DoS 공격 예방책 및 대응책
도스 공격 : 네트워크나 서비스를 정상적으로 이용할 수 없게 만드는 공격. 도스 공격이 불특정 다수에 의해 동시 다발적으로 발생할 경우 이를 디도스 공격(DDoS = Destributed Denial of Service) 라고 한다.
DoS 공격 방어 과정
1. 공격 예방 : 타겟에 공격이 도달하기 전 멈추는 것이 목적. 공격 소스 아주 가까이에서 위장된 필터링으로 트래픽을 막아준다. -> 가장 효과적인 DoS 공격 방어.
2. 공격 감지(공격 탐지) : DoS 공격이 발생했을 때 감지하고, 다른 방어 액션을 지시한다.
3. 공격 소스 식별 (공격자 추적) : 공격 소스 식별은 갓 패킷 안에 소스 주소 필드가 잘못된 정보를 포함하는지 안 하는지에 관계없이 공격 소스의 위치를 찾아내는 것을 목표로 한다. 공격 피해를 최소화하고 잠재적 가해자를 제지하기 위한 단계.
4. 공격 반응 (공격 대응) : 공격의 효과를 제거 또는 감소시키는 것이 목표. DoS 공격에 방어하는 마지막 단계. -> 불안감을 주는 합법적인 트래픽 없이 공격 트래픽을 걸러내는 방법.
DDoS 예방대책
1. 대응 서비스 가입 : 인터넷 회선 제공업체나 클라우드 서비스 제공 DDoS 방어 서비스 이용, 중소기업은 한국인터넷진흥원 에서 제공하는 사이버대피소 서비스를 이용할 수 있다.
2. 백업 서버 구축 : 서버장애를 대비하여 중요 서버들은 서로 다른 회선에 이중화 구성이 필요하다. 만약 Master 서버에 DDoS 공격으로 인해 장애가 발생해도 다른 회선에 있는 Slave 서버가 작동해서 서비스 장애를 최소화시킬 수 있다.
3. 공격 대상의 최소화: 기업 내부용 서버는 외부에 노출되지 않도록 망분리 시킨다.
공격을 예방하기위해 기업의 내부 서버 IP 및 서비스가 외부에 오픈돼있는지 주기적인 스캐닝을 시행하고, Shodan 또는 다크웹 노출 여부를 확인한다. 외부에서 내부망 접속이 부득이하게 필요할 경우엔 가상 사설망(VPN)등의 별도 서비스를 이용한다.
ARP 스푸핑은 공격자가 서버에게는 클라이언트의 MAC주소가 공격자의 주소라고 알리고, 클라이언트에게는 서버의 주소가 공격자의 MAC 주소라고 알려서 랜에서의 통신 흐름을 왜곡시키는 공격이다. Spoofing의 사전적 의미가 '속이다' 라는 뜻이다.
ARP = Address Resolution Protocol : IP 주소로 MAC 주소를 찾는 프로토콜.
MAC 주소 = 네트워크에 사용되는 모든 기기의 고유 번호. (Media Access Control Address)
ARP Spoofing 예방책 및 대응책
1) ARP 테이블이 변경되지 않도록 고정. MAC 주소는 랜카드가 변경될 때 수정한다.
2) 클라이언트의 ARP 테이블의 내용이 바뀌면 경고 메시지를 전송하는 보안 툴을 사용한다.
Sniffing 대응책
-능동적인 대응책 : 스니핑 탐지
1) Ping을 이용 : 대부분의 스니퍼는 TCP/IP에서 동작하므로 이를 이용해서 의심이 가는 호스트에 존재하지 않는 MAC 주소로 위장해서 ping을 날린다. ping이란 ICMP 프로토콜엣 해탕 호스트까지 도착가능한지를 검사하는 신호이기 때문에 정상적인 경우엔 MAC 주소가 잘못됐으니까 응답이 오지 않아야 하는데, 스니핑용 호스트일 경우 MAC 주소와 무관하게 모든 정보를 다 수신받기 때문에 응답이 오는 것을 이용해서 스니핑을 탐지할 수 있다.
2) ARP를 이용 : TCP/IP에선 자신을 거쳐 가더라도 목적지가 자신이 아니면 수신하지 않는 것이 일반적이다. 그러나 프로미스큐어스 모드를 이용해 랜카드를 조작하여 목적지가 어디든 그냥 무조건 수신하도록 옵션을 줄 수도 있는데, 이런 랜카드를 사용하는 호스트를 찾기 위해서 어느 호스트도 목적지가 아닌 ARP 리퀘스트를 보냈는데 응답이 온다면 이건 해당 호스트에서 프로미스큐어스모드를 사용하고 있다는 말이 되므로 스니핑 탐지가 가능하다.
