kjh00n의 기록저장소

단편화 조작 공격● 시스템의 단편화된 데이터의 순서번호를 조작하여 재조합 과정의 오류를 발생시키는 공격● 종류 → Bonk, Boink, Teardrop● 현재 취약점이 패치되었기 때문에 공격이 먹히지 않음 Bonk● 단편화된 데이터의 순서번호를 같은 번호로 조작하여 재조합 과정의 오류를 발생시킴 Boink● Bonk공격의 변형● 단편화된 데이터의 순차적으로 전달하다가 중간부터 반복된 순차번호를 전달하여 오류를 발생시킴 Teardrop● Boink공격의 변형● 단편화된 데이터의 순차적으로 전달하다가 중간부터 순서에 맞지 않는 순차번호를 전달하여 오류를 발생시킴

UDP Flooding● UDP의 비연결성 및 비신뢰성 때문에 발생● 단순한 공격으로 높은 수위의 공격효과를 볼 수 있기 때문에 DDOS 공격의 주류를 이룬다고 할 수 있음● 공격 유형 최대 수십Gbps 범위의 공격을 직접 Victim(피해자)에 전송하여 네트워크 인프라를 마비시키는 유형Source Address, Source Port를 Spoofing하여 과다한 트래픽을 Victim들에 전송함으로써 Spoof되는 Victim간의 네트워크를 마비시키는 유형실습-2 = UDP-a = 출발지 주소 지정-p 16000 : 어느 UDP Port가 열린지 모르기 때문에 아무거나 지정함-d 1000 : 크기를 1000byte로 지정ICMP Flooding● 활성화된 서비스나 포트가 필요하지 않다는 해당 프로토콜의 ..

TCP Connect Flood● TCP 3WAY-Handshake 과정을 과도하게 유발시켜 서비스에 과부하를 발생시키는 공격● 공격 트래픽을 받는 서버는 정상적인 TCP 세션을 지속적으로 세션 연결을 하여 세션 처리 자원을 고갈시켜 정상적인 세션 연결을 더 이상 수행할 수 없게 되어 이후 정상적으로 접근하는 사용자가 더 이상 서비스를 사용할 수 없게 됨● 형태 :  연결 유지, 연결/해제의 반복, 연결 이후 정상적인 통신처럼 트래픽을 발송● 정상적인 TCP 연결을 다수의 Zombie PC로 유지시켜 기존의 SYN Flooding 보안 대책을 무력화 함 공격● nping3 --tcp-connect -p 80 -rate=90000 -c 900000 -q [공격대상 IP] 보안● 1 IP당 세션 수 제한● ..

TCP SYN Flooding● TCP가 데이터를 보내기 전에 연결을 먼저 맺어야하는 연결지향성을 이용한 방법● Attacker 는 Victim 에 Source IP Address 를 Spoofing 하여 SYN 패킷을 특정 포트로 전송하여 해당 포트의 대기큐(Backlog Queue)를 가득 차게 하여 해당 포트에 들어오는 정상적인 연결요청을 큐가 빌 때까지 무시하도록 함● UDP Flooding이 주류를 이루기 전에 많이 사용되던 방식● 시스템 부하 → 메모리 부하(프로그램의 Backlog Queue) Backlog Queue● TCP 서비스에서 Client의 연결 상태정보를 기억하기 위한 공간(IP로 구분)SYN Backlog → Client의 SYN을 받고 SYN/ACK를 전달한 SYN_RCVD ..

Smurf Attack● 시스템 리소스 공격● 취약한 네트워크의 호스트들을 이용하여 공격을 수행함공격자 → 경유지 → 공격대상● DRDos (Distribution Reflection Dos)공격의 모태 공격 원리● 공격 패킷의 출발지 주소를 공격대상으로 목적지 주소를 취약한 네트워크의 Direct Broadcast주소로 변조한 요청을 전달함● 취약한 네트워크의 호스트들이 공격대상에 응답함● 공격대상은 한꺼번에 전달되는 비정상 응답을 처리해야하므로 부하가 발생함공격● hping3 -a [공격대상 IP] [Direct Broadcast 주소] --icmp --flood 특징● 공격자가 직접 대상을 공격하는 것이 아니므로 공격자의 흔적을 숨기기 쉬움● 인터넷의 존재하는 취약한 모든 네트워크가 공격자의 경유지..

Kali - 192.168.50.200XP - 192.168.50.150Server - 192.168.50.50ICMP 기준TCP 기준