(수십, 수십만 통)의 동일 또는 쓰레기 E-Mail을 보내어 서
버의 용량을 초과하게 만들어 E-Mail서비스 불능 상태에 빠지게 하여 정상적
인 E-Mail의 송.수신을 방해하는 DOS 공격으로 사용한다.
▲ 탐지방법
대량의 E-Mail을 보내기 위해서는 수작업으로는 불가능하기 때문에 프로그램
을 이용하여 동일한 내용(반드시 동일하지 않을 수 있지만 대부분 유사한 방
식으로 구성되어 있음)의 E-Mail이 특정 클라이언트에서 서버에 전달되는 내
용 을 감시하여 탐지한다.
① 공격자가 보낸 TCP Packet를 분석하여 SMTP(25Port)를 확인한다.
② SMTP Packet의 State가 MAIL일 경우 From, To, Subject Address를 확인한
다.
③ 공격자가 동일한 수신자 및 내용의 Packet를 보내는 횟수를 Count하여 공
격인정 시간내에 공격인정회수이면 Mail Bomb으로 탐지한다.
▲ 조치방법
동일 또는 유사한 E-Mail 이 3회 이상 특정 서버에 전달 될 경우 TCP/IP 의
RESET 신호를 클라이언트와 서버에게 동시에 보냄으로써 더 이상의 E-Mail이
서버에 전달 못되게 함으로 서버를 보호한다. 또한 이러한 사실을 System,
Network관리자에 알려 공격자 IP Address를 방화벽에서 차단하도록 설정한다.
그리고 sendmail 최신의 버전으로 Upgrade한다.
● Mail Spam
▲ 공격방법
Mail 서버에 대량의 동일 또는 악성 광고 E-Mail을 보내어 서버의 용량을 초
과하게 만들어 서버의 고유 기능을 마비 시키거나, 사용자가 불필요하게 Ma
-il을 열람하게 함으로서 업무의 효율성을 저하 시킨다.
▲ 탐지방법
① 공격자가 보낸 TCP Packet를 분석하여 SMTP(25Port)를 확인한다.
② Packet Data가 571(Unsolicited email refused), 550 (Requested action
not taken: mailbox unavailable), 501(Syntax error in parameters or
argument), 554(Transaction failed)인지 확인한다.
③ 공격자가 동일한 데이터를 보내는 Email 의 횟수를 Count하여 공격인정시
간내에 공격인정회수이면 Mail Spam으로 탐지한다.
▲ 조치방법
Mail Spam으로 탐지된 내용을 관리자에게 알려주고 침입차단시스템(F/W)에서
발송자의 IP Address를 차단하도록 하고 Sendmail 프로그램을 Patch한다. 또
한 SNIPER는 SPAM MAIL 발송자에게 Reset Packet 를 보내어 더 이상 Mail 이
송.수신되지 않게 하도록 한다.
● UDP LoopBack
▲ 공격방법
공격자가 UDP의 Source와 Destination 포트를 7(Echo), 17(Quoteof the day),
19(Chargen) 으로 동일하게 조작한 다음 Packet를 발송하면 서로간에 무한 통
신을 한다는 Protocol의 취약점을 이용한 DOS 공격으로 이로 인하여 Server
및 Network 에 Overload가 발생하고, 정상적인 서비스가 마비되는 현상이 발
생 할 수 있다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 UDP를 분석한다
② 분석결과 source 및 destination Port가 7, 17, 19번 중의 하나이면서 동
일하면 UDP Loopback공격으로 간주한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 UDP Loopback공격으로 탐지한다
▲ 조치방법
공격정보를 Network, System 관리자에게 알려서 관리자가 침입차단시스템(F/
W)에서 UDP 서비스를 차단함으로써 해결하고, 공격을 한 클라이언트를 집중
적으로 관찰하도록 한다. 또한 대상 서버를 취약점이 해결된 O.S로 Version
Up을 하여 공격을 최소화한다.
■ 정보수집
어떤 서버나 시스템을 공격하기전에 서버 혹은 시스템의 취약점, Network 경
로, 방화벽 설치 유무를 알아내고 정보를 수집하는 공격방법
● Finger
▲ 공격방법
대상서버에 공격을 하기 위해서 어떤 계정이 등록되어 있는지를 확인하는 방
법으로 사용 된다. 계정 확인이 완료되면 Password를 Crack 프로그램을 이용
하 여 Crack한 다음, 서버에 직접 접속을 하여 정보 위.변조, 갈췌 행위을 한
다.
▲ 탐지방법
① 공격자가 보낸 TCP Packet를 분석하여 Finger 서비스를 확인한다.
② 공격자가 Packet를 보내는 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 Finger 공격으로 탐지한다.
▲ 조치방법
공격 클라이언트와 서버에 RESET신호를 보내어 해커가 정보를 획득하지 못하
도록 한다. 또한 서버에 불필요한 서비스를 Disable 시키고, 방화벽에서 Fin
-ger port를 차단한다.
● Host Sweeping
▲ 공격방법
각종 정보를 파악할 수 있는 기법(FingerPrint, Ping, Port Scan 등)을 동원
하여 각종 서버의 정보를 동시 다발적으로 파악하는 기법
▲ 탐지방법
한 클라이언트(공격자)가 여러 서버를 순차적으로 Scan 할 경우 Host Sweepi
-ng으로 간주한다.
▲ 조치방법
이러한 정보를 관리자에게 주지시켜 집중적으로 관찰하도록 한다.
● SYN Port Scan
▲ 공격방법
대상컴퓨터(서버)에 해킹하기 위해서 대상컴퓨터가 TCP/IP의 어떤 포트를 Op
-en하여 서비스를 하는지 알아내기 위한 방법으로 포트번호 0번 부터 65,535
번 포트까지 순차적 또는 무순위로 SYN를 보내어 서버가 응답하는 SYN/ACK를
확인한다.
대 상 System 의 port 와 완전한 connection을 연결하지 않는다. 즉, 3-way
handshake 과정을 모두 수행하지 않고, 이 중 2가지 과정만을 수행하며
RST packet 은 보내지 않는다. 이는 "half-open" 이라 불리우기도 하며, 이
Scan의 경우에는 보안설정이 잘 된 일부의 system에서만 log 기록이 남는 단
점이 있기 때문에 감지하기가 어렵다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 TCP를 분석한다.
② TCP Header 의 flag가 TH_SYN 이면서 대상 Port가 매번 다르면 TCP Port
Scan 공격으로 간주한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 TCP Port Scan으로 탐지한다
▲ 조치방법
관리자에게 이러한 사실을 알리고, 관리자는 서버의 불필요한 서비스 포트를
Disable 함으로서 공격의 피해를 최소화 할 수 있다. 또한 방화벽 (F/W)에서
불필요한 서비스를 Close한다.
● Trace Route
▲ 공격방법
공격을 하기위해서 Network 경로를 파악하기 위한 방법으로 사용한다. 또한
F/W 설치여부를 확인하기 위해서 사용되기도 한다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 IP를 분석한다.
② IP Header의 TTL을 확인하여 1이면 ICMP Traceroute로 간주한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 ICMP Traceroute로 탐지한다.
▲ 조치방법
이러한 정보를 관리자에게 주지시켜 집중적으로 관찰하도록 하거나 침입차단
시스템에서 차단하도록 한다
● FIN port scanning
▲ 공격방법
이 방법은 일반적인 TCP port scanning 에 대한 더 빠른 대안으로서 사용될
수 있다. 이는 listening TCP port 를 찾기 위해, TCP FIN 패킷에 대해 호스
트 가 응답하는 것을 관찰하여 scan한다. scanner가 어떤 포트가 listen하고
있는지를 추정하는 방법은, 대상 호스트가 FIN이 listening port로 전송되었
을 때는 응답이 없고 non-listening port 로 전송되었을 때에만 응답을 보내
주는 성질을 이용하는 것으로 port가 실제로 TCP 연결을 초기화하지 않고 검
사되기 때문에 이와 같은 종류의 scan은 "stealth (포착이 어려운)" scan 이
라고 불리기도 한다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 TCP를 분석한다.
② TCP Header에 설정된 flag가 TH_FIN으로 설정되어 있으면 공격으로 간주
한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회 수이면 TCP FIN Scan으로 탐지한다.
▲ 조치방법
이 scanner는 어느 TCP port가 listening하고 있는지를 보고한다. 그 포트들
이 승인된 서비스를 실행시키고 있는지를 알기 위하여 포트들을 검사해야 한
다. 만일 설명이 없거나 원치 않는 서비스를 실행시키고 있다면 그 포트들을
불능상태로 해두는 것이 바람직하다. 많은 운영체제가 정상적인 동작을 위해
필요한 서비스를 많이 탑재하고 있다. 어떤 경우 이 서비스들은 알려지거나
알려지지 않은 보안문제를 가지고 있을지 모른다. 필요하지 않은 서비스들은
불능상태로 할 것을 권고한다. 또한 방화벽 (F/W) 에서 불필요한 서비스를
Close한다.
● RPC Port Map Dump
▲ 공격방법
대상컴퓨터(서 버)에 해킹하기 위해서 대상컴퓨터가 RPC의 어떤 포트를 Open
하여 서비스를 하는지 알아내기 위한 방법이다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 TCP를 분석한다.
② TCP를 분석한 결과 RPC Service이면 RPC 정보를 분석하여 RPC rm_call의
cb_procdl이 4이고 RPC Version이 2이면 SUN RPC Service로 판단한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 RPC Port Map Dump로 탐지한다
▲ 조치방법
관리자에게 이러한 사실을 알리고, 관리자는 서버의 불필요한 서비스 포트를
Disable함으로서 공격의 피해를 최소화 할 수 있다. 또한 방화벽(F/W)에서
불필요한 서비스를 Close한다.
● RPC Port Map Get Port
▲ 공격방법
대상컴퓨터 (서버)에 해킹하기 위해서 대상컴퓨터가 RPC의 어떤 포트를 Open
하여 서비스를 하는지 알아내기 위한 방법이다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 TCP를 분석한다.
② TCP를 분석한 결과 RPC Service이면 RPC 정보를 분석하여 RPC rm_call 의
cb_procdl이 3이고 RPC Version이 2이면 SUN RPC Service로 판단한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 RPC Port Map Dump로 탐지한다
▲ 조치방법
관리자에게 이러한 사실을 알리고, 관리자는 서버의 불필요한 서비스 포트를
Disable함으로서 공격의 피해를 최소화 할 수 있다. 또한 방화벽(F/W)에서
불필요한 서비스를 close한다.
● XMAS Port Scan
▲ 공격방법
대상컴퓨터 (서버)에 해킹하기 위해서 대상컴퓨터가 TCP/IP 의 어떤 포트를
Open하여 서비스를 하는지 알아내기 위한 방법으로 포트번호 0번부터 65,535
번 포트까지 순차적 또는 무순위로 FIN, URG, PUSH 등의 신호를 보내어 서버
가 응답하는 RESET 신호를 확인한다.(probe packet에서 FIN, URG, PUSH flag
를 사용하는 것이 Scan-FIN과는 다름, 그 외에는 동일함)
▲ 탐지방법
① 공격자가 보낸 Packet에서 TCP를 분석한다.
② TCP Header의 flag에 TH_FIN, TH_URG, TH_PUSH 조합이 설정되어 있거나,
TH_URG가 설정되어 있거나 TH_PUSH가 설정되어 있거나 TH_FIN, TH_URG 조
합으로 설정되어 있거나 TH_FIN,TH_PUSH조합으로 설정되어 있거나 TH_URG,
TH_PUSH 조합으로 설정되어 있는지 확인하여 이경우에 포함되면 TCP Xmas
Scan공격으로 Scan한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 TCP Xmas Scan으로 탐지한다.
▲ 조치방법
관리자에게 이러한 사실을 알리고, 관리자는 서버의 불필요한 서비스 포트를
Disable함으로서 공격의 피해를 최소화 할 수 있다. 또한 방화벽(F/W)에서
불필요한 서비스를 Close한다.
● NULL Port Scan
▲ 공격방법
대상컴퓨터 (서버)에 해킹하기 위해서 대상컴퓨터가 TCP/IP 의 어떤 포트를
Open하여 서비스를 하는지 알아내기 위한 방법으로 포트번호 0번부터 65,535
번 포트까지 순차적 또는 무순위로 NULL를 보내어 서버가 응답하는 RESET 신
호를 확인한다.
probe packet에서 모든 flag를 꺼놓은 것 외에는 Scan -FIN과 동일하다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 TCP를 분석한다.
② TCP Header에 설정된 flag가 없으면 TCP NULL Port Scan 공격으로 간주한
다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 TCP NULL Scan으로 탐지한다.
▲ 조치방법
관 리자에게 이러한 사실을 알리고, 관리자는 서버의 불필요한 서비스 포트를
Disable함으로서 공격의 피해를 최소화 할 수 있다. 또한 방화벽(F/W)에서
불필요한 서비스를 Close한다.
● UDP Port Scan
▲ 공격방법
대상컴퓨터(서버)에 해킹하기 위해서 대상컴퓨터가 UDP의 어떤 포트를 Open
하여 서비스를 하는지 알아내기 위한 방법으로 포트번호 0 번부터 65,535 번
포트까지 순차적 또는 무순위로 Data를 보내어 서버가 ICMP로 응답하는 것을
확인한다.
0 byte UDP (User Datagram Protocol) Packet을 이용하여 대상 system 의 OS
정보 및 현재 사용중인 Server Port등의 정보를 알아낼 수 있으며(대상 port
에서 unreachable message 가 오는가의 여부로 알 수 있다.)
이를 이용해 30000번 이상의 port 정보도 알아낼 수 있다. 단, 대부분의 OS
에서 시간당 생성 가능한 unreachable message 개수를 제약하고 있기 때문에,
scanning 속도가 굉장히 늦다.
방법 : Root 권한으로 #>nmap -sU 211.41.170.28 실행(버전 : nmap 2.53)
▲ 탐지방법
① 공격자가 보낸 Packet에서 UDP를 분석한다.
② UDP Loopback, Snork Attack을 확인하여 탐지되지 않으면 UDP Port Scan
공격으로 간주한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회 수이면 UDP Port Scan으로 탐지한다
▲ 조치방법
관리자에게 이러한 사실을 알리고, 관리자는 서버의 불필요한 서비스 포트를
Disable함으로서 공격의 피해를 최소화 할 수 있다. 또한 방화벽(F/W)에서
불필요한 서비스를 Close한다.
● FingerPrint (OS Scan)
▲ 공격방법
TCP/IP 의 패킷을 구현함에 있어서 OS 마다 구현 방식이 다른 점을 이용하여
여러가지 TCP/IP 패킷을 특정서버에 보내어 응답되는 패킷을 분석하여 서버
의 OS를 파악한 다음 해킹의 자료로 사용한다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 TCP를 분석한다.
② TCP Header의 flag에 TH_BOG이거나 TH_PUSH이거나 TH_SYN, TH_FIN, TH_RST
조합이거나 TH_URG이거나 TH_SYN이고 TH_FIN, TH_RST조합이면 TCP OS Scan
(FingerPrint) 공격으로 간주한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 TCP OS Scan(FingerPrint)으로 탐지한다.
▲ 조치방법
FingerPrint 로 탐지되면 SNIPER가 클라이언트에게 예상하지 못하는 패킷을
보내어 OS를 파악하지 못하도록 한다. 또한 이러한 정보를 System, Network
관리자에게 알리어 집중 관리하도록 한다.
