IP 주소 스윕 및 포트 스캔
주소 스윕은 하나의 소스 IP 주소가 미리 정의된 시간 간격 내에 여러 호스트에 미리 정의된 수의 ICMP 패킷을 보낼 때 발생합니다. 포트 스캐닝은 하나의 소스 IP 주소가 TCP SYN 세그먼트를 포함하는 IP 패킷을 사전 정의된 시간 간격 내에 동일한 대상 IP 주소의 사전 정의된 수의 다른 포트로 전송할 때 발생합니다. 자세한 내용은 다음 항목을 참조하세요.
IP 옵션을 사용한 네트워크 정찰 이해
IP 표준 RFC 791, 인터넷 프로토콜은 특수 라우팅 제어, 진단 도구 및 보안을 제공하기 위한 옵션 집합을 지정합니다.
RFC 791은 이러한 옵션이 "가장 일반적인 통신에는 불필요하다"고 명시하고 있으며, 실제로는 IP 패킷 헤더에 거의 나타나지 않습니다. 이러한 옵션은 그림 1과 같이 IP 패킷 헤더의 대상 주소 뒤에 나타납니다. 그들이 나타날 때, 그들은 종종 불법적으로 사용됩니다.
이 항목에는 다음 섹션이 포함되어 있습니다.
IP 패킷 헤더 옵션의 용도
표 1 에는 IP 옵션과 그에 수반되는 속성이 나열되어 있습니다.
형식 |
클래스 |
수 |
길이 |
사용 목적 |
사악한 사용 |
|---|---|---|---|---|---|
옵션의 끝 |
0* |
0 |
0 |
하나 이상의 IP 옵션의 끝을 나타냅니다. |
없음. |
옵션 없음 |
0 |
1 |
0 |
헤더에 IP 옵션이 없음을 나타냅니다. |
없음. |
보안 |
0 |
2 |
11비트 |
호스트가 보안, TCC(폐쇄형 사용자 그룹) 매개변수 및 국방부(DoD) 요구 사항과 호환되는 처리 제한 코드를 보낼 수 있는 방법을 제공합니다. RFC 791, 인터넷 프로토콜 및 RFC 1038, 개정된 IP 보안 옵션에 지정된 이 옵션은 더 이상 사용되지 않습니다. 현재 이 화면 옵션은 IPv4에만 적용됩니다. |
알려지지 않은. 그러나 더 이상 사용되지 않기 때문에 IP 헤더에 존재하는지 의심스럽습니다. |
느슨한 소스 경로 |
0 |
3 |
다릅니다 |
패킷이 출발지에서 목적지까지 이동하는 여정에 대한 부분 경로 목록을 지정합니다. 패킷은 지정된 주소 순서대로 진행되어야 하지만 지정된 주소 사이에 있는 다른 디바이스를 통과할 수 있습니다. |
회피. 공격자는 지정된 경로를 사용하여 패킷의 실제 소스를 숨기거나 보호된 네트워크에 대한 액세스 권한을 얻을 수 있습니다. |
기록 경로 |
0 |
7 |
다릅니다 |
IP 패킷이 이동하는 경로를 따라 네트워크 디바이스의 IP 주소를 기록합니다. 그러면 대상 시스템이 경로 정보를 추출하고 처리할 수 있습니다. (옵션과 저장 공간 모두에 대해 40바이트의 크기 제한으로 인해 최대 9개의 IP 주소만 기록할 수 있습니다.) 현재 이 화면 옵션은 IPv4에만 적용됩니다. |
정찰. 대상 호스트가 공격자의 제어 하에 있는 손상된 시스템인 경우 공격자는 패킷이 통과한 네트워크의 토폴로지 및 주소 지정 체계에 대한 정보를 수집할 수 있습니다. |
스트림 ID |
0 |
8 |
4비트 |
(단종) 16비트 SATNET 스트림 식별자가 스트림 개념을 지원하지 않는 네트워크를 통해 전달될 수 있는 방법을 제공했습니다. 현재 이 화면 옵션은 IPv4에만 적용됩니다. |
알려지지 않은. 그러나 더 이상 사용되지 않기 때문에 IP 헤더에 존재하는지 의심스럽습니다. |
엄격한 소스 경로 |
0 |
9 |
다릅니다 |
출발지에서 목적지까지 이동할 패킷의 전체 경로 목록을 지정합니다. 목록의 마지막 주소가 목적지 필드의 주소를 대체합니다. 현재 이 화면 옵션은 IPv4에만 적용됩니다. |
회피. 공격자는 지정된 경로를 사용하여 패킷의 실제 소스를 숨기거나 보호된 네트워크에 대한 액세스 권한을 얻을 수 있습니다. |
타임 스탬프 |
2** |
4 |
|
각 네트워크 디바이스가 출발지에서 목적지까지 이동하는 동안 패킷을 수신하는 시간(UTC]***)을 기록합니다. 네트워크 디바이스는 IP 주소로 식별됩니다. 이 옵션은 패킷 경로와 각 디바이스 간의 전송 기간을 따라 디바이스의 IP 주소 목록을 개발합니다. 현재 이 화면 옵션은 IPv4에만 적용됩니다. |
정찰. 대상 호스트가 공격자의 제어 하에 있는 손상된 시스템인 경우 공격자는 패킷이 통과한 네트워크의 토폴로지 및 주소 지정 체계에 대한 정보를 수집할 수 있습니다. |
* 0으로 식별된 옵션 클래스는 추가 패킷 또는 네트워크 제어를 제공하도록 설계되었습니다. ** 2로 식별된 옵션 클래스는 진단, 디버깅 및 측정을 위해 설계되었습니다.** The class of options identified as 2 was designed for diagnostics, debugging, and measurement. 타임스탬프는 UTC 자정 이후의 시간(밀리초)을 사용합니다. UTC는 그리니치 표준시(GMT)라고도 하며, 이는 국제 시간 표준의 기초입니다. |
|||||
정찰에 사용되는 IP 옵션을 탐지하기 위한 화면 옵션
다음 화면 옵션은 공격자가 정찰 또는 알 수 없지만 의심스러운 목적으로 사용할 수 있는 IP 옵션을 검색합니다.
