1. 서비스거부 공격 (Dos) 공격
우리가 흔히 말하는 도스공격입니다. 서비스 거부 공격이라고 말합니다. 말그대로 서비스 거부하는 공격인데 실제 DOS공격시에는 상당한 트래픽을 몰고 Attack 이 이루어지고 있습니다.
2. 서비스 거부 공격의 징후
하나의 VLAN이 있으면 해당 네트워크는 살아 있으나 실제 서비스가 되고 있지 않습니다. 다시 말하면 웹이나 FTP , SSH등이 접속이 되지 않습니다. 그건 실제로 접속이 되지 않는다기 보단 해당 프로토콜이 정상적으로 동작 할수 없도록 트래픽이 유발 되는 것이지요
그런데 한가지 재미 있는 사실은 이렇게 웹에 대한 장애가 일어 났을때 해당 시스템에서 외부로 네트워크 테스트 일명 핑(Ping) 테스트를 하게 되면 네트워크는 살아 있다는 것입니다.,
그리고 그 네트워크에 속해 있는 시스템에서 아래와 같은 명려어로 보게 되면
#roor> netstat -an |more
명령어로 보게 되면 내용중에 stat에 SYN_wait , FIN_Wait등 TCP/IP에서 3웨이 핸드쉐이크 하는 부분에서 아직 처리되지 않은 세션을 기다리고 있습니다. 이럴땐 대부분 어떤 공격이 이루어 지고 있다고 보시면 됩니다.
실제로 SYN Flooding 공격시에는 이런 메세지가 상당수에 이르게 됩니다. 대부분 많은 경험을 하고 실제 공격을 받는 부분에 있어 경험이 중요 할 것 같습니다. 처음에는 이것이 공격인지 아닌지도 잘 모르는 경우가 많습니다..왜냐하면 일단 네트워크가 살아있고 각종 NMS 장비와 MRTG를 이용한 모니터링 시스템등 전반적인 상황으로 빠르게 판단할수 있습니다, 어찌보면 동물적 감각으로 알아야 합니다.
3. 서비스 거부 공격 방어
우선 해당 네트워크에서 빠르게 스니퍼등으로 패킷을 잡아서 해당 타겟이 어딘지를 빨리 막아여 합니다. 그건 다양한 노하우와 경험이 있는 사람이 빨리 진행을 해야 합니다. 왜냐하면 해당 네트워크에 다른 시스템 까지도 피해를 줄수 있는 공격이 도스 공격이기 때문입니다.
2007/04/16 - [정보보호 학습실] - DDoS 공격 방어 어떻게 하십니까
그렇게 해서 타켓 시스템을 찾아내면 네트워크 상위단에서 막아야 합니다. 해외에서 들어 온다고 하면 해외망에서 싱크홀 시키고 국내에서 들어온다면 시스템 상위단에서 널(Null) 처리하면서 드럽(Drop) 시키면 됩니다.
2006/06/19 - [운영체제/리눅스강좌] - DOS Attack을 막기 위한 간단한 방법
기타 다른 보안 솔루션이 있으면 더욱 좋겠지요..거기에서 탐지후 바로 처리를 하면 최근에는 어느정도 공격을 막아낼수 있다고 합니다. 물론 해당 장비는 상당한 트래픽에도 견딜수 있어야겠지요..
관련기사 : 「가공할 DoS 공격의 천적은 바로 IPS였다」
4. 상호 유기적인 협조 체제
네트워크 트래픽이란 여러 단계를 거쳐서 오는 데이터 패킷이므로 서로 유기적인 협조가 이루어 져야합니다. 트래픽의 종류는 워낙 다양하기 때문에 상당한 패킷이 유입될때는 여러가지 다른 서비스에 지장을 줄수 있으므로 신속하고 빠르게 대처를 해야 합니다.
갑자기 들어온 공격에 당황하지 말고 침착하게 대응하면서 증적자료와 해당 시스템을 분석하는 것도 좋겠습니다. 우리는 늘상 대하는것이 인터넷이지만 네트워크를 통한 다양한 공격은 언제든지 공격할수 있는 공격이기에 대비에 만전을 기해야 겠습니다. <엔시스>
우리가 흔히 말하는 도스공격입니다. 서비스 거부 공격이라고 말합니다. 말그대로 서비스 거부하는 공격인데 실제 DOS공격시에는 상당한 트래픽을 몰고 Attack 이 이루어지고 있습니다.
