teardrop 공격

日想 2008/05/12 01:34

갑자기 teardrop 공격이 들어왔다. 특정 사이트에 접속하려고 하면 그런 것 같기도 한데,
문제는 그 사이트를 직접 들어간 게 아니라, 동영상 실시간 프로그램으로 특정 채널에 연결하면
그렇다는 것.
일단 구글뒤져서 뭔지 알아보고, 해결책들을 강구 중.
정보를 빼내어가진 않지만, 네트워크를 무력화시킨다는데, 슬슬 짜증이 난다.

게다가 옆집에 왠 여자들 목소리랑 웃음소리 땜에, 오늘따라 피곤해서 더 예민하게 반응중.
아. 피곤피곤..


* teardrop 공격

Teardrop attack은 당하는 사람으로 하여금 피눈물 나게 하는 공격!!! 기법 입니다.
시스템 자체에 해를 끼치지 않는다는 점, 재부팅 후 문제를 일시(?) 해결할 수 있지만
작업 중 저장 되지 않은 데이터는 모두 날려먹는... 그런 공격기법 입니다.

IP가 정상적으로 패킷을 전송할 때 IP 단편화(fragmentation)가 발생하게 되면
재조립시에 정확한 조립을 위해 offset이란 값을 더하게 되어 있습니다.

(참고 : offset = 단편화 되어 분할된 패킷을 재구성할 때 사용하는 원본 패킷의 위치 정보를 포함하고 있는
                 TCP 헤더 부분입니다.)

문제는 정상적인 offset값보다 더 큰 값을 더해 그 범위를 넘어서는
overflow를 일으켜 시스템의 기능을 마비시켜버리는 일종의 DoS 공격 기법이라 볼수 있습니다.

보통 윈도우NT와 윈도우95, 그리고 Linux 2.0.32 커널 이하 버전에서 사용할 수 있는 공격 기법
입니다.

문제는 ping of death나 tear drop는 IDS(침입탐지시스템)의 패킷필터링 정책이나 방화벽을
우회할 수 있고, teardrop은 Opentear, NewTear, Boink, Nestea, SynDrop 등과 같은 수많은(?)
변종을 가지고 있기 때문에 방화벽을 사용한다고 해서 근복적인 해결책은 되지 않으며
근본적인 해결책을 위해서는 해당 운영체제가 가진 취약점을 패치하는 것이 가장 좋은 방법입니다.

* 원문 : http://kr.ahnlab.com/commSecurityBbsView.ahn?seq=146639&page=1&kind=&keyword=


 


1. 수동적(Passive)공격 : 네트워크나 시스템 정보를 보기만 하는것

   스니핑 : 전화도청처럼 네트워크에서 주고받는 데이터(패킷)를 스니퍼등의 툴을이용해 몰래 훔쳐봄.
Promiscuous Mode를 지원하는 네트워크어텝터가 작동되어 있는 경우 서브넷을 통과하는 모든 패킷들을 볼수 있게됨.

2. 능동적(Active)공격 : 네트워크나 시스템의 취약점을 이용해 데이터를 변조하거나 수정하는것
  1) 세션하이제킹
    - TCP Sequence Number Attacks : 공격자가 TCP프로토콜 중 시퀀스 넘버를 예상해서 TCP패킷을 임의로
조작하여 자신을 위장하는 방법으로 IP 스푸핑 이라는 해킹기법에서 사용됨
    -  IP Spoofing : 자신을 타인이나 다른 시스템에게 속이는 행위. 예를들면 특정호스트에만 접근권한이 주어진
경우 공격자는 자신이 특정호스트로부터 접근하려는 것처럼 속이려 하는 것이다. 즉 자신의 주소를 속여서
상대방에게 정상적인 인증을 받아내는것을 일컬음.
     - Dns Spoofing : DNS를 기반으로한 인증체계를 속이는 공격방법.

   2) DOS
      -Teardrop : ip 조각들을 정확하게 조정하기 않음으로써 생기는 공격. 보통 시스템은 MTU에 기초하여
그보다 큰 것은 체크하는 반면 작은것은 정상적으로 체크하지 않는다. 공격자들은 이점을 이용하여 교묘하게
짜맞춰진 작은 패킷들을 목표시스템으로 보냄으로써 시스템의 Crash를 야기 시키는 공격.
      - Smurf공격 : ip spoofing과 ICMP의 조합으로 이루어진 공격으로 공격자, 증폭네트웍, 목표시스템의 3가지
구성된 요소필요. 
      -TCP SYN Flooding공격 : TCP의 취약점을 이용한 공격형태. TCP연결시 시행되는 3way Handshaking의
특징을 이용한 공격으로 초기 SYN패킷을 빠르게 반복적으로 계속하여 목표 시스템에 보내는것이다.
      - 메일폭풍 : 한 호스트에 계속 메일을 보냄으로써 그 호스트의 메일 시스템을 마비시키는것.