Record Route—Junos OS는 IP 옵션이 7(기록 경로)인 패킷을 감지하고 수신 인터페이스의 화면 카운터 목록에 이벤트를 기록합니다. 현재 이 화면 옵션은 IPv4에만 적용됩니다.
타임스탬프—Junos OS는 IP 옵션 목록에 옵션 4(인터넷 타임스탬프)가 포함된 패킷을 감지하고 수신 인터페이스의 화면 카운터 목록에 이벤트를 기록합니다. 현재 이 화면 옵션은 IPv4에만 적용됩니다.
보안—Junos OS는 IP 옵션이 2(보안)인 패킷을 감지하고 수신 인터페이스의 화면 카운터 목록에 이벤트를 기록합니다. 현재 이 화면 옵션은 IPv4에만 적용됩니다.
스트림 ID—Junos OS는 IP 옵션이 8(스트림 ID)인 패킷을 감지하고 수신 인터페이스의 화면 카운터 목록에 이벤트를 기록합니다. 현재 이 화면 옵션은 IPv4에만 적용됩니다.
이전 IP 옵션 중 하나라도 있는 패킷이 수신되면 Junos OS는 이를 네트워크 정찰 공격으로 표시하고 수신 인터페이스에 대한 이벤트를 기록합니다.
예: 정찰을 위해 IP 화면 옵션을 사용하는 패킷 탐지
이 예는 정찰을 위해 IP 화면 옵션을 사용하는 패킷을 탐지하는 방법을 보여줍니다.
요구 사항
시작하기 전에 네트워크 정찰의 작동 방식을 이해하십시오. IP 옵션을 사용한 네트워크 정찰 이해의 내용을 참조하십시오.
개요
RFC 791, 인터넷 프로토콜 은 특수 라우팅 제어, 진단 도구 및 보안을 제공하기 위한 옵션 집합을 지정합니다. 화면 옵션은 레코드 경로, 타임스탬프, 보안 및 스트림 ID를 포함하여 공격자가 정찰에 사용할 수 있는 IP 옵션을 검색합니다.
이 예에서는 IP 화면 screen-1을 구성하고 zone-1이라는 보안 영역에서 활성화합니다.
하나의 보안 영역에서 하나의 화면만 활성화할 수 있습니다.
토폴로지
구성
절차
CLI 빠른 구성
레코드 경로, 타임스탬프, 보안 및 스트림 ID IP 화면 옵션을 사용하여 패킷을 빠르게 감지하려면 다음 명령을 복사하여 CLI에 붙여넣습니다.
[edit] set security screen ids-option screen-1 ip record-route-option set security screen ids-option screen-1 ip timestamp-option set security screen ids-option screen-1 ip security-option set security screen ids-option screen-1 ip stream-option set security zones security-zone zone-1 screen screen-1
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
정찰을 위해 IP 화면 옵션을 사용하는 패킷 탐지:
IP 화면 옵션을 구성합니다.
참고:현재 이러한 화면 옵션은 IPv4만 지원합니다.
[edit security screen] user@host# set ids-option screen-1 ip record-route-option user@host# set ids-option screen-1 ip timestamp-option user@host# set ids-option screen-1 ip security-option user@host# set ids-option screen-1 ip stream-option
보안 영역에서 화면을 활성화합니다.