2. 서비스 거부 공격의 징후
하나의 VLAN이 있으면 해당 네트워크는 살아 있으나 실제 서비스가 되고 있지 않습니다. 다시 말하면 웹이나 FTP , SSH등이 접속이 되지 않습니다. 그건 실제로 접속이 되지 않는다기 보단 해당 프로토콜이 정상적으로 동작 할수 없도록 트래픽이 유발 되는 것이지요
그런데 한가지 재미 있는 사실은 이렇게 웹에 대한 장애가 일어 났을때 해당 시스템에서 외부로 네트워크 테스트 일명 핑(Ping) 테스트를 하게 되면 네트워크는 살아 있다는 것입니다.,
그리고 그 네트워크에 속해 있는 시스템에서 아래와 같은 명려어로 보게 되면
#roor> netstat -an |more
명령어로 보게 되면 내용중에 stat에 SYN_wait , FIN_Wait등 TCP/IP에서 3웨이 핸드쉐이크 하는 부분에서 아직 처리되지 않은 세션을 기다리고 있습니다. 이럴땐 대부분 어떤 공격이 이루어 지고 있다고 보시면 됩니다.
실제로 SYN Flooding 공격시에는 이런 메세지가 상당수에 이르게 됩니다. 대부분 많은 경험을 하고 실제 공격을 받는 부분에 있어 경험이 중요 할 것 같습니다. 처음에는 이것이 공격인지 아닌지도 잘 모르는 경우가 많습니다..왜냐하면 일단 네트워크가 살아있고 각종 NMS 장비와 MRTG를 이용한 모니터링 시스템등 전반적인 상황으로 빠르게 판단할수 있습니다, 어찌보면 동물적 감각으로 알아야 합니다.
3. 서비스 거부 공격 방어
우선 해당 네트워크에서 빠르게 스니퍼등으로 패킷을 잡아서 해당 타겟이 어딘지를 빨리 막아여 합니다. 그건 다양한 노하우와 경험이 있는 사람이 빨리 진행을 해야 합니다. 왜냐하면 해당 네트워크에 다른 시스템 까지도 피해를 줄수 있는 공격이 도스 공격이기 때문입니다.
2007/04/16 - [정보보호 학습실] - DDoS 공격 방어 어떻게 하십니까
그렇게 해서 타켓 시스템을 찾아내면 네트워크 상위단에서 막아야 합니다. 해외에서 들어 온다고 하면 해외망에서 싱크홀 시키고 국내에서 들어온다면 시스템 상위단에서 널(Null) 처리하면서 드럽(Drop) 시키면 됩니다.
2006/06/19 - [운영체제/리눅스강좌] - DOS Attack을 막기 위한 간단한 방법
기타 다른 보안 솔루션이 있으면 더욱 좋겠지요..거기에서 탐지후 바로 처리를 하면 최근에는 어느정도 공격을 막아낼수 있다고 합니다. 물론 해당 장비는 상당한 트래픽에도 견딜수 있어야겠지요..
관련기사 : 「가공할 DoS 공격의 천적은 바로 IPS였다」
4. 상호 유기적인 협조 체제
네트워크 트래픽이란 여러 단계를 거쳐서 오는 데이터 패킷이므로 서로 유기적인 협조가 이루어 져야합니다. 트래픽의 종류는 워낙 다양하기 때문에 상당한 패킷이 유입될때는 여러가지 다른 서비스에 지장을 줄수 있으므로 신속하고 빠르게 대처를 해야 합니다.
갑자기 들어온 공격에 당황하지 말고 침착하게 대응하면서 증적자료와 해당 시스템을 분석하는 것도 좋겠습니다. 우리는 늘상 대하는것이 인터넷이지만 네트워크를 통한 다양한 공격은 언제든지 공격할수 있는 공격이기에 대비에 만전을 기해야 겠습니다. <엔시스>
'Security Skill&Trend' 카테고리의 다른 글
| 부산에서 사이버 안전 전략 무료 세미나 합니다.. (2) | 2007/10/16 |
|---|---|
| 포털에서 가장 받이 받는 공격은 SQL-injection과 XSS (2) | 2007/10/08 |
| DDoS 공격에 대한 방어 방법은 없는가? (0) | 2007/10/02 |
| 사이버 침해사고 교육기관과 지자체가 1,2위 (0) | 2007/09/10 |
| 네이버가 백신 실시간 점검을 한다고 (0) | 2007/09/04 |
| 또 다른 새로운 하나를 넘어가다. (0) | 2007/09/03 |
