기술이 발전할 때마다 사이버 보안 공격자와 위협이 증가합니다. 이 기사에서는 공격자가 시스템 내 서비스를 방해하기 위해 사용할 수 있는 DDoS 공격 유형 중 하나인 Ping of Death와 이에 맞서 자신을 보호하는 방법에 대해 설명합니다.
목차
죽음의 핑이란?
PING of Death는 공격자가 특정 서비스를 손상시키거나 다른 사용자가 액세스할 수 없게 만들려는 목적으로 필요한 패킷 요구 사항을 초과하여 대규모 데이터 패킷을 서비스에 보내는 서비스 거부(DoS) 공격입니다. RFC 791 필요한 표준 IP 패킷이 65,535바이트임을 지정합니다.
이보다 많은 바이트가 있으면 요청을 처리할 때 시스템이 정지되거나 충돌할 수 있습니다.
Ping of Death는 어떻게 작동하나요?
크레딧: Wallarm
Ping of Death는 네트워크를 통해 전송되는 대용량 ICMP(인터넷 제어 메시지 프로토콜) 패킷으로 인해 발생합니다.
ping(패킷 인터넷 또는 네트워크 간 Groper) 또는 ICMP 에코 응답은 특정 네트워크 연결을 테스트하여 네트워크가 존재하고 요청을 수락할 수 있는지 확인합니다. 이 테스트는 데이터 조각인 ping을 보내고 그에 대한 응답을 기대하는 방식으로 수행됩니다.
응답을 바탕으로 서비스 상태를 확인합니다.
공격자는 65,535바이트의 유효한 IPv4 패킷이 필요한 RFC791 인터넷 프로토콜을 위반하여 대규모 패킷을 전송하여 Ping of death DDoS 공격을 수행합니다.
공격은 이 크기보다 큰 패킷을 보낼 수 없습니다. 따라서 그들은 패킷을 조각으로 보내며, 시스템이 패킷을 조립할 때 크기가 너무 큰 패킷이 되어 시스템이 정지되고 따라서 이름이 죽음의 핑(ping of death)이 됩니다.
죽음의 핑 공격: 예시
#1. DNC 캠페인 히트
2018년에는 민주당전국위원회가 타격을 입었다 DDoS 공격으로. 이러한 공격은 DNC와 DCCC가 자금을 모금 중이거나 후보자의 인기가 높아졌을 때 수행되었습니다. 죽음의 핑과 같은 DDoS 공격은 혼란을 보장하기 위해 수행되며 경쟁자가 경쟁 상황에서 무기로 사용될 수 있습니다.
#2. 호주 인구조사 공격
호주통계청 ABS 2016은 DDoS 공격을 받았습니다, 시민들은 인구 조사에 참여하기 위해 국 웹사이트에 접속할 수 없었습니다. 공격자들의 PoD 공격은 네트워크를 정체시켜 호주인들이 인구 조사에 참여하는 것을 차단하는 것을 목표로 삼았습니다.
#삼. 백악관의 잘못된 신원 PoD 공격
2001년에는 백악관 패러디 사이트, whitehouse.org는 Ping of Death 공격의 피해자였습니다. 공격자의 목표는 whitehouse.gov 웹사이트였지만 그들은 이를 약한 패러디 웹사이트인 whitehouse.org로 착각했습니다.
이 공격을 발견한 Brook Talley는 13시간 동안 웹사이트에 ICMP 에코 요청이 대량으로 접수되었다고 말했습니다. 공격자의 목적은 whitehouse.gov 사이트를 공격하여 서비스 거부 DoS를 유발하는 것인 것으로 밝혀졌습니다.
Ping of Death 공격으로부터 안전을 유지하는 모범 사례
공격자는 시스템 내의 취약점과 허점을 활용하여 액세스 권한을 얻습니다. 모든 시스템과 서비스는 활용될 수 있는 보안 및 시스템 결함을 유지하기 위해 시스템이 적절하게 보호되는지 확인해야 합니다. 다음은 시스템을 안전하게 유지하는 데 도움이 되는 몇 가지 모범 사례입니다.
시스템을 최신 상태로 유지하세요
시스템에 최신 패치와 업데이트가 있는지 확인하는 것이 모범 사례입니다. 모든 보안 문제가 해결되도록 시스템에 대한 업데이트와 패치가 지속적으로 개발되고 있으며 공격자가 이러한 보안 문제를 활용한다는 사실을 알고 시스템을 최신 상태로 유지하면 이 취약점을 차단하는 데 도움이 됩니다.
패킷 필터링
Ping of death 공격은 패킷 전송을 활용합니다. 각 패킷에는 소스 IP 주소, 대상 IP 주소, 프로토콜 및 포트가 포함된 헤더가 포함되어 있으며, 데이터 페이로드에는 전송할 데이터가 포함되어 있습니다.
패킷 필터링 방화벽을 추가하면 클라이언트에서 서버로 전송되는 패킷을 필터링하고 필수 규칙을 충족하는 패킷만 이행되도록 할 수 있습니다. 그러나 시스템이 합법적인 요청을 차단할 수 있다는 단점이 있습니다.
네트워크 세분화
DDoS 공격의 목표 중 하나는 합법적인 요청을 사용하지 못하도록 서비스를 정지시키는 것입니다. 네트워크를 분할하는 것은 서비스의 완전한 부족을 완화하는 데 도움이 되므로 모범 사례이기도 합니다. 중요한 서비스와 데이터를 다양한 위치에 격리하면 공격 발생 시 다른 리소스를 대체 수단으로 사용할 수 있습니다.
