스머프 공격

이 글은 검증을 위해 추가 인용문이 필요합니다. 신뢰할 수 있는 출처에 인용문을 추가하여 이 기사를 개선하는 데 도움을 주십시오. 조달되지 않은 자재는 제거될 수 있습니다.출처 : '스머프 공격'– 뉴스 · 신문 · 서적 · 학자 · JSTOR (2015년 10월) (템플릿 메시지 삭제 방법 및 삭제 시기 확인)

스머프 공격은 분산형 서비스 거부 공격입니다.이 공격에서는 의도된 피해자의 스푸핑된 소스 IP를 가진 다수의 ICMP 패킷이 IP 브로드캐스트주소를 사용하여 컴퓨터 네트워크에 브로드캐스트됩니다.네트워크상의 대부분의 디바이스는, 디폴트로 송신원IP 주소로 응답을 송신하는 것으로, 이것에 응답합니다.이러한 패킷을 수신해 응답하는 네트워크상의 머신의 수가 매우 많은 경우, 공격 대상자의 컴퓨터는 트래픽으로 가득 찰 것입니다.이로 인해 피해자의 컴퓨터가 작동 불능이 될 정도로 느려질 수 있습니다.

역사

오리지널 스머프는 TFreak으로 ^[1]불리는 Dan Moschuk에 의해 쓰여졌다.

1990년대 후반에는 프롬프트가 표시되면 많은 IP 네트워크가 스머프 공격에 참여했습니다(즉, 브로드캐스트주소로 송신되는 ICMP 요구에 응답합니다).이름은 매우 작지만 훨씬 더 큰 상대를 압도하는 수많은 공격자의 아이디어에서 유래했습니다(스머프 참조).현재 관리자는 네트워크를 이러한 남용에 대한 면역이 되도록 할 수 있습니다.따라서 스머프 ^[2]공격에 취약한 네트워크는 극소수입니다.

공격 증폭 계수

스머프 앰프는 스머프 공격에 사용되는 데 적합한 컴퓨터 네트워크입니다.스머프 앰프는 스푸핑된 송신원IP 주소의 공격 대상자에게 대량의 ICMP 응답을 생성하도록 설정되어 있기 때문에 스머프 공격의 중대도를 악화시킵니다.AAF(Attack Amplification Factor)는 Texas 대학의 교수인 Sanjeev Kumar 박사가 발표한 논문에서 원래 공격 트래픽이 공격 대상 ^[3]컴퓨터로 전송되는 동안 발생하는 대역폭 확장 또는 증폭 정도를 나타내기 위해 만든 용어입니다.

Smurf 공격의 영향을 완화하기 위한 대책이 취해지지 않는 경우, 이것은 액티브호스트가 n개인 타겟네트워크에서 발생합니다(ICMP 에코 요구에 응답합니다).ICMP 에코 요구 패킷에는, 스푸핑 된 송신원주소(Smurf 의 타겟)와 행선지 주소(패시, 공격의 명백한 송신원)가 있습니다.두 주소 모두 유니캐스트와 브로드캐스트의 두 가지 형식을 사용할 수 있습니다.

듀얼 유니캐스트 형식은 통상의 ping과 비슷합니다.ICMP 에코 요구는 패시(단일 호스트)로 송신되며, 패시는 단일 ICMP 에코 응답(Smurf)을 타겟(송신원주소의 단일 호스트)으로 되돌립니다.이런 유형의 공격은 증폭률이 1입니다.즉, ping마다 1개의 스머프만 있는 것을 의미합니다.

타깃이 유니캐스트주소이고 타깃이 타깃네트워크의 브로드캐스트주소일 경우 네트워크 내의 모든 호스트가 에코 요구를 수신합니다.그 대신에, 각각 타겟에 응답하기 때문에, 타겟은 n개의 스머프로 가득합니다.증폭률 = n. n이 작을 경우 호스트는 장애물이 될 수 있지만 장애가 되지는 않습니다.n이 클 경우 호스트가 정지될 수 있습니다.