■ 프로토콜취약점
TCP/IP 프로토콜 규약상의 문제점을 악용하여 공격함으로써 Network, System
에 Over Load 및 Down을 유발하여 정상적인 서비스를 방해하는 공격이다.
● Ack Storm
▲ 공격방법
공격자가 대상서버에 대량의 TCP/IP 의 Ack 신호를 보냄으로써 대상 서버는
이로 인하여 불필요한 Load가 발생하고, 정상적인 서비스가 지연되는 공격이
다. 이는 TCP/IP의 프로토콜 규약의 헛점을 이용하여 공격하는 기법이다. 또
한 이 공격은 Session이 이루어진 Packet에 대해서 Hijacking을 하기 위해서
사용 되기도 한다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 TCP를 분석한다.
② TCP Header의 flags가 TH_ACK로 설정되어 있는지를 확인 한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 ACK Storm으로 탐지한다.
▲ 조치방법
공격자에게 RESET 신호를 보내어 공격을 무력화하거나 침입차단 시스템에서
공격 클라이언트를 차단하여 공격으로부터 서버를 보호한다
● Corrupt IP Option
▲ 공격방법
공격자가 대상 서버에 Over Load 발생 또는 Network 을 Down 시키기 위해서
TCP/IP의 규약된 정의를 지키지 않고 임의로 비정상적인 IP Option을 사용하
여 공격하는 Protocol 취약점 공격이면서 DOS 공격으로 사용한다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 TCP를 분석한다.
② IP Header의 각종 flags가 정상적으로 설정되어 있는지를 확인 한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이 면 Corrupt IP Option공격으로 탐지한다.
▲ 조치방법
공격자에게 RESET신호를 보내어 공격을 무력화하거나 침입차단 시스템에서
공격 클라이언트를 차단하여 공격으로부터 서버를 보호한다, 또한 이러한 공
격에 대해서 정상적으로 동작하는 O.S로 Patch 또는 Upgrade 를 함으로써 공
격의 피해를 최소화 할 수 있다.
● UDP Truncated Header
▲ 공격방법
공격자가 대상 서버에 UDP 프로토콜의 비정상적인 Packet 을 보내어 서버에
Over load를 발생시키거나, Down 시켜 정상적인 서비스를 방해하는 프로토콜
취약 점 및 DOS공격이다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 UDP를 분석한다.
② IP Header의 각종 flags가 정상적으로 설정되어 있는지를 확인 한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 UDP Truncated Header공격으로 탐지한다.
▲ 조치방법
이러한 사실을 System, Network 관리자에 공지하여 공격자 IP를 관리함과 동
시에 방화벽(F/W)에서 불필요한 UDP서비스를 차단함으로써 공격의 피해를 최
소화 할 수 있다.
또한 Server의 불필요한 UDP Service를 Disable 한다.
● Hijacking
▲ 공격방법
TCP/IP 의 Session은 Server와 Client 통신에서 서로 인증을 확인하고, Data
를 순차적으로 송.수신하기 위해서 항상 Sequence Number 를 증가 시키면서
통신을 하는데, 이 Sequence Number를 알게되면 Server 에 별 다른 인증 절
차없이 통신을 할 수 있는 프로토콜의 취약점을 이용하여 공격자가 이를 도
용하는 해킹 기법이다. 실시간으로 Sequence Number 를 알아내기 위해서 먼
저 SYN Flooding 또는 ACK Storm 공격기법을 이용하기도 한다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 TCP를 분석한다.
② TCP/IP Packet의 MAC Address를 확인하여 IP Spoofing인지 여부를 판단한
다.
③ 직전의 Session의 MAC Address와 비교하여 다르면 Hijacking 으로 간주한
다.
④ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 Hijacking으로 탐지한다.
▲ 조치방법
공격자에게 RESET 신호를 보내어 공격을 무력화하거나 침입차단 시스템에서
공격 클라이언트를 차단하여 공격으로부터 서버를 보호한다, 또한 이러한 공
격에 대해서 정상적으로 동작하는 O.S로 Patch 또는 Upgrade 를 함으로써 공
격의 피해를 최소화 할 수 있다.
● Source Routing
▲ 공격방법
공격자는 TCP/IP 프로토콜의 Source Routing 기법을 이용하여 접근이 불가능
한 내부의 사설망에 접근하여 각종 해킹을 하는 프로토콜 취약점 공격이다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 TCP를 분석한다.
② TCP/IP Packet의 Signal 이 Source Routing이면 Source Routing 공격으로
간주한다
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 Source Routing공격으로 탐지한다.
▲ 조치방법
공격자에게 RESET 신호를 보내어 공격을 무력화하거나 침입차단 시스템에서
공격 클라이언트를 차단하여 공격으로부터 서버를 보호한다, 또한 이러한 공
격에 대해서 정상적으로 동작하는 O.S로 Patch 또는 Upgrade 를 함으로써 공
격의 피해를 최소화 할 수 있다.
Router에서 Source routing를 disable시킨다.
● IP Spoofing
▲ 공격방법
서버가 동일한 Network 환경 또는 Netmask 를 가진 클라이언트에게는 다양한
서비스를하고, 그렇지 않은 클라이언트에게는 서비스를 제한하도록 설계되어
있을 경우, 해커가 외부망에서 서버에 침투함에 있어서 내부 클라이언트인
것처럼 IP를 속여서 서버에 접근하거나, 일반적인 DOS공격에서 추적을 피하
기 위해서 사용한다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 TCP를 분석한다.
② Packet의 MAC Address를 검사하여 내부 Network에 위치한 주소인지 여부
를 확인하여 기존의 Mac과 비교하여 이를 파악한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 IP Spoofing으로 탐지한다.
▲ 조치방법
공격자에게 RESET 신호를 보내어 공격을 차단하거나 공격 클라이언트를 차단
하여 공격으로부터 서버를 보호하거나 운영체제를 Patch한다. 또한 방화벽에
서 불필요한 IP 접근을 방지하도록 한다.
● TCP Teardrop Attack
▲ 공격방법
TCP/IP 통신에서 보내는 쪽에서는 IP 데이타그램을 쪼개고 받는 쪽에서는 이
를 합치는(프레그멘테이션과 리어셈블리) 아주 정상적으로 일어나야 할 과정
을 공격자가 임의적으로 과도하게 발생 시키거나, 꼬이게 함으로써 대상컴퓨
터가 다운되게 하는 DOS공격의 일종이다. 또한 이 공격은 어떤 OS의 IP frag
-ment 재조합 코드 안에 버그를 일으키는 invalid fragmented IP패킷을 보낸
다. 이 취약성은 공격자가 목적 시스템을 손상시켜 서비스손실을 유발시키고,
서버를 다운 시킬 수도 있다.
▲ 탐지방법
① Packet을 분석하여 확인한 결과 TCP 이면서 Fragmentation 이 되어있으면
이를 Count한다.
② 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 TCP TearDrop으로 탐지한다
▲ 조치방법
대상 시스템의 O.S 를 보안에 관련된 모든 hot fix 뿐만 아니라 최신의 버전
또는 최신의 서비스팩을 설치하여 더 이상 시스템이 영향을 받지 않도록 한
다. 또한 이러한 사실을 System, Network 관리자에게 공지하고 공격자의 IP
를 방화벽(F/W)에서 차단한다.
● UDP Teardrop Attack
▲ 공격방법
TCP/IP 통신에서 보내는 쪽에서는 IP 데이타그램을 쪼개고 받는 쪽에서는 이
를 합치는(프레그멘테이션과 리어셈블리) 아주 정상적으로 일어나야 할 과정
을 공격자가 임의적으로 과도하게 발생 시키거나, 꼬이게 함으로써 대상컴퓨
터가 다운되게 하는 DOS공격의 일종이다. 또한 이 공격은 어떤 OS의 IP frag
-ment 재조합 코드 안에 버그를 일으키는 invalid fragmented IP패킷을 보낸
다. 이 취약성은 공격자가 목적 시스템을 손상시켜 서비스손실을 유발시키고,
서버를 다운 시킬 수도 있다.
▲ 탐지방법
① Packet을 분석하여 확인한 결과 UDP 이면서 Fragmentation이 되어있으면
이를 Count한다.
② 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 UDP TearDrop으로 탐지한다
▲ 조치방법
대상 시스템의 O.S 를 보안에 관련된 모든 hot fix 뿐만 아니라 최신의 버전
또는 최신의 서비스팩을 설치하여 더 이상 시스템이 영향을 받지 않도록 한
다. 또한 이러한 사실을 System, Network 관리자에게 공지하고 공격자의 IP
를 방화벽(F/W)에서 차단한다.
● ICMP Teardrop Attack
▲ 공격방법
TCP/IP 통신에서 보내는 쪽에서는 IP 데이타그램을 쪼개고 받는 쪽에서는 이
를 합치는(프레그멘테이션과 리어셈블리) 아주 정상적으로 일어나야 할 과정
을 공격자가 임의적으로 과도하게 발생 시키거나, 꼬이게 함으로써 대상컴퓨
터가 다운되게 하는 DOS공격의 일종이다. 또한 이 공격은 어떤 OS의 IP frag
-ment 재조합 코드 안에 버그를 일으키는 invalid fragmented IP패킷을 보낸
다. 이 취약성은 공격자가 목적 시스템을 손상시켜 서비스손실을 유발시키고,
서버를 다운 시킬 수도 있다.
▲ 탐지방법
① Packet을 분석하여 확인한 결과 ICMP이면서 Fragmentation 이 되어있으면
이를 Count한다.
② 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 ICMP TearDrop으로 탐지한다
▲ 조치방법
대상 시스템의 O.S 를 보안에 관련된 모든 hot fix 뿐만 아니라 최신의 버전
또는 최신의 서비스팩을 설치하여 더 이상 시스템이 영향을 받지 않도록 한
다. 또한 이러한 사실을 System, Network 관리자에게 공지하고 공격자의 IP
를 방화벽(F/W)에서 차단한다.
● IGMP Teardrop Attack
▲ 공격방법
TCP/IP 통신에서 보내는 쪽에서는 IP 데이타그램을 쪼개고 받는 쪽에서는 이
를 합치는(프레그멘테이션과 리어셈블리) 아주 정상적으로 일어나야 할 과정
을 공격자가 임의적으로 과도하게 발생 시키거나, 꼬이게 함으로써 대상컴퓨
터가 다운되게 하는 DOS공격의 일종이다. 또한 이 공격은 어떤 OS의 IP frag
-ment 재조합 코드 안에 버그를 일으키는 invalid fragmented IP패킷을 보낸
다. 이 취약성은 공격자가 목적 시스템을 손상시켜 서비스손실을 유발시키고,
서버를 다운 시킬 수도 있다.
▲ 탐지방법
① Packet을 분석하여 확인한 결과 IGMP이면서 Fragmentation 이 되어있으면
이를 Count한다.
② 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 IGMP TearDrop(IGMP Nuke)으로 탐지한다
▲ 조치방법
대상 시스템의 O.S 를 보안에 관련된 모든 hot fix 뿐만 아니라 최신의 버전
또는 최신의 서비스팩을 설치하여 더 이상 시스템이 영향을 받지 않도록 한
다. 또한 이러한 사실을 System, Network 관리자에게 공지하고 공격자의 IP
를 방화벽(F/W)에서 차단한다.
■ 서비스공격
소프트웨어 변수관리상의 문제인 Overflow Bug 및 각종 서비스의 취약점을
이용하여 불법으로 서버에 접근하여 명령어를 실행하거나 권한을 가지는 공
격방법
● DNS Name over flow
▲ 공격방법
인터넷을 사용하기 위해서는 숫자로 된 IP Address 대신에 사용자는 URL(dom
-ain name)를 이용하고 있다. 하지만 시스템 내부적으로는 입력된 URL 를 IP
Address 로 변경해야 각종 통신을 할 수 있다. 이러한 역할을 하는 서버가
DNS 서버이며, DNS 서버의 서비스 장애는 결국 인터넷을 사용하지 못하는 최
악의 경우도 발생 할 수 있다. 또한 DNS 서버는 내부적으로 사용하는 Buffer
의 Overlow에 대해서 취약점을 가지고 있는 Version이 존재하고, 이러한 취
약점은 해커의 공격 대상이 되기도 한다.
▲ 탐지방법
① 연결된 Session에서 TCP(UDP) PROTOCOL를 분석한다.
② TCP(UDP)의 서버 Port가 53이고 Name field의 길이가 규정 이상으로 길이
가 길면 DNS Name Overflow 공격으로 간주한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정시간내에 공격인정
회수이면 DNS Name over flow공격으로 탐지한다.
▲ 조치방법
이러한 사실을 System, Network 관리자에 알리어 집중적으로 관리하고, 취약
점이 제거된 DNS Server로 Upgrade를 한다.
● DNS Zone transfer
▲ 공격방법
공격자는 DNS서버에 등록된 모든 호스트에 대한 Hostname, IP Address Table
를 Download하여 해킹의 정보로 활용 한다.
▲ 탐지방법
① 연결된 Session에서 TCP(UDP) PROTOCOL를 분석한다.
② TCP(UDP)의 서버 Port가 53이고 Type이 T_AXFR, T_IXFR, T_ZXFR 이면 DNS
Zone transfer 공격으로 간주한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 DNS Zone transfer공격으로 탐지한다.
▲ 조치방법
이러한 사실을 System, Network 관리자에 알리어 집중적으로 관리하고, 취약
점이 제거된 DNS Server로 Upgrade를 한다.
● FTP Anonymous
▲ 공격방법
Anonymous 로 Ftp 서비스를 할 경우에 공격자가 접속하여 서버의 환경설정을
파악하여, 허용 권한 이상의 행동을 하여 정보를 파괴하거나, 획득하는 공격
이다. 만일 anonymous FTP가 정확히 설정되어있지 않으면 많은 anonymous 사
용 자들은 관리자가 의도한 것 이상의 권한을 얻을 수 있다. 정확하게 설정되
어있지 않은 anonymous FTP사이트는 다음과 같은 결과를 초래할 수 있다.
- 관리자 네트워크의 원격 손상
- 공개적인 접근권한의 FTP 파일 삭제, 수정
- 불법소프트웨어의 유통경로로 악용
▲ 탐지방법
① 연결된 Session에서 TCP PROTOCOL을 분석한다.
② TCP Session의 연결흐름이 Client에서 Server이고, passive mode가 아니
고, ftp command가 STOR, DELE, APPE, RNFR, RNTO, RMD, MKD이고, Userid
가 anonymous이거나 ftp, guest이면 FTP Anonymous로 Scan한다.
③ 공격자가 보내는 Packet 의 횟수를 count하여 공격인정시간내에 공격인정
회수이면 FTP Anonymous로 탐지한다.
▲ 조치방법
공 격 클라이언트에게 Reset Signal을 보내어 차단 하거나, 꼭 필요한 경우가
아니면 FTP 서비스를 Disable하여 공격으로부터 서버를 보호한다.
많은 Unix 시스템이 디폴트로 anonymous FTP설치를 제공한다. anonymous FTP
를 사용하지 않으면 anonymous FTP접근을 불가능하게 한다. 하지만 꼭 필요
에 의해서 FTP 서비스를 사용하는 경우에는 anonymous FTP가 정확히 설정되
어있는지 확인한다. 가장 중요하게 검사해야 할 것들은 다음과 같다.
- FTP home directory 계정을 superuser가 가지고 있어야 한다.
- FTP계정은 FTP 계층에 있는 어떤 디렉토리에도 쓰기를 불가능 하게 한다.
