OS별 DoS 공격
OS별 DoS 공격은 1패킷 또는 2패킷 킬에 초점을 맞춥니다. 이러한 공격에는 Ping of Death 공격, Teardrop 공격 및 WinNuke 공격이 포함됩니다. Junos OS는 이러한 공격을 완화할 수 있는 기능을 갖추고 있습니다. 자세한 내용은 다음 항목을 참조하세요.
OS별 DoS 공격 개요
공격자가 무차별 암호 대입 공격에 의존하는 대신 활성 호스트의 IP 주소와 응답 포트 번호뿐만 아니라 운영 체제(OS)도 식별하는 경우 공격자는 한 패킷 또는 두 패킷 "킬"을 생성할 수 있는 보다 우아한 공격을 시작할 수 있습니다.
핑 오브 데스(ping of death) 공격, 티어드롭 공격, 윈누크(WinNuke) 공격을 비롯한 OS별 DoS(Denial-of-Service) 공격은 최소한의 노력으로 시스템을 마비시킬 수 있습니다. Junos OS가 이러한 공격에 취약한 호스트를 보호하는 경우, 이러한 공격을 탐지하고 목표에 도달하기 전에 차단하도록 Junos OS를 구성할 수 있습니다.
죽음의 핑 공격에 대한 이해
Ping of Death 공격과 같은 OS별 DoS 공격은 최소한의 노력으로 시스템을 마비시킬 수 있습니다.
허용되는 최대 IP 패킷 크기는 일반적으로 20바이트인 패킷 헤더를 포함하여 65,535바이트입니다. ICMP 에코 요청은 8바이트인 의사 헤더가 있는 IP 패킷입니다. 따라서 ICMP 에코 요청의 데이터 영역에 허용되는 최대 크기는 65,507바이트(65,535 - 20 - 8 = 65,507)입니다.
그러나 많은 ping 구현에서는 사용자가 65,507바이트보다 큰 패킷 크기를 지정할 수 있습니다. ICMP 패킷의 크기가 너무 크면 DoS(서비스 거부), 충돌, 정지 및 재부팅과 같은 다양한 불리한 시스템 반응이 발생할 수 있습니다.
Ping of Death 화면 옵션을 활성화하면 공격자가 조각화하여 총 패킷 크기를 숨기더라도 Junos OS가 이러한 특대하고 불규칙한 패킷 크기를 감지하고 거부합니다. 그림 1을 참조하십시오.
IP 사양에 대한 자세한 내용은 RFC 791, 인터넷 프로토콜을 참조하십시오. ICMP 사양에 대한 자세한 내용은 RFC 792, Internet Control Message Protocol을 참조하십시오. Ping of Death 공격에 대한 자세한 내용은 http://www.insecure.org/sploits/ping-o-death.html 를 참조하십시오.
Junos OS는 IPv4 및 IPv6 패킷 모두에 대해 Ping of Death Protection을 지원합니다.
예: Ping of Death 공격으로부터 보호
이 예제에서는 Ping-of-Death 공격으로부터 보호하는 방법을 보여줍니다.
요구 사항
이 기능을 구성하기 전에 디바이스 초기화 이외의 특별한 구성은 필요하지 않습니다.
개요
이 예제에서는 죽음의 핑 공격에 대한 보호를 활성화하고 공격이 시작된 영역을 지정합니다.
구성
절차
단계별 절차
죽음의 핑(ping)에 대한 보호를 활성화하려면:
화면 객체 이름을 지정합니다.
[edit] user@host# set security screen ids-option ping-death icmp ping-death
영역 화면의 보안 영역을 설정합니다.
[edit] user@host# set security zones security-zone zone screen ping-death
디바이스 구성을 완료하면 구성을 커밋합니다.
[edit] user@host# commit
확인
구성이 제대로 작동하는지 확인하려면 운영 모드에서 및 show security zones
명령을 입력합니다show security screen ids-option ping-death
.