    3) 기타(자바 애플릿, 소스라우팅 문제)

※ 참고문헌 : 정보보호 핵심지식,도서출판 정일

* 원문 : http://blog.daum.net/hackeracademy/12815142



그러나 =_= 멀 어째야하는지 잘 모르겠구만. 일단, 안랩 쪽에 문의를 해뒀다. 돈내고 쓰는 프로그램이니, 뭔가
답을 좀 제대로 주려나. 아직 티어드롭 공격에 특별히 고생하거나 심각한 것은 없지만, 상당히 신경쓰인다.
개인PC로 들어오는 공격은 뭐지...짜증나!


* 참고 : http://misman95.egloos.com/1848177

Creative Commons License
Creative Commons License

'日想' 카테고리의 다른 글

잡담  (0) 2008/06/09
버럭, 컴  (0) 2008/06/04
teardrop 공격  (2) 2008/05/12
방향감각  (0) 2008/05/04
coffee  (0) 2008/04/30
  (0) 2008/04/30
Posted by jezhebel
TAG , , ,
트랙백 0, 댓글 2개가 달렸습니다

트랙백 주소 :: http://jezhebel.tistory.com/trackback/569

댓글을 달아 주세요

  1. jezhebel 2008/05/16 10:36  댓글주소  수정/삭제  댓글쓰기

    문의하신 Tear drop을 비롯한 대부분의 공격은 OS의 보안패치 취약점을 이용하게 됩니다. 백신이나 방화벽보다 우선적으로 설치되어야 하는 것이 바로 Os 취약점에 대한 보안패치 입니다.

    현재 사용중이신 OS에 대한 보안패치를 빠짐없이 설치하신 후 사용하실 것을 권해 드립니다.

    참고로, 이러한 공격은 사람이 의도적으로 수행하기 보다는 악성코드나 툴에 의해 자동으로 수행되는 경우가 많아 공격자를 찾아내기는 어렵습니다만 보안패치 설치가 제대로 되어 있으면 악의적인 행위를 할 수 없게 되므로 크게 걱정하실 것이 없습니다.

    기타 궁금하신 사항 있으시면 언제든 연락 주세요.

    고맙습니다.

    -----------------------------------------

    이런 회신이 왔다.
    음. 윈도 보안패치나 일단 열심히 깔고, 어느정도 포맷할 때가 되었구나..싶으면
    포맷해서 -_- 깨끗하게 한번씩 밀어주고 재설치하는게 역시 최고겠군. ㅋㅎㅎ
    달리 해야할 일은 없는거구나.

  2. jezhebel 2008/07/19 15:54  댓글주소  수정/삭제  댓글쓰기

    오늘도 또 한건의 teardrop 공격.

    공격IP : 124.132.57.166 / 공격자 포트는 4057

    (국내 관할 IP가 아니라고 하여)
    Ip를 APNIC.net에서 추적한 결과 중국 산동으로 등록된 것.
    아래와 같다.

    inetnum: 124.128.0.0 - 124.135.255.255
    netname: CNCGROUP-SD
    descr: CNC Group Shandong province network
    descr: China Network Communications Group Corporation
    descr: No.156,Fu-Xing-Men-Nei Street,
    descr: Beijing 100031
    country: CN
    admin-c: CH455-AP
    tech-c: DS95-AP
    remarks: service provider
    mnt-by: APNIC-HM
    mnt-lower: MAINT-CNCGROUP-SD
    mnt-routes: MAINT-CNCGROUP-RR
    status: ALLOCATED PORTABLE
    remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
    remarks: This object can only be updated by APNIC hostmasters.
    remarks: To update this object, please contact APNIC
    remarks: hostmasters and include your organisation's account
    remarks: name in the subject line.
    remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
    changed: hm-changed@apnic.net 20060224
    source: APNIC

    route: 124.128.0.0/13
    descr: CNC Group CHINA169 Shandong Province Network
    country: CN
    origin: AS4837
    mnt-by: MAINT-CNCGROUP-RR
    changed: abuse@cnc-noc.net 20060306
    source: APNIC

    role: CNCGroup Hostmaster
    e-mail: abuse@cnc-noc.net
    address: No.156,Fu-Xing-Men-Nei Street,
    address: Beijing,100031,P.R.China
    nic-hdl: CH455-AP
    phone: +86-10-82993155
    fax-no: +86-10-82993102
    country: CN
    admin-c: CH444-AP
    tech-c: CH444-AP
    changed: abuse@cnc-noc.net 20041119
    mnt-by: MAINT-CNCGROUP
    source: APNIC

    person: Data Communication Bureau Shandong
    nic-hdl: DS95-AP
    e-mail: ip@sdinfo.net
    address: No.77 Jingsan Road,Jinan,Shandong,P.R.China
    phone: +86-531-6052611
    fax-no: +86-531-6052414
    country: CN
    changed: ip@sdinfo.net 20050330
    mnt-by: MAINT-CNCGROUP-SD
    source: APNIC