- ~ftp/etc/ 디렉토리에 있는 passwd 파일에는 패스워드가 포함되지 않아야
하며, "ls" 명령이 UID를 사용자이름에 맞춰보기 위한 필요한 소수의 계
정 만을 포함해야 한다.
- /etc/ftpusers 파일에는 로그인이 허가되지 않는 사용자목록을 기록한다.
어떤 시스템 계정이나 root도 이 파일에 포함될 수 있으며, root로 접속
하게 하는 것은 바람직하지 않다.
- /etc/ftpaccess 파일도 검사해야 한다. 다른 곳에 위치할 수도 있다. 이
파일은 보통 wu-ftp 서버와 연결되어있다. 이 파일의 설정이 정확히 되어
있는지 확인해야 한다. 이 파일에서 디렉토리를 쓰기가능하게 설정할 수
도 있고, 모든 anonymous FTP명령을 정의된 소유권, 파일권한에 의해 보
장되도록 정의할 수도 있다. 또한 anonymous 사용자 또는 그룹 사용자에
디렉토리를 생성하지 못하게 할 수도 있다. 불법복제 소프트웨어 배포자
는 anonymous ftp 서버내에 시스템 관리자가 보통 보지 않는 곳이나 기본
디렉토리로 추측하는 곳에 소프트웨어를 위치시키는 것을 기본 전략으로
삼는다. FTP는 tcp_wrapper로 보호될 수 있다. inetd로부터 실행될 프로
그 램에 tcp_wrapper를 인스톨할 것을 제안한다.
tcp_wrapper는 ftp://ftp.porcupine.org/pub/security에서 얻을 수 있다.
이 프로그램으로 ftp 데몬을 사용할 수 있는 사용자를 IP주소, hostname
을 사용하여 제한할 수 있다. tcp_wrapper에 의해 호스트가 그 서비스에
접 근할 권한이 없는 경우, 해당 포트는 호스트의 관점에서 active로 보이
지만 어떤 정보도 제공하지 않고 연결을 끊는다. 또한 tcp_wrapper는 보
통의 데몬보다 훨씬 세부적인 정보를 syslog에 기록한다. 이런 점 때문에
inetd 로부터 실행하기를 원하는 서비스에 tcp_wrapper를 인스톨하는 것을
권장한다.
● Ftp Backdoor
▲ 공격방법
FTP Server 프로그래머가 시스템을 원격지에서 접속,관리하기 위해서 Userid
에 “NULL”, Password에 “NULL”을 입력하면 인증 절차없이 root 권한으로
접속할 수 잇도록 한 FTP Server 모듈이 배포된 적이 있다. 공격자는 이러한
사실을 알고 대상서버에 접속 하여 각종 해킹을 할 수 있다. 하지만 이는 극
히 제한적으로 배포 되었기 때문에 큰피해는 발생하지 않았지만 반드시 서버
에 대해서 확인을 해야 할 사항이다.
▲ 탐지방법
① 연결된 Session에서 TCP PROTOCOL을 분석한다.
② TCP Session 의 연결흐름이 Client 에서 Server 이고 port가 21번 이면서
Userid, Password의 입력값이 NULL이면 FTP Back door로 Scan 한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 Ftp Backdoor공격으로 탐지한다.
▲ 조치방법
이러한 사실을 System, Network 관리자에게 주지 시키고, 각각의 서버에 설
치되어 있는 FTP Server에 대해서 Backdoor 설치 여부를 확인한다. 또한 불
필요한 FTP Service는 방화벽에서 Disable함으로서 공격의 피해를 최소화 한
다.
● Ftp Check User
▲ 공격방법
FTP Server에 등록되어 있는 계정에 대해서 응답하는 속성을 이용하여 시스
템에 어떤 사용자가 존재하는지에 대한 확인 방법으로 CWD ~user를 사용한다.
이러한 정보를 차후 해킹을 하기 위한 정보로 활용될 수 있기 때문에 철저하
게 관리해야 한다.
▲ 탐지방법
① 연결된 Session에서 TCP PROTOCOL을 분석한다.
② TCP Session 의 연결흐름이 Client 에서 Server 이고 port가 21번 이면서
Packet의 값이 CWD ~user이면 FTP Check user 공격으로 Scan 한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회 수이면 Ftp Check user로 탐지한다.
▲ 조치방법
이러한 사실을 System, Network 관리자에게 주지 시키고, 불필요한 FTP Se
-rvice는 방화벽(F/W)에서 Disable함으로서 공격의 피해를 최소화 한다.
● Ftp Commandline Overflow
▲ 공격방법
FTP Server 가 내부적으로 관리하는 Command line Buffer 에 대해 Overflow
공격을 가해서 특정 Script(서버에 인증절차 없이 접근할 수 있는 Script)를
서버에 등록하여, 차후 이를 이용하여 각종 해킹을 할 수 있다.
▲ 탐지방법
① 연결된 Session에서 TCP PROTOCOL을 분석한다.
② TCP Session의 연결흐름이 Client에서 Server이고 port가 21번 이면서 각
종 Command가 규정된 길이 이상으로 Setting되어 있으면 FTP Commandline
Overflow 공격으로 Scan 한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 Ftp Commandline overflow공격으로 탐지한다.
▲ 조치방법
이 러한 사실을 System, Network 관리자에게 주지 시키고, 불필요한 FTP Se
-rvice는 방화벽(F/W)에서 Disable함으로서 공격의 피해를 최소화 한다.
● Ftp CWD ~root
▲ 공격방법
FTP Server 에 guest ID로 접속을 한 다음 CWD “~root” 명령어를 이용하여
root 권한을 획득하는 공격으로 일부 FTP Server 에 이러한 취약점이 있는
Version이 극히 제한적으로 배포된 적이 있다.
▲ 탐지방법
① 연결된 Session에서 TCP PROTOCOL을 분석한다.
② TCP Session 의 연결흐름이 Client 에서 Server 이고 port가 21번 이면서
Command가 CWD “~root”로 Setting되어 있으면 FTP CWD ~root 공격으로
Scan 한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 Ftp CWD ~root공격으로 탐지한다.
▲ 조치방법
이러한 사실을 System, Network 관리자에게 주지 시키고, 불필요한 FTP Serv
-ice는 방화벽(F/W)에서 Disable함으로서 공격의 피해를 최소화 한다. 또한
버그가 Patch된 Version으로 Upgrade를 한다.
● Ftp Login Fail
▲ 공격방법
대상 system에 Ftp 서비스로 접속하여, 자주(기본으로) 사용되는 사용자 이
름 혹은 정보수집을 통해 알아낸 사용자 이름에 흔히 사용되는 password 를
반복 입력함으로써 password 를 알아내 대상 system 에 login 하는 공격이다.
손으로 직접 하는 경우도 있지만 script등을 이용하여 자동으로 반복 수행시
키는 경우가 더 위협적이며, 자신의 위치를 숨기기 위해 제 3의 시스템에 침
투한 다음 시도하는 경우가 있다.
▲ 탐지방법
① 연결된 Session에서 TCP PROTOCOL을 분석한다.
② TCP Session 의 연결흐름이 Client 에서 Server 이고 port 가 21이면 Ftp
Login 공격으로 간주한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 Ftp Login Fail 로 탐지한다.
▲ 조치방법
공격인증 횟수 이상 실패한 공격자에 대해서 Reset Signal 를 이용하여 차단
한 다음, 공격자의 IP Address를 Black List에 등록하여 특정시간 동안 해당
서버에 접속하지 못하도록 한다. 또한 Ftp서비스를 사용할 수 있는 사용자를
방화벽(F/W)에서 제한함으로서 서버를 보호할 수 있다.
● Ftp Other Server
▲ 공격방법
FTP Server에 특정ID(guest 등)로 접속(21 Port)을 한 다음 다른 서버에 있
는 각종 정보를 주고, 받을 수 있도록 하는 기법으로 이는 FTP의 Data Port
인 20번에 대해서 인증을 거치지 않고 송.수신이 가능 하다는 취약점을 이용
한 서비스 공격이다.
▲ 탐지방법
① 연결된 Session에서 TCP PROTOCOL을 분석한다.
② TCP Session의 연결흐름이 Client 에서 Server 이고 port 가 21번 이면서
실질적으로 Data를 송수신하는 IP Address, Port 번호를 확인하여 IP Add
-ress가 다르고, Port가 20번이면 FTP Other Server로 Scan 한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이 면 Ftp Check user로 탐지한다.
▲ 조치방법
이러한 사실을 System, Network 관리자에게 주지 시키고, 불필요한 FTP Ser
-vice는 방화벽(F/W)에서 Disable함으로서 공격의 피해를 최소화 한다. 또한
버 그가 Patch된 Version으로 Upgrade를 한다.
● Ftp PASV Crash
▲ 공격방법
FTP Server의 명령어의 PASV를 이용하여 대상 서버에 각종 쓰레기 DATA를 대
량으로 보냄으로써 서버에 Overload 를 발생 시키는 정상적인 서비스를 이용
한 Dos 공격으로 사용된다.
▲ 탐지방법
① 연결된 Session에서 TCP PROTOCOL을 분석한다.
② TCP Session 의 연결흐름이 Client 에서 Serve r이고 port가 21번 이면서
FTP Command가 PASV이면 FTP PASV Crash공격으로 Scan한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 FTP PASV Crash공격으로 탐지한다.
▲ 조치방법
이러한 사실을 System, Network 관리자에게 주지시키고, 불필요한 FTP Ser
-vice는 방화벽(F/W)에서 Disable함으로서 공격의 피해를 최소화 한다. 또한
버 그가 Patch된 Version으로 Upgrade를 한다.
● FTP Port bounce
▲ 공격방법
이 공격은 TCP port에 연결시도를 하기 위해, 원격 FTP서버를 활용하여 어떤
TCP 포트가 원격지 호스트에 활성화 상태인지를 판단한다. 이는 어떤 TCP po
-rt가 원격 네트워크상에 열려 있는가를 판단하기 위해 FTP bounce attack을
이 용한다. FTP bounce attack에 취약한 FTP 서버는 필터링 라우터가 그 포트
의 접근을 막는다 하더라도, 공격자가 원격지 서버 혹은 다른 내부 호스트에
서 어떤 서비스들을 제공하는지를 판단할 수 있게끔 한다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 TCP를 분석한다.
② FTP DATA의 패킷이 1024번 아래의 포트를 Open하면 Ftp Port Bounce 공
격으로 간주한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 FTP Port bounce로 탐지한다.
▲ 조치방법
공격 클라이언트와 서버에 RESET 신호를 보내어 공격을 무력화시킴으로서
서버의 정보를 보호하고, FTP bounce attack 에 취약하지 않은 최신버전의
FTP 서버로 업그레이드 할 것을 권장한다.
● Ftp Site exec
▲ 공격방법
FTP Server의 명령어 중에서 원격 프로그램 실행 명령어인 Site exec를 이용
하여 대상 서버에 특정 Script (backdoor 설치 등)를 등록 함으로서 차후 인
증절차 없이 대상서버에 root권한으로 접속을 하여 각종 정보를 해킹한다.
▲ 탐지방법
① 연결된 Session에서 TCP PROTOCOL을 분석한다.
② TCP Session 의 연결흐름이 Client 에서 Server 이고 port가 21번 이면서
FTP Command가 Site exec이면 FTP Site exec공격으로 Scan한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 Ftp Site exec 공격으로 탐지한다.
▲ 조치방법
이러한 사실을 System, Network 관리자에게 주지 시키고, 불필요한 FTP Ser
-vice는 방화벽(F/W)에서 Disable함으로서 공격의 피해를 최소화 한다. 또한
버그가 Patch된 Version으로 Upgrade를 한다.
● Mail Bad Command
▲ 공격방법
E-Mail를 주고받기 위해서는 이미 정해진 규약 (SMTP)을 반드시 이용하여야
하는데 공격자가 임의로 규약을 어기고 이상한 명령어를 서버에 보내어 서버
시스템이 다운되거나, 예상하지 못한 일을 하게 함으로서 공격이 이루어진다.
▲ 탐지방법
① 연결된 Session에서 SMTP PROTOCOL을 분석한다.
② SMTP로 주고받는 명령어를 감시하여 규약에 어긋나는 명령어가 탐지 되면
Mail Bad Command 공격으로 간주 한다.
③ 공격자가 보내는 Packet의 횟수를 Count 하여 공격인정시간내에 공격인정
회 수이면 Mail Bad Command 로 탐지한다.
▲ 조치방법
공격자에게 RESET신호를 보내어 공격을 무력화하거나 침입차단시스템에서 공
격 클라이언트를 차단하여 공격으로부터 서버를 보호한다.
● Mail Bounce
▲ 공격방법
E-Mail를 주고받기 위해서는 서버에 반드시 Mail서버라는 프로그램이 실행되
어 있어야 한다. 하지만 일부 E-Mail 서버에는 “FROM TO: | program_name”
을 입력하면 해당 서버에 존재하는 Program이 실행 되는 Bug를 가진 Mail 서
버가 배포되었다는 점을 이용하여 해커가 악의적인 목적으로 이를 사용한다.
▲ 탐지방법
① 연결된 Session에서 SMTP PROTOCOL을 분석한다.
② SMTP Protocol 에서 FROM TO: 다음에 정상적인 E-Mail ID가 아닌 Program
name이 있으면 Mail Bounce 공격으로 Scan 한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회 수이면 Mail Bounce 공격으로 탐지한다.
▲ 조치방법
공격자에게 RESET 신호를 보내어 공격을 무력화하거나 침입차단 시스템에서
공격 클라이언트를 차단하여 공격으로부터 서버를 보호한다. 또한 Bug가 수
정된 Mail 서버를 사용함으로써 공격의 피해를 최소화 할 수 있다.
● Mail Command over flow
▲ 공격방법
E-Mail 서버가 내부적으로 관리하는 Command buffer에 대해서 공격자가 임의
적으로 Over flow를 발생시켜, 서버의 특정 명령어 (Backdoor 설치, 정보획
득 등)를 실행시키는 공격이다.
▲ 탐지방법
① 연결된 Session에서 SMTP PROTOCOL을 분석한다.
② SMTP로 주고받는 명령어를 감시하여 정의된 길이보다 긴 명령어가 검출되
면 Mail Command over flow 공격으로 간주한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 Mail Command over flow 공격으로 탐지한다.
▲ 조치방법
공격자에게 RESET신호를 보내어 공격을 무력화하거나 침입차단시스템에서 공
격 클라이언트를 차단하여 공격으로부터 서버를 보호한다. 또한 Bug가 수정
된 Verson으로 Upgrade를 한다.
● Mail Debug
▲ 공격방법
E-Mail 서버가 가지고 있는 Debug 명령어를 이용하여 서버의 특정 명령어
(Backdoor 설치, 정보획등 등)를 실행시키는 공격이다.
▲ 탐지방법
① 연결된 Session에서 SMTP PROTOCOL을 분석한다.
② Client와 Server가 주고받는 명령어를 감시하여 Debug 명령어가 검
출되면 Mail Debug 공격으로 간주한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 Mail Debug 공격으로 탐지한다.
▲ 조치방법
공격자에게 RESET신호를 보내어 공격을 무력화하거나 침입차단시스템에서 공
격 클라이언트를 차단하여 공격으로부터 서버를 보호한다. 또한 Bug가 수정
된 Verson으로 Upgrade를 한다.
