스캐닝,DOS,fragments,Smurf,Source Routing,icmp redirect,IP spoofing 차단

TCP 스캐닝, UDP 스캐닝 막는 방법
임계점을 설정해서 초당 패킷의 수를 보고 걸러낸다.
[root@localhost Desktop]# iptables -I FORWARD -m state --state INVALID -j DROP
 
DOS,DDOS,DRDOS
DOS(Denial of Service Attack, 서비스 거부 공격) 정의
-시스템을 악의적으로 공격해 해당 시스템의 자원을 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격이다. 특정 서버에게 수 많은 접속 시도를 만들어 다른 이용자가 정상적으로 서비스 이용을 하지 못하게 하거나, 서버의 TCP 연결을 바닥내는 등의 공격이 이 범위에 포함된다. 수단, 동기, 표적은 다양할 수 있지만, 보통 인터넷 사이트 또는 서비스의 기능을 일시적 또는 무기한으로 방해 또는 중단을 초래한다. 통상적으로 DOS는 유명한 사이트, 즉 은행, 신용카드 지불 게이트웨이, 또는 심지어 루트 네임 서버를 상대로 이루어진다.
출처: http://alwaystired.tistory.com/5 [DO WHAT I WANT.]
 
DDOS
- DOS는 분산 서비스 거부 공격(Distributed Denial of Service attack)을 뜻하는 것으로 DOS에서 한 단계 파워업한 것이다.
- 기본 원리는 그냥 여러 대의 컴퓨터에서 한 웹 서버에 비정상적인 트래픽을 흘려보내 웹 서버가 과도한 트래픽 소모 및 프로세스 진행, 과도한 입출력등을 통해 서버가 먹통이 되게 만드는 기본적인 서버 공격방법이다.
출처: http://alwaystired.tistory.com/5 [DO WHAT I WANT.]
 
 
DRDOS 특징
- 더 향상된 은닉:
IP Spoofing을 사용하므로 일단 IP가 위조 되어 있어 로그가 무의미해지며 반사체의 존재로 인해 공격 근원지 자체가 네트워크 전체로부터 숨겨지므로 실제 공격자의 추적이 굉장히 어려워진다.
피해자 시점에서는 공격자가 반사체로 보이겠지만 반대로 반사체 시점에서는 피해자가 서비스를 악용한듯이 로그가 나오게 된다는 것이다. 즉 공격자가 싸움을 유도해서 반사체와 피해자끼리 치고 받고 싸우고 있긴 한데 얘내 둘을 아무리 뒤져봤자 실제 공격자의 정보가 귀신 같이 없다. 이 때문에 DDoS와는 달리 공격자에 대한 아무런 단서가 남지 않아 공권력을 동원해도 검거가 쉽지 않으며 그래서 세계적으로도 큰 결점 없이 구현된 DRDoS 공격의 검거 사례가 손에 꼽을정도로 적다.
출처: http://alwaystired.tistory.com/5 [DO WHAT I WANT.]
 
 
 
SYN Flooding , fragments , smurf
SYN Flooding
SYN_Flooding공격이란 TCP세션이 연결될 때의 취약성을 이용한 공격

먼저 TCP의 기본적인 연결단계는 아래와 같습니다.
- A(소스서버)가 B(목적지서버)에게 접속을 요청하는 SYN패킷을 보낸다.
- B는 요청을 수락한다는 SYN과 ACK패킷을 A에게 보낸다.
- A가 B에게 ACK를 보내면 연결이 이루어지고 본격적이 데이터교환이 이루어진다.

위의 2번단계에서 목적지서버(B)는 소스서버(A)가 ACK패킷을 보내주기를 계속적으로 기다리는 것이 아니라일정시간 후 요청이 오지 않으면 백로그큐(Backlog Queue)가 허용하는 공간에 연결정보(로그)를 보관하게 된다.
이러한 상태가 지속적으로 요청되어 연결정보(로그)가 쌓이게 되면 목적지서버(B)의 특정서비스가 마비될 수 있다.이러한 공격을 DOS공격의 일종인 SYN Flooding 공격이라고 한다.
 
fragments
TearDrop공격이라고도 한다. 이 공격수법은 헤더가 조작된 일련의 IP 패킷조각들을 전송 하므로써 공격이 이루어 진다. 이 수법으로 공격당한 시스템은 네트워크 연결이 끊어지거나 블루스크린이 뜨는 오류가 생기면서 중단된다.( IP는 MTU 크기가 초과된 데이터에 대해서는 분할(Fragments)를 실시하여 전송 처리하는데 조작된 fragment를 차단 하므로써 공격을 방어 한다.)
 
Smurf

  Smurf 공격에 대해서 알기 전에 먼저 알아야 할 것이 있는데 10.1.1.0과 10.1.1.255에서 10.1.1을 제외한 0과 255의 개념에 대해서 알아야 한다. 0은 그 네트워크 자체를 말하는 것이고, 255는 그 네트워크 호스트 각각 하나하나를 가리킨다.
또한 Smurf 공격에 사용되는 ICMP(Internet Control Message Protocol)에 대해서 알아보면 이 프로토콜은 네트워크 상에서 오류보고 및 네트워크 진단 메시지를 받을 수 있는 역할을 한다. 크게 4가지의 역할로 사용이 되며 다음과 같다. 1)에코요청과 응답메시지, 2)타임스템프 요청과 응답메시지, 3)주소 마스크 요청과 응답메시지, 4)라우터 요청과 광고메시지. A란 컴퓨터에서 B라는 컴퓨터로 ICMP 메시지를 보내면 B컴퓨터에서는 4가지의 종류에 맞는 응답메시지를 A라는 컴퓨터로 보내게 된다.

DOS차단
[root@localhost Desktop]# iptables -A DOS -p tcp --syn -i eth2 -m limit --limit-burst 4 --limit 1/s -j RETURN
//임계점 처리 , 패킷 RETURN
[root@localhost Desktop]# iptables -A DOS -p tcp --syn -i eth2 -j DROP
fragments 차단
[root@localhost Desktop]# iptables -A DOS -i eth2 -f -j DROP
smurf 차단
[root@localhost Desktop]# iptables -A DOS -i eth2 -d 10.0.0.255 -j DROP
[root@localhost Desktop]# iptables -A DOS -i eth2 -d 172.16.0.255 -j DROP
[root@localhost Desktop]# iptables -I FORWARD 2 -j DOS

Source Routing 차단
Source routing : 패킷안에 라우팅에 대한 경로가 적혀있다, 즉 출발지에서 모든 경로가 정해져 있다.기본적으로 차단이 되어 있다.
 
[root@localhost Desktop]# cat /proc/sys/net/ipv4/conf/all/accept_source_route

기본적으로 0으로 설정되어 있다. 이것은 차단되어 있다는 의미다.
 
icmp redirect 차단
[root@localhost Desktop]# cat /proc/sys/net/ipv4/conf/all/accept_redirects

이것도 역시 기본적으로 0으로 설정되어 있다.
 
IP spoofing 차단
[root@localhost Desktop]# iptables -A IP_SPOOF -i eth2 -s 10.0.0.0/8 -j DROP
[root@localhost Desktop]# iptables -A IP_SPOOF -i eth2 -s 172.16.0.0/12 -j DROP
사설 IP대역을 차단하되 본인이 사용하고 있는 IP대역은 설정하지 않는다.