3) DNS 방법 : DNS 서버에는 도메인 이름을 이용해서 호스트이 IP를 얻기 위한 DNS look up 요청이 많다. 반대로 호스트의 IP를 이용해서 도메인을 알고자하는 DNS inverse lookup 요청은 많지 않은데, 스니핑 프로그램에선 사용자 편의를 위해 inverse look up을 요청하는 경우가 많다. 테스트 대상 네트워크로 ping sweep을 보내고 inverse lookup을 감시하여 스니퍼를 탐지할 수 있다.
4) Decoy(유인) : 스니핑 공격자의 주요 목적은 계정과 패스워드 획득이다. 따라서 네트워크에 미끼로 가짜 계정과 패스워드를 뿌려둔 뒤, 이 계정과 패스워드를 이용해 접속을 시도하는 호스트를 탐지해서 스니핑 공격을 잡아낼 수 있다.
5) ARP watch : 스니퍼는 정보가 자신에게 수신되거나 거쳐가도록 하기 위해 ARP 테이블을 변경하려 할 수 있다. 초기 MAC 주소와 IP 주소의 대칭 값을 저장한 후 ARP 트래픽을 모니터링 해서 이를 변경시키는 이상 패킷이 발견되면 관리자에게 알려줌으로써 스니핑 감지가 가능하다.
[참고자료]
1. 티스토리 지금 이 순간, "DDoS 공격기법, 기술 및 대응방법" 2022.06.24, https://ensxoddl.tistory.com/11
2. 티스토리 다우앱스, "DoS (Denial of Service) 서비스 거부 공격이란?" 2022.06.24, DoS (Denial of Service) 서비스 거부 공격이란? :: Daou Apps (tistory.com)
DoS (Denial of Service) 서비스 거부 공격이란?
DoS (Denial of Service) 서비스 거부 공격이란? -진화한 도스 공격 심각한 보안이슈로- 우리는 위와 같이 매년 DDos에 관한 뉴스나 기사를 접해보실 수 있었는데요, 오늘은 Dos공격이란 무엇인지에 대
daouapps.tistory.com
3. KISA 인터넷 보호나라 & KrCERT, "DDoS 공격 대응 가이드", 2022.06.24, https://www.krcert.or.kr/data/guideView.do?bulletin_writing_sequence=36186
KISA 인터넷 보호나라&KrCERT
KISA 인터넷 보호나라&KrCERT
www.boho.or.kr
4. 네이버 코딩젤리, "[보안] 스니핑(Sniffing)과 ARP 스푸핑, IP 스푸핑", 2022.06.28, [보안] 스니핑(Sniffing)과 ARP스푸핑, IP스푸핑 (tistory.com)4.
[보안] 스니핑(Sniffing)과 ARP스푸핑, IP스푸핑
스니핑(Sniffing)이란, 사전적 의미로는 '코를 킁킁거리다' 입니다. 스니핑은 드라마에서 주인공이 문앞에서 다른이의 대화를 엿듣는 것과 같은 '수동적 공격' 입니다. 스니퍼는, 네트워크 패킷을
life-with-coding.tistory.com
4. 티스토리 지식잡식, "스니퍼 대응책(스니핑 탐지법)", 2022.06.28, 스니퍼 대응책(스니핑 탐지법) (tistory.com)
스니퍼 대응책(스니핑 탐지법)
여러 보안 책자에 그대로 있는 내용이고 인터넷에도 많은 내용이지만 기반 지식 없이 보면 이해가 잘 되지 않고 단순 암기에 지날 수 밖에 없는 간략화된 내용들이라 좀더 살을 붙여서 포스팅
raisonde.tistory.com
'Linux' 카테고리의 다른 글
| 실습 과제 (0) | 2022.10.31 |
|---|---|
| Linux 스터디 6주차 실습 (0) | 2022.06.07 |
| Linux 스터디 5주차 msfvenom 실습 (0) | 2022.05.20 |
| Linux 스터디 5주차 과제 1 - John The Ripper 실습 (0) | 2022.05.19 |
| Linux 4주차 과제 3 (0) | 2022.05.13 |