● Mail Files
▲ 공격방법
E-Mail를 주고받기 위해서는 서버에 반드시 Mail 서버라는 프로그램이 실행
되어 있어야 한다. 하지만 일부 E-Mail 서버에는 “RCPT TO: /tmp/test”을
입력하면 수신되는 메일의 내용이 /tmp/test 라는 파일에 저장되게 된다. 이
렇게 함으로서 해커는 악성 코드를 /tmp/test라는 파일에 등록 한 다음 차후
이를 이용하여 서버를 해킹한다.
▲ 탐지방법
① 연결된 Session에서 SMTP PROTOCOL을 분석한다.
② SMTP Protocol 에서 RCPT TO: 다음에 정상적인 E-Mail ID가 아닌 file
name이 있으면 Mail Files 공격으로 Scan 한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회 수이면 Mail Files 로 탐지한다.
▲ 조치방법
공격자에게 RESET신호를 보내어 공격을 무력화하거나 침입차단시스템에서 공
격 클라이언트를 차단하여 공격으로부터 서버를 보호한다. 또한 Bug가 수정
된 Mail 서버를 사용함으로써 공격의 피해를 최소화 할 수 있다.
● Mail Mailing list
▲ 공격방법
E-Mail 서버에 등록되어 있는 Mailing list 를 획득하여 차후 이를 이용하여
또다른 행위를 위한 정보로 사용한다.
▲ 탐지방법
① 연결된 Session에서 SMTP PROTOCOL을 분석한다.
② SMTP Protocol 에서 Mailing list command 가 있으면 Mail Mailing list
로 Scan 한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 Mail Mailing list 공격으로 탐지한다.
▲ 조치방법
공격자에게 RESET신호를 보내어 공격을 무력화하거나 침입차단시스템에서 공
격 클라이언트를 차단하여 공격으로부터 서버를 보호한다. 또한 Bug가 수정
된 Mail 서버를 사용함으로써 공격의 피해를 최소화 할 수 있다.
● Mail Programs
▲ 공격방법
E-Mail를 주고받기 위해서는 서버에 반드시 Mail 서버라는 프로그램이 실행
되어 있어야 한다. 하지만 일부 E-Mail 서버에는 “FROM TO: program_name”
을 입력하면 해당 서버에 존재하는 Program이 실행 되는 Bug를 가진 Mail 서
버가 배포되었다는 점을 이용하여 해커가 악의적인 목적으로 이를 사용한다.
Mail Bounce공격과 유사하다.
▲ 탐지방법
① 연결된 Session에서 SMTP PROTOCOL을 분석한다.
② SMTP Protocol 에서 FROM TO: 다음에 정상적인 E-Mail ID가 아닌 Program
name이 있으면 Mail Program 공격으로 Scan 한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 Mail Program 공격으로 탐지한다.
▲ 조치방법
공격자에게 RESET신호를 보내어 공격을 무력화하거나 침입차단시스템에서 공
격 클라이언트를 차단하여 공격으로부터 서버를 보호한다. 또한 Bug가 수정
된 Mail 서버를 설치한다.
■ 서비스거부
서버가 정상적인 서비스를 하지 못하도록 하는 공격으로 네트워크 트래픽을
폭증 시키거나 시스템의 자원(CPU, Memory 등)을 소모하도록 하여 속도를 저
하시키거 나 또는 특정 위조된 Packet을 보내 서버를 정지시키는 공격 방법이
다.
● TCP SYN Flooding
▲ 공격방법
DOS 공격의 한 방법으로서 서버가 정상적인 서비스를 지연 또는 불능상태로
만 들기 위해서 사용하는 공격으로 사용된다. 이는 TCP 프로토콜을 이용하여
클라이언트가 서버에 접속을 시도할 때 TCP헤더에 SYN Flag을 보내면, 서버
는 이에 대한 답변으로 SYN/ACK를 보내고 다시 클라이언트의 ACK를 받는다는
점을 이용하는 것으로, 공격자가 임의로 자신의 IP Address를 속여 (응답을
할 수 없는 IP Address) 이를 다량 서버에 보내면 서버는 클라이언트에 SYN/
ACK를 보내고, 이에 대한 클라이언트의 응답 ACK 를 받기 위한 대기 상태에
빠 짐으로써 공격이 이루어진다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 IP Header, TCP Header를 분석한다.
② TCP Header분석결과 flag 가 SYN 이면 공격자가 보내는 Packet의 Count를
증 가 시키고, SYN/ACK 이면 Count를 감소시켜 SYN의 개수를 파악한다.
③ Count가 공격인정 시간내에 공격인정회수 이상이면 SYN Flooding 으로 탐
지한다.
▲ 조치방법
SNIPER는 클라이언트가 서버에 요구한 SYN의 개수만큼 서버에게 RESET 신호
를 보내어 서버가 대기 상태에서 벗어나게 함으로서 공격을 무력화 시킨다.
또한 이러한 사실을 Network 및 System 관리자에게 주지 시키고 서버의 Conn
-ect Queue Size 증대, Time Out 조절 및 O.S. 를 버전업하여 공격의 피해를
최소화 할 수 있다.
● TCP NULL Flooding
▲ 공격방법
DOS 공격의 한 방법으로, 서버가 정상적인 서비스를 지연 또는 불능상태로
만들기 위한 공격으로 사용된다.
이는 TCP 프로토콜을 이용하여, 클라이언트가 서버에 TCP Header의 Flags를
NULL(0x00)으로 Setting하여 대량의 Packet을 보내면, 서버는 이를 처리하기
위해서 대부분의 자원(System Resource)을 소모하게 되고, 정상적인 서비스
를 하지 못하는 현상이 발생한다
▲ 탐지방법
① 공격자가 보낸 Packet에서 IP Header, TCP Header를 분석한다.
② TCP Header분석결과 flag가 NULL이면, 공격자가 보내는 Packet의 수를
Count한다.
③ Count가 공격인정 시간내에 공격인정회수 이상이면 NULL Flooding으로 탐
지한다.
▲ 조치방법
이러한 사실을 Network 및 System 관리자에게 주지시키고, 공격자의 주소에
대해서 F/W 또는 기타 보안장비에서, 이를 Filtering함으로써 공격의 피해를
최소화 할 수 있다.
● TCP FIN Flooding
▲ 공격방법
DOS 공격의 한 방법으로, 서버가 정상적인 서비스를 지연 또는 불능상태로
만들기 위한 공격으로 사용된다.
이 는 TCP 프로토콜을 이용하여, 클라이언트가 서버에 TCP Header의 Flags를
FIN(0x01)으로 Setting하여 대량의 Packet을 보내면, 서버는 이를 처리하기
위해서 대부분의 자원(System Resource)을 소모하게 되고, 정상적인 서비스
를 하지 못하는 현상이 발생한다
▲ 탐지방법
① 공격자가 보낸 Packet에서 IP Header, TCP Header를 분석한다.
② TCP Header분석결과 flag가 FIN 이면, 공격자가 보내는 Packet의 수를
Count한다.
③ Count가 공격인정 시간내에 공격인정회수 이상이면 FIN Flooding으로 탐
지 한다.
▲ 조치방법
이러한 사실을 Network 및 System 관리자에게 주지시키고, 공격자의 주소에
대 해서 F/W 또는 기타 보안장비에서, 이를 Filtering함으로써 공격의 피해를
최소화 할 수 있다.
● TCP ACK Flooding
▲ 공격방법
DOS 공격의 한 방법으로, 서버가 정상적인 서비스를 지연 또는 불능상태로
만들기 위한 공격으로 사용된다.
이는 TCP 프로토콜을 이용하여, 클라이언트가 서버에 TCP Header의 Flags를
ACK(0x10)으로 Setting하여 대량의 Packet을 보내면, 서버는 이를 처리하기
위해서 대부분의 자원(System Resource)을 소모하게 되고, 정상적인 서비스
를 하지 못하는 현상이 발생한다
▲ 탐지방법
① 공격자가 보낸 Packet에서 IP Header, TCP Header를 분석한다.
② TCP Header분석결과 flag가 ACK 이면, 공격자가 보내는 Packet의 수를
Count한다.
③ Count가 공격인정 시간내에 공격인정회수 이상이면 ACK Flooding으로 탐
지한다.
▲ 조치방법
이러한 사실을 Network 및 System 관리자에게 주지시키고, 공격자의 주소에
대해서 F/W 또는 기타 보안장비에서, 이를 Filtering함으로써 공격의 피해를
최소화 할 수 있다.
● TCP PUSH Flooding
▲ 공격방법
DOS 공격의 한 방법으로, 서버가 정상적인 서비스를 지연 또는 불능상태로
만들기 위한 공격으로 사용된다.
이 는 TCP 프로토콜을 이용하여, 클라이언트가 서버에 TCP Header의 Flags를
PUSH(0x08)으로 Setting하여 대량의 Packet을 보내면, 서버는 이를 처리하기
위해서 대부분의 자원(System Resource)을 소모하게 되고, 정상적인 서비스
를 하지 못하는 현상이 발생한다
▲ 탐지방법
① 공격자가 보낸 Packet에서 IP Header, TCP Header를 분석한다.
② TCP Header분석결과 flag가 PUSH이면, 공격자가 보내는 Packet의 수를
Count한다.
③ Count가 공격인정 시간내에 공격인정회수 이상이면 PUSH Flooding으로 탐
지한다.
▲ 조치방법
이러한 사실을 Network 및 System 관리자에게 주지시키고, 공격자의 주소에
대해서 F/W 또는 기타 보안장비에서, 이를 Filtering함으로써 공격의 피해를
최소화 할 수 있다.
● TCP RESET Flooding
▲ 공격방법
DOS 공격의 한 방법으로, 서버가 정상적인 서비스를 지연 또는 불능상태로
만들기 위한 공격으로 사용된다.
이는 TCP 프로토콜을 이용하여, 클라이언트가 서버에 TCP Header의 Flags를
RESET(0x04)으로 Setting하여 대량의 Packet을 보내면, 서버는 이를 처리하
기 위해서 대부분의 자원(System Resource)을 소모하게 되고, 정상적인 서비
스를 하지 못하는 현상이 발생한다
▲ 탐지방법
① 공격자가 보낸 Packet에서 IP Header, TCP Header를 분석한다.
② TCP Header분석결과 flag가 RESET이면, 공격자가 보내는 Packet의 수를
Count한다.
③ Count가 공격인정 시간내에 공격인정회수 이상이면 RESET Flooding으로 탐
지한다.
▲ 조치방법
이러한 사실을 Network 및 System 관리자에게 주지시키고, 공격자의 주소에
대해서 F/W 또는 기타 보안장비에서, 이를 Filtering함으로써 공격의 피해를
최소화 할 수 있다.
● TCP URG Flooding
▲ 공격방법
DOS 공격의 한 방법으로, 서버가 정상적인 서비스를 지연 또는 불능상태로
만들기 위한 공격으로 사용된다.
이는 TCP 프로토콜을 이용하여, 클라이언트가 서버에 TCP Header의 Flags를
URG(0x20)으로 Setting하여 대량의 Packet을 보내면, 서버는 이를 처리하기
위해서 대부분의 자원(System Resource)을 소모하게 되고, 정상적인 서비스
를 하지 못하는 현상이 발생한다
▲ 탐지방법
① 공격자가 보낸 Packet에서 IP Header, TCP Header를 분석한다.
② TCP Header분석결과 flag가 URG 이면, 공격자가 보내는 Packet의 수를
Count 한다.
③ Count가 공격인정 시간내에 공격인정회수 이상이면 URG Flooding으로 탐
지한다.
▲ 조치방법
이러한 사실을 Network 및 System 관리자에게 주지시키고, 공격자의 주소에
대해서 F/W 또는 기타 보안장비에서, 이를 Filtering함으로써 공격의 피해를
최소화 할 수 있다.
● TCP XMAS Flooding
▲ 공격방법
DOS 공격의 한 방법으로, 서버가 정상적인 서비스를 지연 또는 불능상태로
만 들기 위한 공격으로 사용된다.
이는 TCP 프로토콜을 이용하여, 클라이언트가 서버에 TCP Header의 Flags를
FIN(0x01), URG(0x20), PUSH(0x08), RST(0x04) 등으로 Setting하여, 대량의
Packet을 보내면, 서버는 이를 처리하기 위해서 대부분의 자원 (System Re-
source)을 소모하게 되고, 정상적인 서비스를 하지 못하는 현상이 발생한다
▲ 탐지방법
① 공격자가 보낸 Packet에서 IP Header, TCP Header를 분석한다.
② TCP Header분석결과 flag가 FIN(0x01), URG(0x20), PUSH(0x08), RST(0x04)
등으로 설정되어 있으면, 공격자가 보내는 Packet의 수를 Count한다.
③ Count가 공격인정 시간내에 공격인정회수 이상이면 XMAS Flooding으로 탐
지한다.
▲ 조치방법
이러한 사실을 Network 및 System 관리자에게 주지시키고, 공격자의 주소에
대해서 F/W 또는 기타 보안장비에서, 이를 Filtering함으로써 공격의 피해를
최소화 할 수 있다.
● UDP Flooding
▲ 공격방법
DOS 공격의 한 방법으로서 UDP 프로토콜을 이용하여 클라이언트가 서버에 가
상의 데이터를 연속적으로 보내어 서버의 부하 및 Network Overload 를 발생
시켜 정상적인 서비스를 하지 못하도록 한다. 특히 MS Windows 계열의 O.S에
치명적인 영향을 미칠 수 있다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 UDP를 분석한다.
② 대상 Port 번호를 확인하여 7,17,19,135,137 번이 아니고, UDP Port Scan
공격 아니면 UDP Flood공격으로 간주한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수 이면 UDP Flooding으로 탐지한다
▲ 조치방법
이러한 정보를 관리자에게 알리고, 관리자는 불필요한 UDP 서비스를 Disable
함으로서 공격의 피해를 최소화 할 수 있다. 또한 방화벽(F/W) 및 Router에
서 불필요한 UDP 서비스를 차단함으로써 해결할 수 있다.
● ICMP Unreachable Storm
▲ 공격방법
공격자는 연속적으로 ICMP의 port-unreachable frame 을 보내서 시스템의 성
능을 저하시키거나 마비 시킨다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 ICMP를 분석한다.
② Source IP Address, Destnation IP Address 를 확인하여 도달할 수 없는
IP Address이면 ICMP Unreachable STORM 공격으로 간주한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 ICMP Unreachable Storm으로 탐지한다
▲ 조치방법
공격정보를 Network, System 관리자에게 알림으로써 관리자가 침입차단 시스템
에서 ICMP(ECHO)서비스를 close함으로써 해결할 수 있다.
● FTP PASV Dos
▲ 공격방법
DOS 공격의 한 방법으로서 FTP서비스에 접속하여 서버가 응답하기 전에 대량
의 FTP PASV 명령어를 연속적으로 보내어 FTP Server를 Down 시키거나, 부하
를 발생시켜 정상적인 서비스를 하지 못하도록 한다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 TCP를 분석한다.
② FTP 서버가 응답하기 전에 공격자(Client)로부터 FTP PASV 명령어가 서버
로 보내지면 FTP PASV공격으로 간주한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 FTP PASV DOS 공격으로 탐지한다.
▲ 조치방법
공격 클라이언트와 서버에 RESET 신호를 보내어 공격을 무력화시킴으로서
서 버 의 정보를 보호한고, FTP PASV Dos에 취약하지 않은 최신버전의 FTP
서버로 업그레이드 할 것을 권장한다.
