teardrop 공격

日想 2008/05/12 01:34

갑자기 teardrop 공격이 들어왔다. 특정 사이트에 접속하려고 하면 그런 것 같기도 한데,
문제는 그 사이트를 직접 들어간 게 아니라, 동영상 실시간 프로그램으로 특정 채널에 연결하면
그렇다는 것.
일단 구글뒤져서 뭔지 알아보고, 해결책들을 강구 중.
정보를 빼내어가진 않지만, 네트워크를 무력화시킨다는데, 슬슬 짜증이 난다.

게다가 옆집에 왠 여자들 목소리랑 웃음소리 땜에, 오늘따라 피곤해서 더 예민하게 반응중.
아. 피곤피곤..


* teardrop 공격

Teardrop attack은 당하는 사람으로 하여금 피눈물 나게 하는 공격!!! 기법 입니다.
시스템 자체에 해를 끼치지 않는다는 점, 재부팅 후 문제를 일시(?) 해결할 수 있지만
작업 중 저장 되지 않은 데이터는 모두 날려먹는... 그런 공격기법 입니다.

IP가 정상적으로 패킷을 전송할 때 IP 단편화(fragmentation)가 발생하게 되면
재조립시에 정확한 조립을 위해 offset이란 값을 더하게 되어 있습니다.

(참고 : offset = 단편화 되어 분할된 패킷을 재구성할 때 사용하는 원본 패킷의 위치 정보를 포함하고 있는
                 TCP 헤더 부분입니다.)

문제는 정상적인 offset값보다 더 큰 값을 더해 그 범위를 넘어서는
overflow를 일으켜 시스템의 기능을 마비시켜버리는 일종의 DoS 공격 기법이라 볼수 있습니다.

보통 윈도우NT와 윈도우95, 그리고 Linux 2.0.32 커널 이하 버전에서 사용할 수 있는 공격 기법
입니다.

문제는 ping of death나 tear drop는 IDS(침입탐지시스템)의 패킷필터링 정책이나 방화벽을
우회할 수 있고, teardrop은 Opentear, NewTear, Boink, Nestea, SynDrop 등과 같은 수많은(?)
변종을 가지고 있기 때문에 방화벽을 사용한다고 해서 근복적인 해결책은 되지 않으며
근본적인 해결책을 위해서는 해당 운영체제가 가진 취약점을 패치하는 것이 가장 좋은 방법입니다.

* 원문 : http://kr.ahnlab.com/commSecurityBbsView.ahn?seq=146639&page=1&kind=&keyword=


 


1. 수동적(Passive)공격 : 네트워크나 시스템 정보를 보기만 하는것

   스니핑 : 전화도청처럼 네트워크에서 주고받는 데이터(패킷)를 스니퍼등의 툴을이용해 몰래 훔쳐봄.
Promiscuous Mode를 지원하는 네트워크어텝터가 작동되어 있는 경우 서브넷을 통과하는 모든 패킷들을 볼수 있게됨.

2. 능동적(Active)공격 : 네트워크나 시스템의 취약점을 이용해 데이터를 변조하거나 수정하는것
  1) 세션하이제킹
    - TCP Sequence Number Attacks : 공격자가 TCP프로토콜 중 시퀀스 넘버를 예상해서 TCP패킷을 임의로
조작하여 자신을 위장하는 방법으로 IP 스푸핑 이라는 해킹기법에서 사용됨
    -  IP Spoofing : 자신을 타인이나 다른 시스템에게 속이는 행위. 예를들면 특정호스트에만 접근권한이 주어진
경우 공격자는 자신이 특정호스트로부터 접근하려는 것처럼 속이려 하는 것이다. 즉 자신의 주소를 속여서
상대방에게 정상적인 인증을 받아내는것을 일컬음.
     - Dns Spoofing : DNS를 기반으로한 인증체계를 속이는 공격방법.

   2) DOS
      -Teardrop : ip 조각들을 정확하게 조정하기 않음으로써 생기는 공격. 보통 시스템은 MTU에 기초하여
그보다 큰 것은 체크하는 반면 작은것은 정상적으로 체크하지 않는다. 공격자들은 이점을 이용하여 교묘하게
짜맞춰진 작은 패킷들을 목표시스템으로 보냄으로써 시스템의 Crash를 야기 시키는 공격.
      - Smurf공격 : ip spoofing과 ICMP의 조합으로 이루어진 공격으로 공격자, 증폭네트웍, 목표시스템의 3가지
구성된 요소필요. 
      -TCP SYN Flooding공격 : TCP의 취약점을 이용한 공격형태. TCP연결시 시행되는 3way Handshaking의
특징을 이용한 공격으로 초기 SYN패킷을 빠르게 반복적으로 계속하여 목표 시스템에 보내는것이다.
      - 메일폭풍 : 한 호스트에 계속 메일을 보냄으로써 그 호스트의 메일 시스템을 마비시키는것.

    3) 기타(자바 애플릿, 소스라우팅 문제)

※ 참고문헌 : 정보보호 핵심지식,도서출판 정일

* 원문 : http://blog.daum.net/hackeracademy/12815142



그러나 =_= 멀 어째야하는지 잘 모르겠구만. 일단, 안랩 쪽에 문의를 해뒀다. 돈내고 쓰는 프로그램이니, 뭔가
답을 좀 제대로 주려나. 아직 티어드롭 공격에 특별히 고생하거나 심각한 것은 없지만, 상당히 신경쓰인다.
개인PC로 들어오는 공격은 뭐지...짜증나!


* 참고 : http://misman95.egloos.com/1848177

Creative Commons License
Creative Commons License

'日想' 카테고리의 다른 글

teardrop 공격  (0) 01:34:40
방향감각  (0) 2008/05/04
coffee  (0) 2008/04/30
  (0) 2008/04/30
참치 좀 빌려줘  (0) 2008/04/24
취미 - 가구 재배치  (0) 2008/04/22
Posted by jezhebel
TAG , , ,
트랙백 0, 댓글 0개가 달렸습니다

댓글을 달아 주세요