[edit security zones ] user@host# set security-zone zone-1 screen screen-1
결과
구성 모드에서 명령을 입력하여 show security screen 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
[user@host]show security screen
ids-option screen-1 {
ip {
record-route-option;
timestamp-option;
security-option;
stream-option;
}
}
[edit]
[user@host]show security zones
zones {
security-zone zone-1 {
screen screen-1;
}
}
디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .
확인
구성이 올바르게 작동하고 있는지 확인합니다.
보안 영역의 화면 확인
목적
보안 영역에서 화면이 활성화되었는지 확인합니다.
작업
운영 모드에서 명령을 입력합니다 show security zones .
[edit]
user@host> show security zones
Security zone: zone-1
Send reset for non-SYN session TCP packets: Off
Policy configurable: Yes
Screen: screen-1
Interfaces bound: 1
Interfaces:
ge-1/0/0.0
보안 화면 구성 확인
목적
보안 화면에 대한 구성 정보를 표시합니다.
작업
운영 모드에서 명령을 입력합니다 show security screen ids-option screen-name .
[edit]
user@host> show security screen ids-option screen-1
Screen object status:
Name Value
IP record route option enabled
IP timestamp option enabled
IP security option enabled
IP stream option enabled
IP 주소 스윕 이해
주소 스윕은 하나의 소스 IP 주소가 정의된 간격(기본값 5000마이크로초) 내에 다른 호스트로 전송된 ICMP 패킷의 수를 정의할 때 발생합니다. 이 공격의 목적은 ICMP 패킷(일반적으로 에코 요청)을 다양한 호스트에 전송하여 하나 이상의 응답이 이루어지기를 바라며 대상 주소를 알아내는 것입니다.
Junos OS는 하나의 원격 소스에서 다른 주소에 대한 ICMP 패킷 수를 내부적으로 기록합니다. 기본 설정을 사용하여 원격 호스트가 0.005초(5000마이크로초) 내에 10개의 주소로 ICMP 트래픽을 전송하면 디바이스는 이를 주소 스윕 공격으로 표시하고 지정된 임계값 기간의 나머지 기간 동안 해당 호스트의 모든 추가 ICMP 패킷을 거부합니다. 그림 2를 참조하십시오.
해당 영역에서 ICMP 트래픽을 허용하는 정책이 있는 경우에만 보안 영역에 대해 이 화면 옵션을 활성화하는 것이 좋습니다. 그렇지 않으면 화면 옵션을 활성화할 필요가 없습니다. 이러한 정책이 없으면 해당 영역의 모든 ICMP 트래픽이 거부되어 공격자가 IP 주소 스윕을 성공적으로 수행할 수 없습니다.
Junos OS는 ICMPv6 전송에 대해서도 이 화면 옵션을 지원합니다.
예: IP 주소 스윕 차단
이 예에서는 보안 영역에서 발생하는 IP 주소 스윕을 차단하도록 화면을 구성하는 방법을 설명합니다.
요구 사항
시작하기 전에:
IP 주소 스윕의 작동 방식을 이해합니다. IP 주소 스윕 이해를 참조하십시오.
보안 영역을 구성합니다. 보안 영역 개요를 참조하십시오.
개요
해당 영역에서 ICMP 트래픽을 허용하는 정책을 구성한 경우 해당 영역에 대한 화면을 활성화해야 합니다. 이러한 정책을 구성하지 않은 경우 시스템은 해당 영역의 모든 ICMP 트래픽을 거부하므로 공격자는 IP 주소 스윕을 성공적으로 수행할 수 없습니다.
이 예에서는 zone-1 보안 영역에서 시작되는 IP 주소 스윕을 차단하는 화면을 구성합니다 5000-ip-sweep .
토폴로지
구성
절차
단계별 절차
IP 주소 스윕을 차단하는 화면 구성하기:
화면을 구성합니다.
[edit] user@host# set security screen ids-option 5000-ip-sweep icmp ip-sweep threshold 5000
보안 영역에서 화면을 활성화합니다.
[edit] user@host# set security zones security-zone zone-1 screen 5000-ip-sweep
디바이스 구성을 완료하면 구성을 커밋합니다.
[edit] user@host# commit
확인
구성이 올바르게 작동하고 있는지 확인합니다.
보안 영역의 화면 확인
목적
보안 영역에서 화면이 활성화되었는지 확인합니다.
작업
운영 모드에서 명령을 입력합니다 show security zones .
[edit]
user@host> show security zones
Security zone: zone-1
Send reset for non-SYN session TCP packets: Off
Policy configurable: Yes
Screen: 5000-ip-sweep
Interfaces bound: 1
Interfaces:
ge-1/0/0.0
TCP 포트 스캐닝 이해
포트 스캔은 하나의 소스 IP 주소가 TCP SYN 세그먼트가 포함된 IP 패킷을 정의된 간격(기본값 5000마이크로초) 내에 10개의 서로 다른 대상 포트로 보낼 때 발생합니다. 이 공격의 목적은 하나 이상의 포트가 응답하기를 바라며 사용 가능한 서비스를 스캔하여 대상 서비스를 식별하는 것입니다.
