최신 DDoS 공격유형 (패킷분석)

이전 글의 이론에 이어서 패킷도 몇 가지 알아보겠습니다.

https://shsecurity1.tistory.com/110

최신 DDoS 공격유형 ~

 

---

대역폭 공격

UDP Flooding

1. 패킷의 크기는 1442로 많이 큰 편이고, 사진 아래 부분이 잘려서 안보이긴 하지만 데이터가 "xxxxxxxx..."로 되어있다. 이 형태는 의미 없는 값인 것으로 볼 수 있고 패킷의 크기를 의도적으로 크게 만들기 위한 목적으로 볼 수 있다.
2. 출발지 IP가 무작위로 설정되어 있는 것을 보면,  IP가 위조(스푸핑)된 상태라고 간주할 수 있습니다. 공격자(해커)들은 자신의 IP를 숨기기 위해 IP를 위조하는 것이 일반적이다.
3. 대역폭 공격은 대역폭을 가득 채우는 것이 목적이기 떄문에 목적지 포트가 어디로 지정되었는지는 공격의 영행도와는 관련이 없다.

 

ICMP Flooding

1. ICMP 요청 패킷을 사용해서 공격을 하기 때문에 ICMP 메시지 타입에서 Type 8, Code 0에 해당하는 Echo request가 사용된 것을 알 수 있다.
2. ICMP도 UDP와 마찬가지로 1442의 패킷 크기, "xxxxxx"형태의 의미 없는 값을 보낸 것으로 패킷의 크기를 의도적으로 크게 만들기 위한 목적으로 볼 수 있었다.

 

SYN Flooding

1. 다양한 출발지 IP가 사용된 것을 볼 수 있는데 이 IP들이 위조된 IP인지 아닌지는 패킷만 봐서는 알 방법이 없다.
2. 출발지 IP가 거의 반복되지 않는 점, ACK이 돌아오지 않는 점으로 봐서 위조되었을 것으로 추측할 수 있다.
3. SYN의 크기가 60Byte인데 이 크기만 봐서는 정상인지 비정상인지 구분하기 어렵고, 흔한 SYN Flooding 형태이다

---

포트스캔

TCP SYN Scan

1. TCP 3-Way-handshake과정을 통해서 연결이 되고, 이후 RST-ACK 패킷을 전송해서 강제로 연결을 끊는 형태인 것을 확인할 수 있다.

 

TCP half open Scan

1. TCP SYN Scan과 마찬가지로 다수의 SYN과 RST-ACK 패킷이 보인다.
2. 서버로부터 수신된 SYN-ACK 패킷에 RST 패킷으로 응답해서 3-way-handshake과정을 맺지 않는 것을 볼 수 있다.
3. 이렇게 하는 이유는 3-way-handshake 연결을 하면 로그에 남기 떄문에 로그에 남지 않기 위해 handshake를 맺지 않으면서 스캐닝 한 것이다.

 

FIN Scan

1. FIN Scan은 TCP FIN 패킷을 전송하며 열려있는 포트는 아무런 응답이 없는 특징을 이용한 스캔 방식이었지만 최근에는 유효하지 않는다.

 

XMAS Scan

1. TCP flag중, FIN/PSH/URG 패킷을 전송하며 열려있는 포트는 아무런 응답이 없는 특징을 이용한 스캔 방식이었지만 최근에는 유효하지 않는다

 

NULL Scan

1. TCP Flag를 설정하지 않고 전송하면서 열려 있는 포트는 아무런 응답이 없는 특징을 이용한 스캔 방식이었지만 최근에는 유효하지 않는다.

 

 

 

 

이 외에도 무수히 많은 공격들이 있지만 한 번에 다 하지는 못하니 앞으로 차근차근 해볼 예정