- 1 -

REPORT

(여러 공격기법중 하나를 골라 실습 및 개념정리하기)

과제점수 : (기한내 제출 : / 내용충실도 : / 내용 논술력 : )

학 과 : 컴보1A 학 번 : 2013011073 과목명 : 시스템보안실습 담당교수 : 박경수 교수님 제출자 : 박동진 제출일자 : 2013/09/28

- 2 -

목차 1.DOS 공격

A)DOS 란?가)DOS의 정의나)DOS의 역사적 흐름다)DOS의 위험성

B)DOS공격 의 종류와 보안대책가)Ping Of Death나)SYN Flooding다)Teardrop라)Land마)Smurf

C)공격 툴의종류가)UDP　flooder나)카스툴다)넷봇 어태커

2.실습하기A)실습환경B)같은 네트워크상에서의 실습C)다른 네트워크의 대상에게 실습

3.필자의견해A)필자가 느낀 DOS공격B)참고한자료의 출처

- 3 -

DOS란?DOS(Denial of Service)는 서비스거부공격 이라고 불리우며 다른 해킹에 비해 비교적 간단하며 정보를 얻기위한 해킹이아니라 정상적인 활동을 못하게 함이 목적이다.

DOS의 역사적 흐름윈도우 95시절부터 시작해서 요즘에이르어 유명한 해킹 그룹 어나니머스의 DDOS 공격까지 DOS공격 특성상 광대역 네트워크가 있어야 공격이 가능하기 때문에 인터넷망이 활성화되기 시작한 1980년 후반부터 활발해졌다또한 DDOS(Distributed Denial of Service)라 하여 분산 서비스 공격으로 더욱 단시간에 엄청난 트래픽을 발생시키는 DOS공격들이 나왔고 또 중국해커이 인터넷에 올린 툴들로 인해 일반인도 손쉽게 DOS공격이 가능케 되었다. 최근에는 APT공격이라하여 DDOS공격으로 시선을 분산시킨뒤 시스템에 침투하여 자료를 파괴하거나 뺴돌리는 공격도 생겨난 실정이다

DOS공격의 위험성앞서 말했다시피 일반인들도 인터넷에서 손쉽게 프로그램을 구할 수 있어 도덕적의식이 비교적 낮은 10대 애들도 무분별하게 사용하기 때문에 선량한 이용자들만 피해를 많이 보는 상황이다. 온라인게임이나 메신져부터 시작해서 포털사이트 큰규모의 웹사이트등 일반인에서부터 기업, 공공기관까지 클릭한번이면 공격을 받기 때문에 확실한 대비가 필요하다 DDOS같은 경우 공격자와 대상자사이에 경유지가 많이 있는데 그경유지가 IDC(인터넷 데이터 센터) 같은 큰규모의 전산망을 거치면서 공격하는 경우도 있어 매우 네트워크보안이 불안한 상황이다

Ping of Death핑오브데쓰는 거의 최초 DOS 공격이라고 봐도 무방하다 ICMP 프로토콜을이용하는데 패킷을 정상적인 패킷보다 더잘게 나누어 보냄으로써 공격 대상의 라우터가 조각화된 패킷을 처리하는데 부하가 걸리게 하는 것이다 막는

- 4 -

법은 간단하다 ICMP패킷이 일정수이상 들어오면 무시하게 설정하면 된다.

SYN FloodingSYN Flooding공격은 연결지향성 프로토콜인 TCP의 구조적 결함을 이용한 것으로 쓰리웨이 핸드쉐이이킹에서 실제 존재하지않는 IP주소를 가진 많은수의 호스트들이 서버에 접속요청을하면(SYN) 서버는 일일이 승인하는 패킷(SYN+ACK)을보내주고 존재하지않는 호스트들은 접속허락에 대한 응답패킷을 보내지않지만 서버는 호스트들이 접속할꺼라 여기고 기다려주는 것이다 따라서 짧은시간안에 서버의 접속한도를 초과시키면 공격은 성공한다 이러한 공격은 서버의 대기시간만 줄여주면 되지만 그것만으로 부족해 대부분 실시간으로 ISP(인터넷 제공업체)에 연락해 처리한다

TeardropTeardrop은 UDP 프로토콜을 이용한 공격이여 패킷에는 앞서 Ping of Death공격에서 말했다시피 한번에 전송되는게 아닌 잘게 나누어 전송한다 그래서 시퀸스넘버(순번)라는게 존재하는데 이 순서번호를 일부러 꼬이게 만들어 전송하면 공격대상은 데이터를 재조합하는 도중에 CPU에 과부하가생겨 하드웨어 자원을 소모하게된다 요즘에 이르어선 웬만해선 CPU에 과부하가 걸려 컴퓨터가 비정상 종료되지 않지만 막는법은 네트워크 보안정책을 변경하면된다