● ICMP Ping of Death
▲ 공격방법
공격할 시스템에 Fragmented된 Packet과 비정상적인 OOB (Out of Band)를 함
께 대량으로 전송하여 System 자원을 무의미하게 소모 시키며, 심할 경우 대
상 시스템을 Crash시킬 수도 있다. 이로 인해 내부 네트워크 자원에 심각한
Collision을 임의로 일으켜서 내부자원의 소모율을 높여서 네트워크 성능을
저하시킬 수 있다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 ICMP를 분석한다.
② 분석결과 ICMP type이 ECHO이고 ICMP message-specific data의 크기가 10
24 byte이상인지 확인한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회 수이면 Ping of Death로 탐지한다.
▲ 조치방법
공격정보를 Network,System관리자에게 알려서 관리자가 침입차단시스템(F/W)
에서 ICMP(ECHO) 서비스를 차단 함으로써 해결할 수 있다.
● ICMP Checksum Error
▲ 공격방법
공격자는 임의적으로 ICMP의 비정상적인 Packet 을 대상서버에 보냄으로써
서버에 과부하를 발생시키고 이로 인해서 서버의 정상적인 서비스를 방해하
는 DOS 공격이다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 ICMP를 분석한다.
② 분석결과 ICMP Checksum에 오류가 발생했으면 ICMP Checksum Error로 Sca
-n한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 ICMP Checksum Error 공격으로 탐지한다.
▲ 조치방법
공격정보를 Network,System관리자에게 알려서 관리자가 침입차단시스템(F/W)
에서 ICMP(ECHO) 서비스를 차단 함으로써 해결할 수 있다. 또한 최신의 O.S
및 서비스를 설치 함으로써 공격을 최소화 할 수 있다.
● TCP Checksum Error
▲ 공격방법
공격자는 임의적으로 TCP의 비정상적인 Packet을 대상서버에 보냄으로써 서
버에 과부하를 발생시키고 이로 인해서 서버의 정상적인 서비스를 방해하는
DOS 공격이다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 TCP를 분석한다.
② 분석결과 TCP Checksum에 오류가 발생했으면 TCP Checksum Error 로 Scan
한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 TCP Checksum Error 공격으로 탐지한다.
▲ 조치방법
공격정보를 Network,System관리자에게 알려서 관리자가 침입차단시스템(F/W)
에서 TCP의 불필요한 서비스를 차단 함으로써 해결할 수 있다. 또한 최신의
O.S 및 서비스를 설치 함으로써 공격을 최소화 할 수 있다.
● UDP Checksum Error
▲ 공격방법
공격자는 임의적으로 UDP의 비정상적인 Packet을 대상서버에 보냄으로써 서
버에 과부하를 발생시키고 이로 인해서 서버의 정상적인 서비스를 방해하는
DOS 공격이다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 UDP를 분석한다.
② 분석결과 UDPChecksum 에 오류가 발생했으면 UDPChecksum Error로 Scan한
다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 UDPChecksum Error 공격으로 탐지한다.
▲ 조치방법
공격정보를 Network,System관리자에게 알려서 관리자가 침입차단시스템 (F/W
)에서 UDP의 불필요한 서비스를 차단 함으로써 해결할 수 있다. 또한 최신의
O.S 및 서비스를 설치 함으로써 공격을 최소화 할 수 있다.
● IP Checksum Error
▲ 공격방법
공격자는 임의적으로 TCP/IP의 비정상적인 Packet을 대상서버에 보냄으로써
서버에 과부하를 발생시키고 이로 인해서 서버의 정상적인 서비스를 방해하
는 DOS 공격이다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 TCP/IP의 IP를 분석한다.
② 분석결과 IPChecksum에 오류가 발생했으면 IPChecksum Error로 Scan한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 IPChecksum Error 공격으로 탐지한다.
▲ 조치방법
공격정보를 Network, System 관리자에게 알려서 관리자가 침입차단시스템(F/
W)에서 TCP/IP의 불필요한 서비스를 차단 함으로써 해결할 수 있다. 또한 최
신의 O.S 및 서비스를 설치 함으로써 공격을 최소화 할 수 있다.
● ICMP Smuf
▲ 공격방법
공격자(클라이언트)가 대상 서버 및 Network에 Over load를 발생시켜 정상적
인 서비스를 하지 못하게 하는 공격으로, 공격자가 ICMP Packet의 Source IP
Address 에 공격대상 서버의 IP Address 를 Setting 하고 임의의 Broadcast
Address로 ICMP ECHO Packet 을 발송하면 이를 수신한 경유지 서버는 동시에
대상서버에 응답을 하게 함으로써 Network Traffic 을 기하급수적으로 증가
시키고, 서버에 과부하를 발생시킨다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 ICMP를 분석한다.
② 분석결과 ICMP type이 REPLY인지 확인한다.
③ Source IP의 변조(IP Spoofing)여부를 확인한다.
④ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회 수이면 ICMP Smurf 공격으로 탐지한다.
▲ 조치방법
공격정보를 Network, System 관리자에게 알려서 관리자가 침입차단시스템(F/
W)에서 ICMP(ECHO)서비스를 차단함으로써 해결할 수 있다.
● Windows Nuke
▲ 공격방법
TCP가 OOB-out of band 데이터를 처리할 때 사용하는 URG(Urgent) 신호를 Wi
-ndows의 139포트(NetBios over TCP)에 보냄으로써 시스템이 다운되거나 Win
-dows시스템 서비스중의 하나인 HDD공유 기능을 마비 시킨다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 TCP를 분석한다.
② TCP Header의 가상 port 를 확인하여 Pakcet의 흐름이 Client에서 Server
이고 sport가 TCP_PORT_NBSS(139)인지 확인한다.
③ TCP Header의 flags를 확인하여 TH_URG이면 Windows Nuke공격으로 간주한
다.
④ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 Windows Nuke로 탐지한다
▲ 조치방법
SNIPER 는 공격자에게 RESET신호를 보내어 공격을 무력화하고, 공격 클라이
언트를 차단하여 공격으로부터 서버를 보호한다. 또한 서버의 OS를 버전업
시킨다.
● Land Attack
▲ 공격방법
공격자가 임의로 자신의 IP Address와 Port를 대상 서버의 IP Address와 Por
-t와 동일하게 하여 서버에 접속함으로서 서버의 실행속도가 느려지거나, 마
비되게 한다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 TCP를 분석한다
② TCP Packet의 Source의 IP, Port 와 Destination의 IP, Port가 동일한지
확인한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수 이면 Land Attack으 로 탐지한다.
▲ 조치방법
공격정보를 Network, System관리자에게 알림으로써 관리자가 침입차단시스템
(F/W) 에서 Source IP/Port와 Destination IP/Port와 동일하면 차단하도록 설
정한다.
● Ping Flooding
▲ 공격방법
Network이 정상적으로 작동하는지 여부를 확인하게 위해서 사용하는Ping Tes
-t를 해커가 해킹을 하기 위한 대상 컴퓨터를 확인하기 위한 방법으로 사용
한다. 또한 대상 system에 ICMP packet을 계속해서 보내서, 대상 system이
Request 에 응답하느라 다른 일을 하지 못하도록 하는 공격이며, 해당 시스
템은 끊임없는 응답에 내부 Service queue counter 자원의 고갈로 서비스불
능 상태에 빠진다. 동시에 Network에 Over load를 발생시키는 치명적인 공격
이 될 수도 있다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 ICMP를 분석한다
② 분석결과 ICMP type이 ECHO인지 확인한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 Ping Flooding으로 탐지한다
▲ 조치방법
공격정보를 Network, System 관리자에게 알려서 관리자가 침입차단시스템(F/
W) 에서 ICMP(ECHO)서비스를 차단함으로써 해결하고, 공격을 한 클라이언트를
집중적으로 관찰하도록 한다.
● Ping Sweep
▲ 공격방법
공격자(Client)가 대상 Network에 어떤 서버가 존재하는지를 파악하기 위해
서 ICMP 를 이용하여 대상 Network의 Broadcast IP 를 입력한 다음 응답되는
패킷을 분석하여 정보를 파악할 수 있는 기법이다. 또한 대상 Network전체에
Overload를 발생 시킬 목적으로 사용 되기도 한다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 ICMP를 분석한다
② 분석결과 ICMP type이 ECHO이면서 대상 IP Address가 Broadcast IP이면 P
-ing Sweep으로 간주한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 Ping Flooding으로 탐지한다
▲ 조치방법
공 격정보를 Network, System 관리자에게 알려서 관리자가 침입차단시스템(F/
W)에서 ICMP(ECHO)서비스를 차단함으로써 해결하고, 공격을 한 클라이언트를
집중적으로 관찰하도록 한다.
● Snork Attack
▲ 공격방법
공격자가 대상서버(MS Windows 계열) 의 Resource를 소진 시키기 위해서 UDP
의 destination 포트를 135(Microsoft Location Service)번으로 source 포트
를 7(Echo), 19(Chargen), 135 로 하여 Packet를 보내면 서로가 무한 통신을
한다는 취약점을 이용하여 공격하는 방법이다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 UDP를 분석한다
② 분석결과 destination Port가 135번 이고, Source Port가 7,19,135번 중
의 하나 이면 Snork Attack으로 간주한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 Ping Flooding으로 탐지한다
▲ 조치방법
공격정보를 Network, System 관리자에게 알려서 관리자가 침입차단시스템(F/
W)에서 UDP 서비스를 차단함으로써 해결하고, 공격을 한 클라이언트를 집중
적으로 관찰하도록 한다. 또한 대상 서버를 취약점이 해결된 O.S로 Version
Up을 하여 공격을 최소화한다.
● Open Teardrop Attack
▲ 공격방법
TCP/IP 통신에서 보내는 쪽에서는 IP 데이타그램을 쪼개고 받는 쪽에서는 이
를 합치는(프레그멘테이션과 리어셈블리) 아주 정상적으로 일어나야 할 과정
을 공격자가 임의적으로 과도하게 발생 시키거나, 꼬이게 함으로써 대상컴퓨
터 가 다운되게 하는 DOS공격의 일종이다. 또한 이 공격은 어떤 OS의 IP frag
-ment 재조합 코드 안에 버그를 일으키는 invalid fragmented IP 패킷을 보
낸다. 이 취약성은 공격자가 목적 시스템을 손상시켜 서비스손실을 유발시키
고, 서버를 다운 시킬 수도 있다. Open Tear공격이 일반적인 Tear Drop과 다
른점은 Packet를 보냄에 있어서 IP가 fragment 되어 있다는 Signal만 보내고
실질적인 Data는 보내지 않는 것이다. 이는 서버에게 Tear Drop보다 더 많은
부하를 발생시킬 수 있으며, 이로 인하여 정상적인 서비스를 하지 못하는 경
우가 발생한다.
▲ 탐지방법
① Packet을 분석하여 확인한 결과 Fragmentation이 되어있으면 이를 Count
한다.
② Packet의 Data부분에 Data가 있는지 여부를 확인하여 Data가 없으면Open
Tear공격으로 간주한다.
③ 공격자가 보내는 Packet의 횟수를 Count 하여 공격인정 시간내에 공격인
정회수이면 OpenTear 공격으로 탐지한다
▲ 조치방법
대상 시스템의 O.S를 보안에 관련된 모든 hot fix 뿐만 아니라 최신의 버전
또는 최신의 서비스팩을 설치하여 더 이상 시스템이 영향을 받지 않도록 한
다. 또한 이러한 사실을 System, Network 관리자에게 공지하고 공격자의 IP
를 방화벽(F/W)에서 차단한다.
● Telnet Flooding
▲ 공격방법
DOS 공격의 한 방법으로서 TCP 프로토콜을 이용하여 클라이언트가 서버의 Te
-lnet port에 ^D문자를 연속적으로 보내어 서버의 부하를 발생시켜 정상적인
서비스를 하지 못하도록 한다. 이는 Solaris의 특정 O.S 에 치명적인 영향을
미칠 수 있으면, 대부분의 서버에서 Over Load가 발생하고 있다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 TCP를 분석한다
② 분석결과 대상 Port가 Telnet(23) Port 이고 연속해서 ^D문자가 검출되면
Telnet Flooding 공격으로 간주 한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 Ping Flooding으로 탐지한다
▲ 조치방법
공격정보를 Network, System 관리자에게 알려서 관리자가 침입차단시스템(F/
W)에서 불필요한 Telnet Port서비스를 차단함으로써 해결하고, 공격을 한 클
라이언트를 집중적으로 관찰하도록 한다. 또한 대상 서버를 취약점이 해결된
O.S로 Version Up을 하여 공격의 피해를 최소화 한다.
● Mail Bomb
▲ 공격방법
Mail 서버에 대량(수십, 수십만 통)의 동일 또는 쓰레기 E-Mail을 보내어 서
버의 용량을 초과하게 만들어 E-Mail서비스 불능 상태에 빠지게 하여 정상적
인 E-Mail의 송.수신을 방해하는 DOS 공격으로 사용한다.
▲ 탐지방법
대량의 E-Mail을 보내기 위해서는 수작업으로는 불가능하기 때문에 프로그램
을 이용하여 동일한 내용(반드시 동일하지 않을 수 있지만 대부분 유사한 방
식으로 구성되어 있음)의 E-Mail이 특정 클라이언트에서 서버에 전달되는 내
용 을 감시하여 탐지한다.
① 공격자가 보낸 TCP Packet를 분석하여 SMTP(25Port)를 확인한다.
② SMTP Packet의 State가 MAIL일 경우 From, To, Subject Address를 확인한
다.
③ 공격자가 동일한 수신자 및 내용의 Packet를 보내는 횟수를 Count하여 공
격인정 시간내에 공격인정회수이면 Mail Bomb으로 탐지한다.
▲ 조치방법
동일 또는 유사한 E-Mail 이 3회 이상 특정 서버에 전달 될 경우 TCP/IP 의
RESET 신호를 클라이언트와 서버에게 동시에 보냄으로써 더 이상의 E-Mail이
서버에 전달 못되게 함으로 서버를 보호한다. 또한 이러한 사실을 System,
Network관리자에 알려 공격자 IP Address를 방화벽에서 차단하도록 설정한다.
그리고 sendmail 최신의 버전으로 Upgrade한다.
● Mail Spam
▲ 공격방법
Mail 서버에 대량의 동일 또는 악성 광고 E-Mail을 보내어 서버의 용량을 초
과하게 만들어 서버의 고유 기능을 마비 시키거나, 사용자가 불필요하게 Ma
-il을 열람하게 함으로서 업무의 효율성을 저하 시킨다.
▲ 탐지방법
① 공격자가 보낸 TCP Packet를 분석하여 SMTP(25Port)를 확인한다.
② Packet Data가 571(Unsolicited email refused), 550 (Requested action
not taken: mailbox unavailable), 501(Syntax error in parameters or
argument), 554(Transaction failed)인지 확인한다.
③ 공격자가 동일한 데이터를 보내는 Email 의 횟수를 Count하여 공격인정시
간내에 공격인정회수이면 Mail Spam으로 탐지한다.
▲ 조치방법
Mail Spam으로 탐지된 내용을 관리자에게 알려주고 침입차단시스템(F/W)에서
발송자의 IP Address를 차단하도록 하고 Sendmail 프로그램을 Patch한다. 또
한 SNIPER는 SPAM MAIL 발송자에게 Reset Packet 를 보내어 더 이상 Mail 이
송.수신되지 않게 하도록 한다.
