[침탐] 3장, 네트워크 계층 기반의 주요 공격 유형

네트워크 계층의 전송 단위는 패킷이다. 패킷 단위를 처리하는 대표적인 장치로는 라우터 등이 있다.

 

네트워크 계층에서 나타나는 공격은 IP 스푸핑 공격에 기반한 랜드(LAND)공격과 티얼 드롭(Tearndrop) 공격 그리고 ICMP 플러딩(Flooding) 공격과 ICMP 스머핑(Smurfing) 공격 등이 있다. 이때 IP 스푸핑(IP Spoofing) 공격이란 출발지 IP 주소를 조작해 자신을 은폐하는 공격을 의미한다.

 

랜드 공격은 IP 스푸핑 공격을 변형한 기법으로 출발지 IP 주소를 목적지 IP 주소와 동일하게 설정한 뒤 ICMP 요청 패킷을 공격 대상자에게 전송한다. 공격 대상자는 ICMP 응답 패킷을 전송하기 위해 출발지 IP 주소를 참조하는데 이 경우 목적지 IP 주소와 동일하기 때문에 ICMP 응답 패킷을 자신에게 보낸다.

 

랭드 공격은 출발지 IP 주소를 목적지 IP 주소와 동일하게 설정해 공격 대상자에게 인위적인 과부하를 유발케 하는 네트워크 계층의 플러딩(flooding) 공격에 해당한다. 랜드 공격을 전송 계층까지 확장해 사용할 경우에는 출발지 포트 번호/IP 주소를 목적지 포트 번호/IP 주소로 설정한다.

 

티얼드롭 공격도 네트워크 계층에서 일어나는 대표적인 공격에 해당한다. 티얼드롭 공격은 패킷 분할 속성을 이용한 기법이다. 여타 네트워크 계층의 공격처럼 플러딩 공격의 일종이다. 패킷 분할 시 공격자는 플래그먼트 오프셋의 정보를 정보를 조작해 공격 대상자에게 전송한다.

 

ICMP 플러딩 공격은 죽음의 핑 공격이라고도 부른다. ICMP 플러그 공격은 보통 ICMP 페이로드 크기를 65,000 바이트 이상으로 설정하고 IP 스푸핑 공격을 적용해 출발지 IP 주소를 매 순간 임의로 변경해 전송한다. 수신 측에서는 매번 분할 패킷을 재조립한 뒤 ICMP 응답 패킷을 전송해야 하기 때문에 그만큼 과부하가 클 수밖에 없다.

 

hping3 도구를 이용해 랜드 공격과 ICMP 플러딩 공격을 동시에 적용한 형태다.

 

ICMP 스머핑 공격은 ICMP 플러딩 공격의 변형 기법이다. 공격 대상자의 IP 주소를 출발지 IP 주소로 설정하고 목적지 IP 주소를 브로드캐스트 IP 주소로 설정한다