티어드롭 공격 이해하기
티어드롭 공격과 같은 OS별 DoS 공격은 최소한의 노력으로 시스템을 마비시킬 수 있습니다.
티어드롭 공격은 단편화된 IP 패킷의 리어셈블리를 악용합니다. IP 헤더에서 필드 중 하나는 프래그먼트 오프셋 필드로, 원래 프래그먼트화되지 않은 패킷의 데이터를 기준으로 프래그먼트화된 패킷에 포함된 데이터의 시작 위치 또는 오프셋을 나타냅니다. 그림 2를 참조하십시오.
한 조각화된 패킷의 오프셋과 크기의 합이 다음 조각화된 패킷의 오프셋과 크기의 합이 다른 경우 패킷이 겹치고 패킷을 다시 어셈블하려는 서버가 충돌할 수 있습니다. 특히 이 취약점이 있는 이전 OS를 실행하는 경우 충돌이 발생할 수 있습니다. 그림 3을 참조하십시오.
티어드롭 공격 화면 옵션을 활성화한 후, Junos OS는 단편화된 패킷에서 이러한 불일치를 감지할 때마다 이를 삭제합니다.
Junos OS는 IPv4 및 IPv6 패킷 모두에 대해 티어드롭 공격 방지를 지원합니다.
WinNuke 공격 이해
WinNuke 공격과 같은 OS별 DoS(서비스 거부) 공격은 최소한의 노력으로 시스템을 마비시킬 수 있습니다.
WinNuke는 Windows를 실행하는 인터넷의 모든 컴퓨터를 대상으로 하는 DoS 공격입니다. 공격자는 TCP 세그먼트(일반적으로 긴급(URG) 플래그가 설정된 NetBIOS 포트 139)를 연결이 설정된 호스트로 보냅니다( 그림 4 참조). 이로 인해 NetBIOS 조각 겹침이 발생하여 Windows를 실행하는 많은 컴퓨터가 충돌합니다. 공격받은 시스템이 재부팅되면 공격이 발생했음을 나타내는 다음 메시지가 나타납니다.
An exception OE has occurred at 0028:[address] in VxD MSTCP(01) + 000041AE. This was called from 0028:[address] in VxD NDIS(01) + 00008660. It may be possible to continue normally. Press any key to attempt to continue. Press CTRL+ALT+DEL to restart your computer. You will lose any unsaved information in all applications. Press any key to continue.
WinNuke 공격 방어 화면 옵션을 활성화하면 Junos OS는 들어오는 모든 Microsoft NetBIOS 세션 서비스(포트 139) 패킷을 스캔합니다. Junos OS가 이러한 패킷 중 하나에서 URG 플래그가 설정된 것을 관찰하면, URG 플래그를 설정 해제하고, URG 포인터를 지우고, 수정된 패킷을 전달하고, WinNuke 공격 시도를 차단했음을 이벤트 로그에 기록합니다.
Junos OS는 IPv4 및 IPv6 트래픽 모두에 대해 WinNuke 공격 보호를 지원합니다.
예: WinNuke 공격으로부터 보호
이 예제에서는 WinNuke 공격으로부터 보호하는 방법을 보여 줍니다.
요구 사항
이 기능을 구성하기 전에 디바이스 초기화 이외의 특별한 구성은 필요하지 않습니다.
개요
이 예제에서는 WinNuke 공격에 대한 보호를 사용하도록 설정하고 공격이 시작된 영역을 지정합니다.
구성
절차
단계별 절차
WinNuke 공격에 대한 보호를 활성화하려면:
화면 이름을 지정합니다.
[edit] user@host# set security screen ids-option winnuke tcp winnuke
화면을 보안 영역과 연결합니다.
[edit] user@host# set security zones security-zone zone screen winnuke
디바이스 구성을 완료하면 구성을 커밋합니다.
[edit] user@host# commit
확인
구성이 제대로 작동하는지 확인하려면 운영 모드에서 및 show security zones
명령을 입력합니다show security screen ids-option winnuke
.