● UDP LoopBack
▲ 공격방법
공격자가 UDP의 Source와 Destination 포트를 7(Echo), 17(Quoteof the day),
19(Chargen) 으로 동일하게 조작한 다음 Packet를 발송하면 서로간에 무한 통
신을 한다는 Protocol의 취약점을 이용한 DOS 공격으로 이로 인하여 Server
및 Network 에 Overload가 발생하고, 정상적인 서비스가 마비되는 현상이 발
생 할 수 있다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 UDP를 분석한다
② 분석결과 source 및 destination Port가 7, 17, 19번 중의 하나이면서 동
일하면 UDP Loopback공격으로 간주한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 UDP Loopback공격으로 탐지한다
▲ 조치방법
공격정보를 Network, System 관리자에게 알려서 관리자가 침입차단시스템(F/
W)에서 UDP 서비스를 차단함으로써 해결하고, 공격을 한 클라이언트를 집중
적으로 관찰하도록 한다. 또한 대상 서버를 취약점이 해결된 O.S로 Version
Up을 하여 공격을 최소화한다.
■ 정보수집
어떤 서버나 시스템을 공격하기전에 서버 혹은 시스템의 취약점, Network 경
로, 방화벽 설치 유무를 알아내고 정보를 수집하는 공격방법
● Finger
▲ 공격방법
대상서버에 공격을 하기 위해서 어떤 계정이 등록되어 있는지를 확인하는 방
법으로 사용 된다. 계정 확인이 완료되면 Password를 Crack 프로그램을 이용
하 여 Crack한 다음, 서버에 직접 접속을 하여 정보 위.변조, 갈췌 행위을 한
다.
▲ 탐지방법
① 공격자가 보낸 TCP Packet를 분석하여 Finger 서비스를 확인한다.
② 공격자가 Packet를 보내는 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 Finger 공격으로 탐지한다.
▲ 조치방법
공격 클라이언트와 서버에 RESET신호를 보내어 해커가 정보를 획득하지 못하
도록 한다. 또한 서버에 불필요한 서비스를 Disable 시키고, 방화벽에서 Fin
-ger port를 차단한다.
● Host Sweeping
▲ 공격방법
각종 정보를 파악할 수 있는 기법(FingerPrint, Ping, Port Scan 등)을 동원
하여 각종 서버의 정보를 동시 다발적으로 파악하는 기법
▲ 탐지방법
한 클라이언트(공격자)가 여러 서버를 순차적으로 Scan 할 경우 Host Sweepi
-ng으로 간주한다.
▲ 조치방법
이러한 정보를 관리자에게 주지시켜 집중적으로 관찰하도록 한다.
● SYN Port Scan
▲ 공격방법
대상컴퓨터(서버)에 해킹하기 위해서 대상컴퓨터가 TCP/IP의 어떤 포트를 Op
-en하여 서비스를 하는지 알아내기 위한 방법으로 포트번호 0번 부터 65,535
번 포트까지 순차적 또는 무순위로 SYN를 보내어 서버가 응답하는 SYN/ACK를
확인한다.
대 상 System 의 port 와 완전한 connection을 연결하지 않는다. 즉, 3-way
handshake 과정을 모두 수행하지 않고, 이 중 2가지 과정만을 수행하며
RST packet 은 보내지 않는다. 이는 "half-open" 이라 불리우기도 하며, 이
Scan의 경우에는 보안설정이 잘 된 일부의 system에서만 log 기록이 남는 단
점이 있기 때문에 감지하기가 어렵다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 TCP를 분석한다.
② TCP Header 의 flag가 TH_SYN 이면서 대상 Port가 매번 다르면 TCP Port
Scan 공격으로 간주한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 TCP Port Scan으로 탐지한다
▲ 조치방법
관리자에게 이러한 사실을 알리고, 관리자는 서버의 불필요한 서비스 포트를
Disable 함으로서 공격의 피해를 최소화 할 수 있다. 또한 방화벽 (F/W)에서
불필요한 서비스를 Close한다.
● Trace Route
▲ 공격방법
공격을 하기위해서 Network 경로를 파악하기 위한 방법으로 사용한다. 또한
F/W 설치여부를 확인하기 위해서 사용되기도 한다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 IP를 분석한다.
② IP Header의 TTL을 확인하여 1이면 ICMP Traceroute로 간주한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 ICMP Traceroute로 탐지한다.
▲ 조치방법
이러한 정보를 관리자에게 주지시켜 집중적으로 관찰하도록 하거나 침입차단
시스템에서 차단하도록 한다
● FIN port scanning
▲ 공격방법
이 방법은 일반적인 TCP port scanning 에 대한 더 빠른 대안으로서 사용될
수 있다. 이는 listening TCP port 를 찾기 위해, TCP FIN 패킷에 대해 호스
트 가 응답하는 것을 관찰하여 scan한다. scanner가 어떤 포트가 listen하고
있는지를 추정하는 방법은, 대상 호스트가 FIN이 listening port로 전송되었
을 때는 응답이 없고 non-listening port 로 전송되었을 때에만 응답을 보내
주는 성질을 이용하는 것으로 port가 실제로 TCP 연결을 초기화하지 않고 검
사되기 때문에 이와 같은 종류의 scan은 "stealth (포착이 어려운)" scan 이
라고 불리기도 한다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 TCP를 분석한다.
② TCP Header에 설정된 flag가 TH_FIN으로 설정되어 있으면 공격으로 간주
한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회 수이면 TCP FIN Scan으로 탐지한다.
▲ 조치방법
이 scanner는 어느 TCP port가 listening하고 있는지를 보고한다. 그 포트들
이 승인된 서비스를 실행시키고 있는지를 알기 위하여 포트들을 검사해야 한
다. 만일 설명이 없거나 원치 않는 서비스를 실행시키고 있다면 그 포트들을
불능상태로 해두는 것이 바람직하다. 많은 운영체제가 정상적인 동작을 위해
필요한 서비스를 많이 탑재하고 있다. 어떤 경우 이 서비스들은 알려지거나
알려지지 않은 보안문제를 가지고 있을지 모른다. 필요하지 않은 서비스들은
불능상태로 할 것을 권고한다. 또한 방화벽 (F/W) 에서 불필요한 서비스를
Close한다.
● RPC Port Map Dump
▲ 공격방법
대상컴퓨터(서 버)에 해킹하기 위해서 대상컴퓨터가 RPC의 어떤 포트를 Open
하여 서비스를 하는지 알아내기 위한 방법이다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 TCP를 분석한다.
② TCP를 분석한 결과 RPC Service이면 RPC 정보를 분석하여 RPC rm_call의
cb_procdl이 4이고 RPC Version이 2이면 SUN RPC Service로 판단한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 RPC Port Map Dump로 탐지한다
▲ 조치방법
관리자에게 이러한 사실을 알리고, 관리자는 서버의 불필요한 서비스 포트를
Disable함으로서 공격의 피해를 최소화 할 수 있다. 또한 방화벽(F/W)에서
불필요한 서비스를 Close한다.
● RPC Port Map Get Port
▲ 공격방법
대상컴퓨터 (서버)에 해킹하기 위해서 대상컴퓨터가 RPC의 어떤 포트를 Open
하여 서비스를 하는지 알아내기 위한 방법이다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 TCP를 분석한다.
② TCP를 분석한 결과 RPC Service이면 RPC 정보를 분석하여 RPC rm_call 의
cb_procdl이 3이고 RPC Version이 2이면 SUN RPC Service로 판단한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 RPC Port Map Dump로 탐지한다
▲ 조치방법
관리자에게 이러한 사실을 알리고, 관리자는 서버의 불필요한 서비스 포트를
Disable함으로서 공격의 피해를 최소화 할 수 있다. 또한 방화벽(F/W)에서
불필요한 서비스를 close한다.
● XMAS Port Scan
▲ 공격방법
대상컴퓨터 (서버)에 해킹하기 위해서 대상컴퓨터가 TCP/IP 의 어떤 포트를
Open하여 서비스를 하는지 알아내기 위한 방법으로 포트번호 0번부터 65,535
번 포트까지 순차적 또는 무순위로 FIN, URG, PUSH 등의 신호를 보내어 서버
가 응답하는 RESET 신호를 확인한다.(probe packet에서 FIN, URG, PUSH flag
를 사용하는 것이 Scan-FIN과는 다름, 그 외에는 동일함)
▲ 탐지방법
① 공격자가 보낸 Packet에서 TCP를 분석한다.
② TCP Header의 flag에 TH_FIN, TH_URG, TH_PUSH 조합이 설정되어 있거나,
TH_URG가 설정되어 있거나 TH_PUSH가 설정되어 있거나 TH_FIN, TH_URG 조
합으로 설정되어 있거나 TH_FIN,TH_PUSH조합으로 설정되어 있거나 TH_URG,
TH_PUSH 조합으로 설정되어 있는지 확인하여 이경우에 포함되면 TCP Xmas
Scan공격으로 Scan한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 TCP Xmas Scan으로 탐지한다.
▲ 조치방법
관리자에게 이러한 사실을 알리고, 관리자는 서버의 불필요한 서비스 포트를
Disable함으로서 공격의 피해를 최소화 할 수 있다. 또한 방화벽(F/W)에서
불필요한 서비스를 Close한다.
● NULL Port Scan
▲ 공격방법
대상컴퓨터 (서버)에 해킹하기 위해서 대상컴퓨터가 TCP/IP 의 어떤 포트를
Open하여 서비스를 하는지 알아내기 위한 방법으로 포트번호 0번부터 65,535
번 포트까지 순차적 또는 무순위로 NULL를 보내어 서버가 응답하는 RESET 신
호를 확인한다.
probe packet에서 모든 flag를 꺼놓은 것 외에는 Scan -FIN과 동일하다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 TCP를 분석한다.
② TCP Header에 설정된 flag가 없으면 TCP NULL Port Scan 공격으로 간주한
다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 TCP NULL Scan으로 탐지한다.
▲ 조치방법
관 리자에게 이러한 사실을 알리고, 관리자는 서버의 불필요한 서비스 포트를
Disable함으로서 공격의 피해를 최소화 할 수 있다. 또한 방화벽(F/W)에서
불필요한 서비스를 Close한다.
● UDP Port Scan
▲ 공격방법
대상컴퓨터(서버)에 해킹하기 위해서 대상컴퓨터가 UDP의 어떤 포트를 Open
하여 서비스를 하는지 알아내기 위한 방법으로 포트번호 0 번부터 65,535 번
포트까지 순차적 또는 무순위로 Data를 보내어 서버가 ICMP로 응답하는 것을
확인한다.
0 byte UDP (User Datagram Protocol) Packet을 이용하여 대상 system 의 OS
정보 및 현재 사용중인 Server Port등의 정보를 알아낼 수 있으며(대상 port
에서 unreachable message 가 오는가의 여부로 알 수 있다.)
이를 이용해 30000번 이상의 port 정보도 알아낼 수 있다. 단, 대부분의 OS
에서 시간당 생성 가능한 unreachable message 개수를 제약하고 있기 때문에,
scanning 속도가 굉장히 늦다.
방법 : Root 권한으로 #>nmap -sU 211.41.170.28 실행(버전 : nmap 2.53)
▲ 탐지방법
① 공격자가 보낸 Packet에서 UDP를 분석한다.
② UDP Loopback, Snork Attack을 확인하여 탐지되지 않으면 UDP Port Scan
공격으로 간주한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회 수이면 UDP Port Scan으로 탐지한다
▲ 조치방법
관리자에게 이러한 사실을 알리고, 관리자는 서버의 불필요한 서비스 포트를
Disable함으로서 공격의 피해를 최소화 할 수 있다. 또한 방화벽(F/W)에서
불필요한 서비스를 Close한다.
● FingerPrint (OS Scan)
▲ 공격방법
TCP/IP 의 패킷을 구현함에 있어서 OS 마다 구현 방식이 다른 점을 이용하여
여러가지 TCP/IP 패킷을 특정서버에 보내어 응답되는 패킷을 분석하여 서버
의 OS를 파악한 다음 해킹의 자료로 사용한다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 TCP를 분석한다.
② TCP Header의 flag에 TH_BOG이거나 TH_PUSH이거나 TH_SYN, TH_FIN, TH_RST
조합이거나 TH_URG이거나 TH_SYN이고 TH_FIN, TH_RST조합이면 TCP OS Scan
(FingerPrint) 공격으로 간주한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 TCP OS Scan(FingerPrint)으로 탐지한다.
▲ 조치방법
FingerPrint 로 탐지되면 SNIPER가 클라이언트에게 예상하지 못하는 패킷을
보내어 OS를 파악하지 못하도록 한다. 또한 이러한 정보를 System, Network
관리자에게 알리어 집중 관리하도록 한다.
■ 프로토콜취약점
TCP/IP 프로토콜 규약상의 문제점을 악용하여 공격함으로써 Network, System
에 Over Load 및 Down을 유발하여 정상적인 서비스를 방해하는 공격이다.
● Ack Storm
▲ 공격방법
공격자가 대상서버에 대량의 TCP/IP 의 Ack 신호를 보냄으로써 대상 서버는
이로 인하여 불필요한 Load가 발생하고, 정상적인 서비스가 지연되는 공격이
다. 이는 TCP/IP의 프로토콜 규약의 헛점을 이용하여 공격하는 기법이다. 또
한 이 공격은 Session이 이루어진 Packet에 대해서 Hijacking을 하기 위해서
사용 되기도 한다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 TCP를 분석한다.
② TCP Header의 flags가 TH_ACK로 설정되어 있는지를 확인 한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 ACK Storm으로 탐지한다.
▲ 조치방법
공격자에게 RESET 신호를 보내어 공격을 무력화하거나 침입차단 시스템에서
공격 클라이언트를 차단하여 공격으로부터 서버를 보호한다
● Corrupt IP Option
▲ 공격방법
공격자가 대상 서버에 Over Load 발생 또는 Network 을 Down 시키기 위해서
TCP/IP의 규약된 정의를 지키지 않고 임의로 비정상적인 IP Option을 사용하
여 공격하는 Protocol 취약점 공격이면서 DOS 공격으로 사용한다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 TCP를 분석한다.
② IP Header의 각종 flags가 정상적으로 설정되어 있는지를 확인 한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이 면 Corrupt IP Option공격으로 탐지한다.
▲ 조치방법
공격자에게 RESET신호를 보내어 공격을 무력화하거나 침입차단 시스템에서
공격 클라이언트를 차단하여 공격으로부터 서버를 보호한다, 또한 이러한 공
격에 대해서 정상적으로 동작하는 O.S로 Patch 또는 Upgrade 를 함으로써 공
격의 피해를 최소화 할 수 있다.
● UDP Truncated Header
▲ 공격방법
공격자가 대상 서버에 UDP 프로토콜의 비정상적인 Packet 을 보내어 서버에
Over load를 발생시키거나, Down 시켜 정상적인 서비스를 방해하는 프로토콜
취약 점 및 DOS공격이다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 UDP를 분석한다.
② IP Header의 각종 flags가 정상적으로 설정되어 있는지를 확인 한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 UDP Truncated Header공격으로 탐지한다.
▲ 조치방법
이러한 사실을 System, Network 관리자에 공지하여 공격자 IP를 관리함과 동
시에 방화벽(F/W)에서 불필요한 UDP서비스를 차단함으로써 공격의 피해를 최
소화 할 수 있다.
또한 Server의 불필요한 UDP Service를 Disable 한다.