Junos OS는 하나의 원격 소스에서 스캔한 여러 포트의 수를 내부적으로 기록합니다. 기본 설정을 사용하여 원격 호스트가 0.005초(5000마이크로초)에 10개의 포트를 스캔하는 경우 디바이스는 이를 포트 스캔 공격으로 표시하고 지정된 타임아웃 기간의 나머지 기간 동안 대상 IP 주소에 관계없이 원격 소스의 모든 추가 패킷을 거부합니다. 그림 3을 참조하십시오.
Junos OS는 IPv4 및 IPv6 트래픽 모두에 대한 포트 스캔을 지원합니다.
UDP 포트 스캐닝 이해
UDP 포트 스캔은 세션 임계값에 대한 통계 정보를 제공합니다. 수신 패킷이 화면을 통과하면 세션이 설정됩니다. 적용되는 세션 임계값 수는 영역, 소스 IP 및 임계값 기간을 기반으로 하며 각 영역 및 소스 IP 주소에 대해 구성된 임계값 기간에 10개 이상의 새 세션을 허용하지 않습니다. UDP 포트 스캔은 기본적으로 비활성화되어 있습니다. UDP 포트 스캔이 활성화되면 기본 임계값 기간은 5000마이크로초입니다. 이 값은 1000-1,000,000마이크로초 범위로 수동으로 설정할 수 있습니다. 이 기능은 DDoS 공격으로부터 노출된 일부 공용 UDP 서비스를 보호합니다. 그림 4를 참조하십시오.
포트 스캔 차단을 통한 트래픽 관리 향상
이 예는 특정 보안 영역에서 발생하는 포트 스캔을 차단하도록 화면을 구성하여 트래픽 관리를 향상시키는 방법을 보여줍니다.
요구 사항
시작하기 전에 포트 스캐닝의 작동 방식을 이해하십시오. TCP 포트 스캐닝 이해를 참조하십시오.
개요
포트 스캔을 사용하여 TCP SYN 세그먼트 또는 UDP 세그먼트가 포함된 IP 패킷이 정의된 간격 내에 동일한 소스 주소에서 다른 포트로 전송되도록 차단할 수 있습니다. 이 공격의 목적은 하나 이상의 포트가 응답하기를 바라는 마음으로 사용 가능한 서비스를 검사하는 것입니다. 포트가 응답하면 타깃팅할 서비스로 식별됩니다.
이 예에서는 5000 포트 스캔 화면을 구성하여 특정 보안 영역에서 발생하는 포트 스캔을 차단한 다음 zone-1이라는 영역에 화면을 할당합니다.
토폴로지
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 CLI로 [edit] 복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .
set security screen ids-option 5000-port-scan tcp port-scan threshold 5000 set security screen ids-option 10000-port-scan udp port-scan threshold 10000 set security zones security-zone zone-1 screen 5000-port-scan
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
포트 스캔을 차단하는 화면 구성하기:
화면을 구성합니다.
[edit security] user@host# set security screen ids-option 5000-port-scan tcp port-scan threshold 5000 user@host#set security screen ids-option 10000-port-scan udp port-scan threshold 10000
보안 영역에서 화면을 활성화합니다.
[edit security] user@host# set security zones security-zone zone-1 screen 5000-port-scan
결과
구성 모드에서 및 show security zones 명령을 입력하여 show security screen ids-option 5000-port-scan 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security screen ids-option 5000-port-scan
tcp {
port-scan threshold 5000;
}
udp {
port-scan threshold 10000;
}
[edit]
user@host# show security zones
security-zone zone-1 {
screen 5000-port-scan;
}
디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .
확인
구성이 올바르게 작동하고 있는지 확인합니다.
보안 영역의 화면 확인
목적
보안 영역에서 화면이 활성화되었는지 확인합니다.
작업
운영 모드에서 명령을 입력합니다 show security zones .
[edit] user@host> show security zones Security zone: zone-1 Send reset for non-SYN session TCP packets: Off Policy configurable: Yes Screen: 5000-port-scan Interfaces bound: 0 Interfaces:
의미
샘플 출력은 zone-1의 화면이 포트 스캔 차단을 위해 활성화되어 있음을 보여줍니다.
보안 화면 구성 확인
목적
보안 화면에 대한 구성 정보를 확인합니다.
작업
운영 모드에서 명령을 입력합니다 show security screen ids-option screen-name .
[edit] user@host> show security screen ids-option 5000-port-scan Screen object status: Name Value TCP port scan threshold 5000 UDP port scan threshold 10000
의미
샘플 출력은 포트 스캔 차단이 TCP 및 UDP 임계값으로 작동한다는 것을 보여줍니다.