트래픽 모니터링
네트워크 트래픽과 로그를 지속적으로 모니터링하면 Ping of Death를 비롯한 다양한 DDoS 공격을 조기에 탐지할 수 있습니다. 이를 통해 비정상적인 트래픽으로 인한 시스템의 일반 트래픽을 이해하고 비정상적인 트래픽 흐름을 감지하기 위한 예방 조치를 계획하는 데 도움이 됩니다.
DDoS 솔루션 사용
몇몇 회사에서는 이러한 공격을 완화하거나 조기에 탐지하는 데 도움이 되는 솔루션을 개발하고 있습니다. 시스템 내에 이 서비스를 통합하면 시스템에 보호 계층을 추가할 수 있습니다. 다음은 활용할 수 있는 솔루션 중 일부입니다.
#1. 클라우드플레어
클라우드플레어 DDoS 공격에 대한 최고의 솔루션 중 하나입니다. 이는 레이어 7, 애플리케이션 레이어(L4) 및 네트워크(L3)의 공격으로부터 시스템을 3계층으로 보호합니다.
Cloudflare는 원치 않는 패킷 액세스를 완화하기 위한 규칙과 정책을 설정하는 데 도움이 되는 서비스형 방화벽을 제공합니다. 내장된 모니터링 시스템을 통해 Cloudflare는 모든 형태의 DDoS 공격에 대해 네트워크 활동을 지속적으로 모니터링합니다.
#2. 임페르바
임페르바 PoD와 같은 DDoS 공격에 대한 솔루션은 악의적인 활동에 대한 즉각적인 알림, 네트워크 트래픽에 대한 액세스 가능하고 지속적인 모니터링, SEIM 도구와의 손쉬운 통합 기능을 제공합니다. Impreva는 웹사이트, 네트워크 및 개인 IP 보호에 대한 보호 기능을 제공합니다.
Impreva는 Imperva 스크러빙 센터를 통해 들어오는 모든 트래픽을 실행하는 시스템을 통해 악성 트래픽을 차단하여 합법적인 요청만 처리되도록 할 수 있습니다.
Ping of Death(PoD)와 Smurf 또는 SYN Flood Attack의 차이점은 무엇입니까?
SYN Flood 공격은 ICMP를 대상으로 하는 PoD와 달리 TCP 핸드쉐이킹 프로세스를 대상으로 하는 DDoS 공격입니다. 이 공격에는 공격자가 스푸핑된 소스 IP 주소를 사용하여 대량의 TCP SYN(동기화) 패킷을 보내는 것이 포함됩니다.
시스템은 응답을 처리하고 리소스를 할당하며 결코 전송되지 않는 클라이언트의 ACK(승인)를 기다립니다. 시스템 리소스를 소비하고 새 요청에 대한 액세스가 처리되지 않도록 차단합니다.
반면 스머프 공격 역시 ICMP와 IP 브로드캐스트 주소를 활용하는 DDoS 공격으로, 많은 ICMP 패킷이 피해자의 IP 주소를 원본으로 하는 네트워크에 브로드캐스팅되어 네트워크를 정지시키는 공격이다.
PoD 공격 발생 시 조치 방법
PoD 공격이 성공한 경우 즉시 작업을 시작하여 시스템을 기능 상태로 복원해야 합니다. 시스템/서비스가 오랫동안 중단될수록 PoD 공격은 시스템 평판에 더 많은 피해를 입힙니다. 다음은 이러한 상황이 발생할 경우 염두에 두어야 할 몇 가지 사항입니다.
별도의 시스템
시스템의 여러 부분을 분리할 수 있는 것이 중요합니다. 모든 공격의 목표는 전체 시스템에 대한 액세스를 제공하는 단일 취약점에 액세스하는 것입니다. 이를 확인하고 제 시간에 완료하지 않으면 공격이 시스템으로 더 오래 지속될 수 있으며 더 많은 피해가 발생할 수 있습니다.
소스 찾기
모니터링은 시스템 내의 이상을 식별하는 데 필수적입니다. 공격이 발생하는 경우 소스가 더 이상 손상되지 않도록 소스를 최대한 빨리 식별해야 합니다. 소스가 오래 남아 있을수록 피해가 커지기 때문입니다.
시스템 업데이트 실행
공격 후에는 PoD가 주로 취약점을 활용하므로 아직 이루어지지 않은 시스템 업데이트와 패치가 있는지 확인하는 것이 중요합니다. 이러한 패치와 업데이트는 일반적으로 해당 버그를 수정하기 위해 수행됩니다.
향후 공격에 대한 계획 및 모니터링
공격 발생에 대한 계획은 조직이 사고 발생 시 수행해야 하는 활동 목록을 갖는 데 도움이 됩니다. 이는 사고 발생 시 어떻게 해야 할지 모르는 부담을 줄이는 데 도움이 됩니다. 이러한 공격을 조기에 탐지하려면 지속적인 모니터링이 중요합니다.
사건 신고
당국이 문제를 인지하고 공격자를 찾고 추적하는 데 도움을 주기 위해서는 모든 공격을 보고하는 것이 필수적입니다.
마지막 생각들
더 많은 서비스가 클라우드로 이동함에 따라 보안은 필수적인 부분이자 성공의 열쇠 중 하나입니다. 서비스와 솔루션을 제공하는 조직은 시스템 내에서 공격자의 정보 유출을 방지하기 위해 모든 조치를 취해야 합니다.
다음으로, 중소기업 웹사이트를 위한 최고의 클라우드 기반 DDoS 보호를 탐색할 수도 있습니다.