● Hijacking
▲ 공격방법
TCP/IP 의 Session은 Server와 Client 통신에서 서로 인증을 확인하고, Data
를 순차적으로 송.수신하기 위해서 항상 Sequence Number 를 증가 시키면서
통신을 하는데, 이 Sequence Number를 알게되면 Server 에 별 다른 인증 절
차없이 통신을 할 수 있는 프로토콜의 취약점을 이용하여 공격자가 이를 도
용하는 해킹 기법이다. 실시간으로 Sequence Number 를 알아내기 위해서 먼
저 SYN Flooding 또는 ACK Storm 공격기법을 이용하기도 한다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 TCP를 분석한다.
② TCP/IP Packet의 MAC Address를 확인하여 IP Spoofing인지 여부를 판단한
다.
③ 직전의 Session의 MAC Address와 비교하여 다르면 Hijacking 으로 간주한
다.
④ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 Hijacking으로 탐지한다.
▲ 조치방법
공격자에게 RESET 신호를 보내어 공격을 무력화하거나 침입차단 시스템에서
공격 클라이언트를 차단하여 공격으로부터 서버를 보호한다, 또한 이러한 공
격에 대해서 정상적으로 동작하는 O.S로 Patch 또는 Upgrade 를 함으로써 공
격의 피해를 최소화 할 수 있다.
● Source Routing
▲ 공격방법
공격자는 TCP/IP 프로토콜의 Source Routing 기법을 이용하여 접근이 불가능
한 내부의 사설망에 접근하여 각종 해킹을 하는 프로토콜 취약점 공격이다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 TCP를 분석한다.
② TCP/IP Packet의 Signal 이 Source Routing이면 Source Routing 공격으로
간주한다
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 Source Routing공격으로 탐지한다.
▲ 조치방법
공격자에게 RESET 신호를 보내어 공격을 무력화하거나 침입차단 시스템에서
공격 클라이언트를 차단하여 공격으로부터 서버를 보호한다, 또한 이러한 공
격에 대해서 정상적으로 동작하는 O.S로 Patch 또는 Upgrade 를 함으로써 공
격의 피해를 최소화 할 수 있다.
Router에서 Source routing를 disable시킨다.
● IP Spoofing
▲ 공격방법
서버가 동일한 Network 환경 또는 Netmask 를 가진 클라이언트에게는 다양한
서비스를하고, 그렇지 않은 클라이언트에게는 서비스를 제한하도록 설계되어
있을 경우, 해커가 외부망에서 서버에 침투함에 있어서 내부 클라이언트인
것처럼 IP를 속여서 서버에 접근하거나, 일반적인 DOS공격에서 추적을 피하
기 위해서 사용한다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 TCP를 분석한다.
② Packet의 MAC Address를 검사하여 내부 Network에 위치한 주소인지 여부
를 확인하여 기존의 Mac과 비교하여 이를 파악한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 IP Spoofing으로 탐지한다.
▲ 조치방법
공격자에게 RESET 신호를 보내어 공격을 차단하거나 공격 클라이언트를 차단
하여 공격으로부터 서버를 보호하거나 운영체제를 Patch한다. 또한 방화벽에
서 불필요한 IP 접근을 방지하도록 한다.
● TCP Teardrop Attack
▲ 공격방법
TCP/IP 통신에서 보내는 쪽에서는 IP 데이타그램을 쪼개고 받는 쪽에서는 이
를 합치는(프레그멘테이션과 리어셈블리) 아주 정상적으로 일어나야 할 과정
을 공격자가 임의적으로 과도하게 발생 시키거나, 꼬이게 함으로써 대상컴퓨
터가 다운되게 하는 DOS공격의 일종이다. 또한 이 공격은 어떤 OS의 IP frag
-ment 재조합 코드 안에 버그를 일으키는 invalid fragmented IP패킷을 보낸
다. 이 취약성은 공격자가 목적 시스템을 손상시켜 서비스손실을 유발시키고,
서버를 다운 시킬 수도 있다.
▲ 탐지방법
① Packet을 분석하여 확인한 결과 TCP 이면서 Fragmentation 이 되어있으면
이를 Count한다.
② 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 TCP TearDrop으로 탐지한다
▲ 조치방법
대상 시스템의 O.S 를 보안에 관련된 모든 hot fix 뿐만 아니라 최신의 버전
또는 최신의 서비스팩을 설치하여 더 이상 시스템이 영향을 받지 않도록 한
다. 또한 이러한 사실을 System, Network 관리자에게 공지하고 공격자의 IP
를 방화벽(F/W)에서 차단한다.
● UDP Teardrop Attack
▲ 공격방법
TCP/IP 통신에서 보내는 쪽에서는 IP 데이타그램을 쪼개고 받는 쪽에서는 이
를 합치는(프레그멘테이션과 리어셈블리) 아주 정상적으로 일어나야 할 과정
을 공격자가 임의적으로 과도하게 발생 시키거나, 꼬이게 함으로써 대상컴퓨
터가 다운되게 하는 DOS공격의 일종이다. 또한 이 공격은 어떤 OS의 IP frag
-ment 재조합 코드 안에 버그를 일으키는 invalid fragmented IP패킷을 보낸
다. 이 취약성은 공격자가 목적 시스템을 손상시켜 서비스손실을 유발시키고,
서버를 다운 시킬 수도 있다.
▲ 탐지방법
① Packet을 분석하여 확인한 결과 UDP 이면서 Fragmentation이 되어있으면
이를 Count한다.
② 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 UDP TearDrop으로 탐지한다
▲ 조치방법
대상 시스템의 O.S 를 보안에 관련된 모든 hot fix 뿐만 아니라 최신의 버전
또는 최신의 서비스팩을 설치하여 더 이상 시스템이 영향을 받지 않도록 한
다. 또한 이러한 사실을 System, Network 관리자에게 공지하고 공격자의 IP
를 방화벽(F/W)에서 차단한다.
● ICMP Teardrop Attack
▲ 공격방법
TCP/IP 통신에서 보내는 쪽에서는 IP 데이타그램을 쪼개고 받는 쪽에서는 이
를 합치는(프레그멘테이션과 리어셈블리) 아주 정상적으로 일어나야 할 과정
을 공격자가 임의적으로 과도하게 발생 시키거나, 꼬이게 함으로써 대상컴퓨
터가 다운되게 하는 DOS공격의 일종이다. 또한 이 공격은 어떤 OS의 IP frag
-ment 재조합 코드 안에 버그를 일으키는 invalid fragmented IP패킷을 보낸
다. 이 취약성은 공격자가 목적 시스템을 손상시켜 서비스손실을 유발시키고,
서버를 다운 시킬 수도 있다.
▲ 탐지방법
① Packet을 분석하여 확인한 결과 ICMP이면서 Fragmentation 이 되어있으면
이를 Count한다.
② 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 ICMP TearDrop으로 탐지한다
▲ 조치방법
대상 시스템의 O.S 를 보안에 관련된 모든 hot fix 뿐만 아니라 최신의 버전
또는 최신의 서비스팩을 설치하여 더 이상 시스템이 영향을 받지 않도록 한
다. 또한 이러한 사실을 System, Network 관리자에게 공지하고 공격자의 IP
를 방화벽(F/W)에서 차단한다.
● IGMP Teardrop Attack
▲ 공격방법
TCP/IP 통신에서 보내는 쪽에서는 IP 데이타그램을 쪼개고 받는 쪽에서는 이
를 합치는(프레그멘테이션과 리어셈블리) 아주 정상적으로 일어나야 할 과정
을 공격자가 임의적으로 과도하게 발생 시키거나, 꼬이게 함으로써 대상컴퓨
터가 다운되게 하는 DOS공격의 일종이다. 또한 이 공격은 어떤 OS의 IP frag
-ment 재조합 코드 안에 버그를 일으키는 invalid fragmented IP패킷을 보낸
다. 이 취약성은 공격자가 목적 시스템을 손상시켜 서비스손실을 유발시키고,
서버를 다운 시킬 수도 있다.
▲ 탐지방법
① Packet을 분석하여 확인한 결과 IGMP이면서 Fragmentation 이 되어있으면
이를 Count한다.
② 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 IGMP TearDrop(IGMP Nuke)으로 탐지한다
▲ 조치방법
대상 시스템의 O.S 를 보안에 관련된 모든 hot fix 뿐만 아니라 최신의 버전
또는 최신의 서비스팩을 설치하여 더 이상 시스템이 영향을 받지 않도록 한
다. 또한 이러한 사실을 System, Network 관리자에게 공지하고 공격자의 IP
를 방화벽(F/W)에서 차단한다.
■ 서비스공격
소프트웨어 변수관리상의 문제인 Overflow Bug 및 각종 서비스의 취약점을
이용하여 불법으로 서버에 접근하여 명령어를 실행하거나 권한을 가지는 공
격방법
● DNS Name over flow
▲ 공격방법
인터넷을 사용하기 위해서는 숫자로 된 IP Address 대신에 사용자는 URL(dom
-ain name)를 이용하고 있다. 하지만 시스템 내부적으로는 입력된 URL 를 IP
Address 로 변경해야 각종 통신을 할 수 있다. 이러한 역할을 하는 서버가
DNS 서버이며, DNS 서버의 서비스 장애는 결국 인터넷을 사용하지 못하는 최
악의 경우도 발생 할 수 있다. 또한 DNS 서버는 내부적으로 사용하는 Buffer
의 Overlow에 대해서 취약점을 가지고 있는 Version이 존재하고, 이러한 취
약점은 해커의 공격 대상이 되기도 한다.
▲ 탐지방법
① 연결된 Session에서 TCP(UDP) PROTOCOL를 분석한다.
② TCP(UDP)의 서버 Port가 53이고 Name field의 길이가 규정 이상으로 길이
가 길면 DNS Name Overflow 공격으로 간주한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정시간내에 공격인정
회수이면 DNS Name over flow공격으로 탐지한다.
▲ 조치방법
이러한 사실을 System, Network 관리자에 알리어 집중적으로 관리하고, 취약
점이 제거된 DNS Server로 Upgrade를 한다.
● DNS Zone transfer
▲ 공격방법
공격자는 DNS서버에 등록된 모든 호스트에 대한 Hostname, IP Address Table
를 Download하여 해킹의 정보로 활용 한다.
▲ 탐지방법
① 연결된 Session에서 TCP(UDP) PROTOCOL를 분석한다.
② TCP(UDP)의 서버 Port가 53이고 Type이 T_AXFR, T_IXFR, T_ZXFR 이면 DNS
Zone transfer 공격으로 간주한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 DNS Zone transfer공격으로 탐지한다.
▲ 조치방법
이러한 사실을 System, Network 관리자에 알리어 집중적으로 관리하고, 취약
점이 제거된 DNS Server로 Upgrade를 한다.
● FTP Anonymous
▲ 공격방법
Anonymous 로 Ftp 서비스를 할 경우에 공격자가 접속하여 서버의 환경설정을
파악하여, 허용 권한 이상의 행동을 하여 정보를 파괴하거나, 획득하는 공격
이다. 만일 anonymous FTP가 정확히 설정되어있지 않으면 많은 anonymous 사
용 자들은 관리자가 의도한 것 이상의 권한을 얻을 수 있다. 정확하게 설정되
어있지 않은 anonymous FTP사이트는 다음과 같은 결과를 초래할 수 있다.
- 관리자 네트워크의 원격 손상
- 공개적인 접근권한의 FTP 파일 삭제, 수정
- 불법소프트웨어의 유통경로로 악용
▲ 탐지방법
① 연결된 Session에서 TCP PROTOCOL을 분석한다.
② TCP Session의 연결흐름이 Client에서 Server이고, passive mode가 아니
고, ftp command가 STOR, DELE, APPE, RNFR, RNTO, RMD, MKD이고, Userid
가 anonymous이거나 ftp, guest이면 FTP Anonymous로 Scan한다.
③ 공격자가 보내는 Packet 의 횟수를 count하여 공격인정시간내에 공격인정
회수이면 FTP Anonymous로 탐지한다.
▲ 조치방법
공 격 클라이언트에게 Reset Signal을 보내어 차단 하거나, 꼭 필요한 경우가
아니면 FTP 서비스를 Disable하여 공격으로부터 서버를 보호한다.
많은 Unix 시스템이 디폴트로 anonymous FTP설치를 제공한다. anonymous FTP
를 사용하지 않으면 anonymous FTP접근을 불가능하게 한다. 하지만 꼭 필요
에 의해서 FTP 서비스를 사용하는 경우에는 anonymous FTP가 정확히 설정되
어있는지 확인한다. 가장 중요하게 검사해야 할 것들은 다음과 같다.
- FTP home directory 계정을 superuser가 가지고 있어야 한다.
- FTP계정은 FTP 계층에 있는 어떤 디렉토리에도 쓰기를 불가능 하게 한다.
- ~ftp/etc/ 디렉토리에 있는 passwd 파일에는 패스워드가 포함되지 않아야
하며, "ls" 명령이 UID를 사용자이름에 맞춰보기 위한 필요한 소수의 계
정 만을 포함해야 한다.
- /etc/ftpusers 파일에는 로그인이 허가되지 않는 사용자목록을 기록한다.
어떤 시스템 계정이나 root도 이 파일에 포함될 수 있으며, root로 접속
하게 하는 것은 바람직하지 않다.
- /etc/ftpaccess 파일도 검사해야 한다. 다른 곳에 위치할 수도 있다. 이
파일은 보통 wu-ftp 서버와 연결되어있다. 이 파일의 설정이 정확히 되어
있는지 확인해야 한다. 이 파일에서 디렉토리를 쓰기가능하게 설정할 수
도 있고, 모든 anonymous FTP명령을 정의된 소유권, 파일권한에 의해 보
장되도록 정의할 수도 있다. 또한 anonymous 사용자 또는 그룹 사용자에
디렉토리를 생성하지 못하게 할 수도 있다. 불법복제 소프트웨어 배포자
는 anonymous ftp 서버내에 시스템 관리자가 보통 보지 않는 곳이나 기본
디렉토리로 추측하는 곳에 소프트웨어를 위치시키는 것을 기본 전략으로
삼는다. FTP는 tcp_wrapper로 보호될 수 있다. inetd로부터 실행될 프로
그 램에 tcp_wrapper를 인스톨할 것을 제안한다.
tcp_wrapper는 ftp://ftp.porcupine.org/pub/security에서 얻을 수 있다.
이 프로그램으로 ftp 데몬을 사용할 수 있는 사용자를 IP주소, hostname
을 사용하여 제한할 수 있다. tcp_wrapper에 의해 호스트가 그 서비스에
접 근할 권한이 없는 경우, 해당 포트는 호스트의 관점에서 active로 보이
지만 어떤 정보도 제공하지 않고 연결을 끊는다. 또한 tcp_wrapper는 보
통의 데몬보다 훨씬 세부적인 정보를 syslog에 기록한다. 이런 점 때문에
inetd 로부터 실행하기를 원하는 서비스에 tcp_wrapper를 인스톨하는 것을
권장한다.
● Ftp Backdoor
▲ 공격방법
FTP Server 프로그래머가 시스템을 원격지에서 접속,관리하기 위해서 Userid
에 “NULL”, Password에 “NULL”을 입력하면 인증 절차없이 root 권한으로
접속할 수 잇도록 한 FTP Server 모듈이 배포된 적이 있다. 공격자는 이러한
사실을 알고 대상서버에 접속 하여 각종 해킹을 할 수 있다. 하지만 이는 극
히 제한적으로 배포 되었기 때문에 큰피해는 발생하지 않았지만 반드시 서버
에 대해서 확인을 해야 할 사항이다.
▲ 탐지방법
① 연결된 Session에서 TCP PROTOCOL을 분석한다.