LandLand공격은 패킷을 보낼 때 목적지IP 와 출발지IP를 일치하게 보내어 수신측에서 응답을 자기자신에게 보내게 하는 것이다 SYN패킷 같은 경우 보내봤자 응답이오는게 아닌 자신에게 돌아오기 때문에 계속 TCP 프로토콜의 재전송 기능으로 계속 보내게되어 결국 동시사용자수를 점유하여 CPU를 과부하시킨다 하지만 요즘은 대부분 운영체제에서 목적지주소와 출발지주소 패킷이 동일하면 알아서 인식하여 무시한다 출발지주소와 목적지주소가 동인한 패킷중에 정상패킷은 거의 없기 때문이다

- 5 -

Smurf먼저 브로드캐스팅에대해 알아야한다 브로드캐스팅은 한네트워크(망)에 누가누가있는지를 물어보는 것으로 브로캐스팅을 하면 그네트워크에잇는 모든 호스트들이 응답을 하게된다 Smurf공격은 이를 이용하여 출발지 패킷을 공격대상으로 하고 공격대상이 속해있는 네트워크에 브로드캐스팅을 한다 그러면 수많은 ICMP 응답패킷이 공격대상에 흘러가게되고 공격대상은 과부하에 걸린다 하지만 일반적으로 브로드캐스팅은 라우터 즉 다른망으로 빠저나가지못하는데 그래서 다이렉트 브로드캐스팅이란 기능이 필요하다 그렇기에 막는법은 다이렉트 브로드캐스팅 기능을 해제하면 된다

UDP Flooder이툴은 요즘은 쓰진 않지만 파악하기로 거의 일반인에게 초기 유포된 DOS공격 툴이다 상대방의 아이피를 적고 얼마만큼 패킷을 보낼지 바를 이동시킨후 버튼만 클릭하면된다 그냥 아무내용없는 더미UDP패킷을 정한만큼 대상자에게 보내는 툴이다(그림 종류1참조)

보다시피 직접 어떤내용을 보낼지 정할 수 있어 초기툴치곤 세세하게 기능을 지원하는 편이다 필자도 시연해보려고 했으나 윈도우8이라 그런지 실행이 되 지않았다 보내는 IP주소가 그대로 노출 되어있어 교육용으로 쓰지적합하다

(그림 종류1)

- 6 -

카스툴최근 선관위 DDOS공격에 사용됬다는 카스툴은 중국의 해커들이 만든 것이며 쉽고 강력하다고 평가되는 툴이다 (그림 종류2참조)

(그림 종류2)

이툴은 서버파일이라고해서 실행시키면 그컴퓨터를 좀비PC로 만들어 이툴로 직접 명령을 내릴수도있게 해준다 친절하게 사용법도 인터넷에 배포되어 있으며 서버파일만 잘 유포하면 일반인도 수천명의 좀비PC를 가질 수 있다 이제는 백신들이 감지하여 알려주지만 아직도 VPN 프로그램을 이용하거나 자체 스크립트를 제작하여 활용하면 지금도 강력한 위력을 발하는 툴이다

NetBot attacker이툴도 카스툴처럼 좀비PC를 이용한 DDOS 툴이지만 전문가들이 사용할수도있게 추가기능들이 많아서 어찌보면 카스툴보다 더 강력한 툴이다 IPv4만 지원하는것이아닌 IPv6, URL, MAC 까지 지원하며 SYN Flooding,UDP,TCP,ICMP,HTTP,FTP,Telnet 등 다양한 프로토콜을 지원하며 또한 좀비PC들을 한눈에 확인하여 사용할수있기 때문에 사용성도 뛰어나다 (그립종류3 참조)

- 7 -

(그림종류3)

실습환경필자는 윈도우로 실습을 해보고싶어 윈도우환경에서 Packet connect 라는 프로그램으로 실습하였다 DDOS나 다양한 프로토콜은 지원하진않지만 언어가 한국어라 편하다 (그림 환경1참조)

(그림 환경1)

- 8 -

위프로그램은 해당아이피를 적고 Send만 눌러주면 UDP 더미패킷을 대상에게 보내준다 포트재설정은 누르면 포트번호가 바뀌어 보내지고 로그삭제는 횟수가 초기화된다 주소창지우기는 IP번호란을 지우는 것이다공격을 확인하는 툴로는 WireShark와 스마트스니퍼라는 프로그램을 사용하였다 스마트스니퍼는 wireShark보단 덜 상세하게 나오지만 더간결하고 보기 편한게 나오기 때문에 이용하였다.