타겟이 브로드캐스트주소이고 유니캐스트주소 패치가 되어 있는 경우, 네트워크내의 각 호스트는 ping 마다 1개의 Smurf 를 수신합니다.따라서 증폭률은 호스트당 1이지만 네트워크에서는 n 입니다.일반적으로 n이 너무 크지 않으면 네트워크는 이러한 형태의 공격에 대처할 수 있습니다.

원래의 패킷의 송신원주소와 행선지 주소가 모두 타겟네트워크의 브로드캐스트주소로 설정되어 있는 경우, 상황은 급속히 제어 불능이 됩니다.모든 호스트는 에코 요구를 수신하지만 그에 대한 모든 응답은 모든 호스트에 다시 브로드캐스트됩니다.각 호스트는 초기 ping을 수신하여 응답을 브로드캐스트하고 모든 n-1 호스트로부터 응답을 받습니다.단일 호스트의 경우 증폭률이 n이지만 네트워크의 경우 증폭률이 n입니다².

ICMP 에코 요구는, 통상은 1초에 1회 송신됩니다.응답에는 요청 내용이 포함되어야 합니다.일반적으로 몇 바이트입니다.100개의 호스트를 가진 네트워크에 대한 단일(더블브로드캐스트) ping을 실행하면 네트워크는 10,000개의 패킷을 처리합니다.ping의 payload가 15000바이트(이더넷에서는 10개의 풀패킷)로 증가했을 경우, 그 ping으로 인해 네트워크는 초당 100,000개의 큰 패킷을 처리해야 합니다.초당 더 많은 패킷을 전송하면 부하로 인해 네트워크가 붕괴됩니다.이것에 의해, 공격이 지속되는 한, 네트워크내의 모든 호스트에 도달할 수 없게 됩니다.

경감

해결책은 두 가지입니다.

1. 송신원주소가 브로드캐스트주소인 경우는, 패킷을 무시하도록 호스트와 라우터를 설정합니다.
2. 브로드캐스트주소로 전송되는 패킷을 전송하지 않도록 라우터를 설정합니다.1999년까지 표준에서는 디폴트로 라우터가 이러한 패킷을 전송해야 했습니다.그 후 기본 표준은 이러한 패킷을 ^[4]전송하지 않도록 변경되었습니다.

ISP 는, 위조된 ^[5]송신원주소에 근거해 공격 패킷을 거부하는 입력 필터링을 실장하는 것도 중요합니다.

Cisco 라우터에서의 경감

Cisco 라우터의 브로드캐스트주소로 패킷을 전송하지 않도록 라우터를 설정하는 예를 다음에 나타냅니다.

Router(config-if)# no ip directed-broadcast^[6]

(이 예에서는, 네트워크가 스머프 공격의 타겟이 되는 것을 막는 것은 아닙니다.네트워크가 스머프 공격에 참가하는 것을 막을 뿐입니다).

프래글 공격

플래그글 공격은 공격자가 대량의 UDP 트래픽을 포트 7(Echo) 및 포트 19(CHARGEN)에 송신하는 스머프 공격의 변형입니다.

네트워크상의 많은 컴퓨터가 스푸핑된 공격 대상자의 소스 IP로 트래픽을 되돌려 트래픽을 ^[7]플래딩함으로써 이 트래픽에 응답한다는 점에서 스머프 공격과 매우 유사합니다.

Fraggle.c이 공격의 소스 코드도 TFreak에 ^[8]의해 공개되었습니다.

「 」를 참조해 주세요.

• ping 플래드

레퍼런스

S. Kumar, "Smurf-based Distributed Denial of Service (DDoS) Attack Amplification in Internet Monitoring and Protection (ICIMP 2007)", 제2회 인터넷 감시 및 보호에 관한 국제회의(ICIMP 2007), 미국 새너제이, 2007, 페이지 25-25, doi: 10.1109/IC42.

외부 링크

• IP 다이렉트브로드캐스트를 사용한 Cisco 라우터 보호
• 스머프 앰프 레지스트리