② TCP Session 의 연결흐름이 Client 에서 Server 이고 port가 21번 이면서
Userid, Password의 입력값이 NULL이면 FTP Back door로 Scan 한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 Ftp Backdoor공격으로 탐지한다.
▲ 조치방법
이러한 사실을 System, Network 관리자에게 주지 시키고, 각각의 서버에 설
치되어 있는 FTP Server에 대해서 Backdoor 설치 여부를 확인한다. 또한 불
필요한 FTP Service는 방화벽에서 Disable함으로서 공격의 피해를 최소화 한
다.
● Ftp Check User
▲ 공격방법
FTP Server에 등록되어 있는 계정에 대해서 응답하는 속성을 이용하여 시스
템에 어떤 사용자가 존재하는지에 대한 확인 방법으로 CWD ~user를 사용한다.
이러한 정보를 차후 해킹을 하기 위한 정보로 활용될 수 있기 때문에 철저하
게 관리해야 한다.
▲ 탐지방법
① 연결된 Session에서 TCP PROTOCOL을 분석한다.
② TCP Session 의 연결흐름이 Client 에서 Server 이고 port가 21번 이면서
Packet의 값이 CWD ~user이면 FTP Check user 공격으로 Scan 한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회 수이면 Ftp Check user로 탐지한다.
▲ 조치방법
이러한 사실을 System, Network 관리자에게 주지 시키고, 불필요한 FTP Se
-rvice는 방화벽(F/W)에서 Disable함으로서 공격의 피해를 최소화 한다.
● Ftp Commandline Overflow
▲ 공격방법
FTP Server 가 내부적으로 관리하는 Command line Buffer 에 대해 Overflow
공격을 가해서 특정 Script(서버에 인증절차 없이 접근할 수 있는 Script)를
서버에 등록하여, 차후 이를 이용하여 각종 해킹을 할 수 있다.
▲ 탐지방법
① 연결된 Session에서 TCP PROTOCOL을 분석한다.
② TCP Session의 연결흐름이 Client에서 Server이고 port가 21번 이면서 각
종 Command가 규정된 길이 이상으로 Setting되어 있으면 FTP Commandline
Overflow 공격으로 Scan 한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 Ftp Commandline overflow공격으로 탐지한다.
▲ 조치방법
이 러한 사실을 System, Network 관리자에게 주지 시키고, 불필요한 FTP Se
-rvice는 방화벽(F/W)에서 Disable함으로서 공격의 피해를 최소화 한다.
● Ftp CWD ~root
▲ 공격방법
FTP Server 에 guest ID로 접속을 한 다음 CWD “~root” 명령어를 이용하여
root 권한을 획득하는 공격으로 일부 FTP Server 에 이러한 취약점이 있는
Version이 극히 제한적으로 배포된 적이 있다.
▲ 탐지방법
① 연결된 Session에서 TCP PROTOCOL을 분석한다.
② TCP Session 의 연결흐름이 Client 에서 Server 이고 port가 21번 이면서
Command가 CWD “~root”로 Setting되어 있으면 FTP CWD ~root 공격으로
Scan 한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 Ftp CWD ~root공격으로 탐지한다.
▲ 조치방법
이러한 사실을 System, Network 관리자에게 주지 시키고, 불필요한 FTP Serv
-ice는 방화벽(F/W)에서 Disable함으로서 공격의 피해를 최소화 한다. 또한
버그가 Patch된 Version으로 Upgrade를 한다.
● Ftp Login Fail
▲ 공격방법
대상 system에 Ftp 서비스로 접속하여, 자주(기본으로) 사용되는 사용자 이
름 혹은 정보수집을 통해 알아낸 사용자 이름에 흔히 사용되는 password 를
반복 입력함으로써 password 를 알아내 대상 system 에 login 하는 공격이다.
손으로 직접 하는 경우도 있지만 script등을 이용하여 자동으로 반복 수행시
키는 경우가 더 위협적이며, 자신의 위치를 숨기기 위해 제 3의 시스템에 침
투한 다음 시도하는 경우가 있다.
▲ 탐지방법
① 연결된 Session에서 TCP PROTOCOL을 분석한다.
② TCP Session 의 연결흐름이 Client 에서 Server 이고 port 가 21이면 Ftp
Login 공격으로 간주한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 Ftp Login Fail 로 탐지한다.
▲ 조치방법
공격인증 횟수 이상 실패한 공격자에 대해서 Reset Signal 를 이용하여 차단
한 다음, 공격자의 IP Address를 Black List에 등록하여 특정시간 동안 해당
서버에 접속하지 못하도록 한다. 또한 Ftp서비스를 사용할 수 있는 사용자를
방화벽(F/W)에서 제한함으로서 서버를 보호할 수 있다.
● Ftp Other Server
▲ 공격방법
FTP Server에 특정ID(guest 등)로 접속(21 Port)을 한 다음 다른 서버에 있
는 각종 정보를 주고, 받을 수 있도록 하는 기법으로 이는 FTP의 Data Port
인 20번에 대해서 인증을 거치지 않고 송.수신이 가능 하다는 취약점을 이용
한 서비스 공격이다.
▲ 탐지방법
① 연결된 Session에서 TCP PROTOCOL을 분석한다.
② TCP Session의 연결흐름이 Client 에서 Server 이고 port 가 21번 이면서
실질적으로 Data를 송수신하는 IP Address, Port 번호를 확인하여 IP Add
-ress가 다르고, Port가 20번이면 FTP Other Server로 Scan 한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이 면 Ftp Check user로 탐지한다.
▲ 조치방법
이러한 사실을 System, Network 관리자에게 주지 시키고, 불필요한 FTP Ser
-vice는 방화벽(F/W)에서 Disable함으로서 공격의 피해를 최소화 한다. 또한
버 그가 Patch된 Version으로 Upgrade를 한다.
● Ftp PASV Crash
▲ 공격방법
FTP Server의 명령어의 PASV를 이용하여 대상 서버에 각종 쓰레기 DATA를 대
량으로 보냄으로써 서버에 Overload 를 발생 시키는 정상적인 서비스를 이용
한 Dos 공격으로 사용된다.
▲ 탐지방법
① 연결된 Session에서 TCP PROTOCOL을 분석한다.
② TCP Session 의 연결흐름이 Client 에서 Serve r이고 port가 21번 이면서
FTP Command가 PASV이면 FTP PASV Crash공격으로 Scan한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 FTP PASV Crash공격으로 탐지한다.
▲ 조치방법
이러한 사실을 System, Network 관리자에게 주지시키고, 불필요한 FTP Ser
-vice는 방화벽(F/W)에서 Disable함으로서 공격의 피해를 최소화 한다. 또한
버 그가 Patch된 Version으로 Upgrade를 한다.
● FTP Port bounce
▲ 공격방법
이 공격은 TCP port에 연결시도를 하기 위해, 원격 FTP서버를 활용하여 어떤
TCP 포트가 원격지 호스트에 활성화 상태인지를 판단한다. 이는 어떤 TCP po
-rt가 원격 네트워크상에 열려 있는가를 판단하기 위해 FTP bounce attack을
이 용한다. FTP bounce attack에 취약한 FTP 서버는 필터링 라우터가 그 포트
의 접근을 막는다 하더라도, 공격자가 원격지 서버 혹은 다른 내부 호스트에
서 어떤 서비스들을 제공하는지를 판단할 수 있게끔 한다.
▲ 탐지방법
① 공격자가 보낸 Packet에서 TCP를 분석한다.
② FTP DATA의 패킷이 1024번 아래의 포트를 Open하면 Ftp Port Bounce 공
격으로 간주한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 FTP Port bounce로 탐지한다.
▲ 조치방법
공격 클라이언트와 서버에 RESET 신호를 보내어 공격을 무력화시킴으로서
서버의 정보를 보호하고, FTP bounce attack 에 취약하지 않은 최신버전의
FTP 서버로 업그레이드 할 것을 권장한다.
● Ftp Site exec
▲ 공격방법
FTP Server의 명령어 중에서 원격 프로그램 실행 명령어인 Site exec를 이용
하여 대상 서버에 특정 Script (backdoor 설치 등)를 등록 함으로서 차후 인
증절차 없이 대상서버에 root권한으로 접속을 하여 각종 정보를 해킹한다.
▲ 탐지방법
① 연결된 Session에서 TCP PROTOCOL을 분석한다.
② TCP Session 의 연결흐름이 Client 에서 Server 이고 port가 21번 이면서
FTP Command가 Site exec이면 FTP Site exec공격으로 Scan한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 Ftp Site exec 공격으로 탐지한다.
▲ 조치방법
이러한 사실을 System, Network 관리자에게 주지 시키고, 불필요한 FTP Ser
-vice는 방화벽(F/W)에서 Disable함으로서 공격의 피해를 최소화 한다. 또한
버그가 Patch된 Version으로 Upgrade를 한다.
● Mail Bad Command
▲ 공격방법
E-Mail를 주고받기 위해서는 이미 정해진 규약 (SMTP)을 반드시 이용하여야
하는데 공격자가 임의로 규약을 어기고 이상한 명령어를 서버에 보내어 서버
시스템이 다운되거나, 예상하지 못한 일을 하게 함으로서 공격이 이루어진다.
▲ 탐지방법
① 연결된 Session에서 SMTP PROTOCOL을 분석한다.
② SMTP로 주고받는 명령어를 감시하여 규약에 어긋나는 명령어가 탐지 되면
Mail Bad Command 공격으로 간주 한다.
③ 공격자가 보내는 Packet의 횟수를 Count 하여 공격인정시간내에 공격인정
회 수이면 Mail Bad Command 로 탐지한다.
▲ 조치방법
공격자에게 RESET신호를 보내어 공격을 무력화하거나 침입차단시스템에서 공
격 클라이언트를 차단하여 공격으로부터 서버를 보호한다.
● Mail Bounce
▲ 공격방법
E-Mail를 주고받기 위해서는 서버에 반드시 Mail서버라는 프로그램이 실행되
어 있어야 한다. 하지만 일부 E-Mail 서버에는 “FROM TO: | program_name”
을 입력하면 해당 서버에 존재하는 Program이 실행 되는 Bug를 가진 Mail 서
버가 배포되었다는 점을 이용하여 해커가 악의적인 목적으로 이를 사용한다.
▲ 탐지방법
① 연결된 Session에서 SMTP PROTOCOL을 분석한다.
② SMTP Protocol 에서 FROM TO: 다음에 정상적인 E-Mail ID가 아닌 Program
name이 있으면 Mail Bounce 공격으로 Scan 한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회 수이면 Mail Bounce 공격으로 탐지한다.
▲ 조치방법
공격자에게 RESET 신호를 보내어 공격을 무력화하거나 침입차단 시스템에서
공격 클라이언트를 차단하여 공격으로부터 서버를 보호한다. 또한 Bug가 수
정된 Mail 서버를 사용함으로써 공격의 피해를 최소화 할 수 있다.
● Mail Command over flow
▲ 공격방법
E-Mail 서버가 내부적으로 관리하는 Command buffer에 대해서 공격자가 임의
적으로 Over flow를 발생시켜, 서버의 특정 명령어 (Backdoor 설치, 정보획
득 등)를 실행시키는 공격이다.
▲ 탐지방법
① 연결된 Session에서 SMTP PROTOCOL을 분석한다.
② SMTP로 주고받는 명령어를 감시하여 정의된 길이보다 긴 명령어가 검출되
면 Mail Command over flow 공격으로 간주한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 Mail Command over flow 공격으로 탐지한다.
▲ 조치방법
공격자에게 RESET신호를 보내어 공격을 무력화하거나 침입차단시스템에서 공
격 클라이언트를 차단하여 공격으로부터 서버를 보호한다. 또한 Bug가 수정
된 Verson으로 Upgrade를 한다.
● Mail Debug
▲ 공격방법
E-Mail 서버가 가지고 있는 Debug 명령어를 이용하여 서버의 특정 명령어
(Backdoor 설치, 정보획등 등)를 실행시키는 공격이다.
▲ 탐지방법
① 연결된 Session에서 SMTP PROTOCOL을 분석한다.
② Client와 Server가 주고받는 명령어를 감시하여 Debug 명령어가 검
출되면 Mail Debug 공격으로 간주한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 Mail Debug 공격으로 탐지한다.
▲ 조치방법
공격자에게 RESET신호를 보내어 공격을 무력화하거나 침입차단시스템에서 공
격 클라이언트를 차단하여 공격으로부터 서버를 보호한다. 또한 Bug가 수정
된 Verson으로 Upgrade를 한다.
● Mail Files
▲ 공격방법
E-Mail를 주고받기 위해서는 서버에 반드시 Mail 서버라는 프로그램이 실행
되어 있어야 한다. 하지만 일부 E-Mail 서버에는 “RCPT TO: /tmp/test”을
입력하면 수신되는 메일의 내용이 /tmp/test 라는 파일에 저장되게 된다. 이
렇게 함으로서 해커는 악성 코드를 /tmp/test라는 파일에 등록 한 다음 차후
이를 이용하여 서버를 해킹한다.
▲ 탐지방법
① 연결된 Session에서 SMTP PROTOCOL을 분석한다.
② SMTP Protocol 에서 RCPT TO: 다음에 정상적인 E-Mail ID가 아닌 file
name이 있으면 Mail Files 공격으로 Scan 한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회 수이면 Mail Files 로 탐지한다.
▲ 조치방법
공격자에게 RESET신호를 보내어 공격을 무력화하거나 침입차단시스템에서 공
격 클라이언트를 차단하여 공격으로부터 서버를 보호한다. 또한 Bug가 수정
된 Mail 서버를 사용함으로써 공격의 피해를 최소화 할 수 있다.
● Mail Mailing list
▲ 공격방법
E-Mail 서버에 등록되어 있는 Mailing list 를 획득하여 차후 이를 이용하여
또다른 행위를 위한 정보로 사용한다.
▲ 탐지방법
① 연결된 Session에서 SMTP PROTOCOL을 분석한다.
② SMTP Protocol 에서 Mailing list command 가 있으면 Mail Mailing list
로 Scan 한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 Mail Mailing list 공격으로 탐지한다.
▲ 조치방법
공격자에게 RESET신호를 보내어 공격을 무력화하거나 침입차단시스템에서 공
격 클라이언트를 차단하여 공격으로부터 서버를 보호한다. 또한 Bug가 수정
된 Mail 서버를 사용함으로써 공격의 피해를 최소화 할 수 있다.
● Mail Programs
▲ 공격방법
E-Mail를 주고받기 위해서는 서버에 반드시 Mail 서버라는 프로그램이 실행
되어 있어야 한다. 하지만 일부 E-Mail 서버에는 “FROM TO: program_name”
을 입력하면 해당 서버에 존재하는 Program이 실행 되는 Bug를 가진 Mail 서
버가 배포되었다는 점을 이용하여 해커가 악의적인 목적으로 이를 사용한다.
Mail Bounce공격과 유사하다.
▲ 탐지방법
① 연결된 Session에서 SMTP PROTOCOL을 분석한다.
② SMTP Protocol 에서 FROM TO: 다음에 정상적인 E-Mail ID가 아닌 Program
name이 있으면 Mail Program 공격으로 Scan 한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 Mail Program 공격으로 탐지한다.
▲ 조치방법
공격자에게 RESET신호를 보내어 공격을 무력화하거나 침입차단시스템에서 공
격 클라이언트를 차단하여 공격으로부터 서버를 보호한다. 또한 Bug가 수정
된 Mail 서버를 설치한다.