같은 네트워크상에서의 실습직접 다른대상에게 해보기전에 필자의 가정네트워크안에서 실습해보았다필자의 네트워크환경은 공유기(라우터)에 무선으로 일반PC와 노트북이 연결되어잇는 상황이다 먼저 공격할 필자의 PC(이하 공격자)와 필자의 노트북(이하 공격대상)의 IP주소를 알아보았다(그림 가-1,가-2 참조)

(그림 가-1)

먼저 공격자의 IP주소이다

(그림 가-2)그다음, 대상자의 IP주소이다

그다음 Packet connect IP주소란에 공격대상인 192.168.219.148을 적고 공격해보았다 그결과 성공적으로 공격이 된걸 알 수 있다 (그림 나-1, 나-2, 나-3, 나-4 참조)

- 9 -

(그림 나-1)

(그림 나-2)먼저 스마트스니퍼의 화면이다 로컬주소가 공격자의 IP이며 원격주소가 공격대상자의 IP이다 보다시피 초당 1115.1KB 나되는 UDP패킷을 전송하는 걸 볼 수 있다

(그림 나-3)다음은 WireShark의 화면이다 보다시피 UDP프로토콜과 IPv4 프로토콜로 공격자가 공격대상자에게 패킷을 보내는걸 확인할 수 있다

(그림 나-4)

그림 나-4 는 Packet connect의 더미패킷의 내용이 WireShark에서 캡처한 패킷의 데이터부분이랑 정확히 일치하는 모습이다(2eb880 부터)

- 10 -

다른 네트워크의 대상에게 실습먼저 다른네트워크의 대상을 찾기쉽게 토크온이라는 음성채팅 프로그램을 사용할것이다 토크온은 네이트온을 만든 SK C&C에서 만든 프로그램이며 원하는 대상의 IP를 쉽게 알아낼 수 있어 이용하였다(그림 다-1참조)

(그림 다-1)

토크온에 접속하여 방에 들어가자마자 WireShark를 보면 다양한 IP들이 캡처되는걸 볼 수 있다 참고로 토크온은 UDP프로토콜을 이용하며 그림 다-1의 120.50.134.85 는 아마도 방장(방을 만든사람) 즉 아이디 친추하지마라는 유저의 IP주소일 것이다 먼저 필자는 잘알랴줌이라는 유저의 IP를 획득해보겠다 (그림 다-2, 다-3 참조)

이렇게 쪽지기능을 이용하여 쪽지를 보내면 그 패킷이 Wire shark 에 캡처된다

(그림 다-2)

- 11 -

(그립 다-3)

보다시피 안알랴줌(이하 공격대상자) 가 먼저 TCP프로토콜에서 필자의 노트북(이하 공격자) 에 연결을 확인하고 필자의 메시지가 120.50.134.155 주소 에 전송된걸 볼 수 있다 마찬가지로 Packet connect로 공격을 해보겠다 (그림 다-4참조)

(그림 다-4)

보다시피 대상자의 네트워크가 상태바가 빨간색으로 표시되어 불안정한 모습을 보이는걸 확인할 수 있다 토크온접속이 끊어 질 때 까지 할수도있었지만 그것은 범죄이기에 이정도로만 하였다

필자가 느낀 DOS공격필자는 세션하이제킹이나 스니핑,스푸핑 같은 공격보다 DOS공격을 선택한 이유는 필자도 피해를 본적이 있었기 때문이다 이미 말했다 시피 일반인들도 인터넷 검색능력만 있으면 DOS공격은 누구나 또 누구한테나 공격할수있기 때문이다 필자는 공격을 당했을 때 번거롭지만 공유기의 mac주소를 변경해 외부아이피를 바꾸어 복구한 경험이 여러번있다 그런만큼 제데로 파

- 12 -

고들어 실습도 해보았기에 더욱더 많은걸 알게 된거같다 실습에서의 아쉬운점은 프로그램의 기능이 필자가 느끼기엔 미흡한점이다 그렇기에 필자는 아예 필자가 저런 툴을 만들정도로 성장하여 방어기능과 공격기능은 동시에 갖춘 좋은 성능의 툴을 만들어 보고싶다

참고자료 및 출처DOS공격의 정의 및 역사: 위키디피아

DOS공격의 종류 및 보안대책: 교재

공격툴1) UDP Flooder : 블로그2) 카스툴 : 네이버 블로그3) NetBot attacker : 블로그

실습에 사용된 프로그램 가) Wire Shark :www.wireshark.org나) 스마트스니퍼 : 네이버블로그다) 토크온 : http://talkon.nate.com/라) Packet connect : 개발자의 블로그