서비스 거부(DoS) 공격

(1) 개요
- 공격 대상 시스템이 정상적인 서비스를 할 수 없도록 만드는 공격
- 유형 : 파괴 공격, 시스템 자원 소진 공격, 네트워크 자원 소진 공격

(2) Ping Of Death Attack
- ICMP 패킷(ping)을 정상적인 크기보다 아주 크게 만들어 전송 -> MTU에 의해 다수의 IP 단편화 발생
- 수신측에서는 단편화된 패킷을 처리하는 과정에서 많은 부하 발생 or 재조합 버퍼의 오버플로우 발생
- 대응책 : 분할된 ICMP 패킷을 탐지 or 반복적으로 들어오는 일정 수 이상의 ICMP 패킷 무시

(3) Land Attack
- 출발지 IP와 목적지 IP가 같은 패킷 -> 시스템 가용성 침해
- 대응책 : 출발지와 목적지가 같으면 무조건 drop(방화벽)

(4) Smurf Attack
- 출발지 IP를 희생자 IP로위조 후 증폭 네트워크로 ICMP Echo Request를 브로드캐스트 -> 다수의 ICMP Echo Reply가 희생자에게 전달
- 대응책 : 동일한 ICMP Echo Reply 패킷으로 다량으로 발생하면 해당 패킷들을 모두 차단, Directed Broadcat 패킷을 허용하지 않도록 라우터 설정, 브로드캐스트 주소로 전송된 ICMP Echo Request 메시지에 미응답
* 라우터 명령어 : (config-if)# no ip directed-broadcast

(5) Teardrop Attack
- IP fragment offset값을 서로 중첩되도록 조작하여 전송 -> 수신한 시스템은 재조합 과정에서 오류 발생
- 대응책 : OS 보안패치

* IP fragmentation 취약점 이용한 침입차단시스템 우회 공격
- Tiny Fragment : IP 헤더 보다 작은 fragment 만들어 침입차단시스템 우회
- Fragmentation Overlap : IP fragmente의 offset값 조작해 서비스 포트 필드 중첩시켜 재조합해 침입차단시스템에서 허용하지 않는 서비스에 접근 가능하게 함