본문 바로가기

서버 및 IT 관련

2009년 2분기 IPS 공격 방어 현황 통계


* 참고 - 각 타이틀을 클릭하시면, 보다 상세한 내용의 원문을 보실 수 있습니다.

1. ping_flood
고성능 컴퓨터를 이용해 초당 1기가 비트에 이르는 엄청난 양의 접속 신호를 한 사이트에 집중적으로 보냄으로써 삽시간에 상대 컴퓨터의 서버를 접속 불능 상태로 만들어 버리는 해킹 수법입니다.
해결방법: 상단 스위치네트워크에서 icmp 패킷을 차단합니다. (icmp 패킷 차단 요청 시 KoreaIDC에서 제공하는 방화벽을 이용하여 ICMP 패킷을 차단할수 있습니다.)

2. IRC_Rogue_Session
IRC 웜은 자신을 퍼뜨리기 위해 IRC 네트워크를 이용하는 독립형 프로그램입니다. 이와 같은 웜은 IRC 서버에 접속하여 자기 자신을 퍼트리거나 또는 IRC 클라이언트 디렉토리에 특정 스크립트를 적용시킵니다. 가장 많은 영향을 받는 IRC 클라이언트는 mIRC입니다. 보통 IRC 웜은 mIRC 디렉토리 안의 몇 개의 INI 파일에 자신의 특정 스크립트를 교체(적용)하며, 사용자가 IRC 서버에 접속하여 채널에 들어오면 이 스크립트들을 웜의 실행파일에 접속한 사용자를 통해 그 채널의 모든 사람에게 보내도록 합니다. * 유명한 IRC 웜 : Aplore, Maldal, Gokar, Spester, Irok, Nymph
해결방법: OS 취약점을 주기적으로 패치하고 최신 백신을 설치를 권장합니다.

3. FTP_Put
파일전송 프로토콜인 FTP를 이용하여 원본 호스트에서 대상호스트로 파일을 전송시키는 PUT 명령어를 통해 디코딩된 악성 FTP 파일을 대상호스트에 업로드하는 방식의 공격입니다.
해결방법: FTP서버를 특정 IP에서만 접근이 가능하도록 방화벽설정을 합니다.

4. Synflood
DOS(Denial of Service)공격의 일종으로 네트워크에 연속적인 SYN패킷을 보내서 수용 용량(큐)를 넘치게 하는 네트워크 공격 방법. 각각의 패킷이 목적 시스템에 SYN-ACK 응답을 발생 시키는데, 시스템이 SYN-ACK에 따르는 ACK(acknowledgement)를 기다리는 동안, backlog 큐로 알려진 큐에 모든 SYN-ACK 응답들을 넣게됩니다. SYN-ACK은 오직 ACK가 왔을때나 내부의 비교적 길게 맞추어진 타이머의 시간이 넘었을때만 이 3단계 교환 TCP 통신 규약을 끝내게 됩니다. 이 큐가 꽉찼을때 들어오는 모든 SYN요구를 무시하고 시스템이 인증된 사용자들의 요구에 응답할 수 없게 되는 것입니다.
해결방법: Windows: 최신 (SP2) 서비스팩을 설치합니다. Linux : cat /proc/sys/net/ipv4/tcp_syncookies 1값이 저장되어 있는지 확인합니다 그렇지 않을 경우 echo “1” > /proc/sys/net/ipv4/tcp_syncookies 입력합니다

5. SQL_SSRP_Slammer_Worm
Microsoft의 database 관리 system인 SQL server의 허점을 이용, 특정 port를 이용해 MS SQL server를 공격하는 신종 computer worm virus. 2003년 1월 26일 우리나라를 비롯해, 전세계 Internet 전산망에 막대한 피해를 끼친 주인공으로, 지난 2001년 여름 전 세계를 강타한 Code Red virus와 마찬가지로 DoS(서비스거부공격)을 실행해 전체 network과부하를 유발시킨다. 즉, 이 worm에 감염된 server는 무작위 IP(Internet Protocol)주소로 1초에 1 megabit(MB) 크기의 packet(네트워크로 보내는 데이터조합신호)을 보내며 이 같은 packet은 한번 보내지면 무한 루프를 돌아 server가 종료될 때까지 무한정 계속 보내지도록 돼 있어 server는 data 과부하로 사실상 service가 불가능해지게 된다.
해결방법:  Windows , SQL 제품군 보안 패치.

6. Smurf_Attack
Dos공격의 일종인 Smurf_Attack은 Ip Spoofing과 ICMP를 이용해 네트웍 대역을 마비 시키는 공격입니다.
해결방법: 서버에 설치 되어 있는 방화벽에 특정 모니터링 서버 ip를 제외한 ICMP 패킷을 차단 합니다.

7. TCP_OS_Fingerprint
ICMP 기반으로 원격에 있는 OS를 알아내어 서버의 취약점을 찾아내는 공격방법입니다.
해결방법: 서버에 설치 되어 있는 방화벽에 특정 모니터링 서버 ip를 제외한 ICMP 패킷을 차단 합니다.

8. SensorStatistics
S스위치 상태를 나타내는 특성화된 몇가지의 이벤트 입니다.예를 들면 네트워크의 통계,네트워크의 연결된 잠재적인 손실,대역폭의 스파이크에 대한 알림입니다.
해결방법: 위의 내용은 IPS에서 네트워크의 특성화된 이슈를 나타낸 것으로 취약점이나 공격이 아니므로 특별히 조치사항은 없습니다.

9. ICMP_Flood
원격지의 공격자는 짧은 시간안에 많은 양의 ICMP 패킷의 전송하여 시스템의 장애를 발생시키는 공격입니다.
해결방법:  별도의 외부방화벽이 아닌 운영되는 OS단의 내부방화벽의 ICMP패킷을 차단하는 기능을 이용해도 쉽게 방어할수 있습니다.

10. UDP_Flood_DOS
사용자 데이터그램 프로토콜인 UDP는 RFC792에서 정의된 네트워크 커뮤니케이션을 위한 프로토콜입니다. 공격자자는 원격지에서 UDP 패킷을 다량으로 발생시켜 네트워크를 마비시키는 서비스거부 방식의 공격입니다.
해결방법:  방화벽 정책에서 원하지 않는 UDP flow port를 차단합니다.


* 본 리포트는 KOREA IDC내부의 보안 현황이므로 국내 보안 통계와 상이할 수 있습니다.

본문글은 코리아IDC 홈페이지에서 퍼온 글입니다.

http://www.koreaidc.com/bbs/set_view.php?b_name=idcnews&w_no=147