2008년 4분기 서버 공격유형 TOP 9

안녕하세요. KoreaIDC 운영자입니다.

KOREA IDC에서 2008년 4분기(10월~12월)동안의 공격 방어유형을 분석하여 여러분께 제공합니다.
앞으로 분기별 보안리포트를 제공하여 IDC 보안 현황에 대한 고객님들의 궁금점을 해소시켜 드릴 예정이오니, 참고하시기 바랍니다.



* 참고 - 각 타이틀을 클릭하시면, 보다 상세한 내용의 원문을 보실 수 있습니다.

1. TCP_Network_Scan
Portscan은 공격자에 의해 어떤 서비스를 실행하고 있는지 각 포트에 대한 조사를 하여, 추후 이 누적된 정보를 공격자에게 제공하여 사용 할 수 있도록 하는 공격입니다.

해결방법: 방화벽을 이용하여 서비스 포트 이외는 차단합니다.

2. IRC traffic has been detected on ports not normally used by IRC (IRC_Rogue_Session)
Internet Relay Chat (IRC)는 대화형 표준 프로토콜입니다. 일반적인 IRC traffic은 IRC 서버 또는 IRC서버 중간의 네트워크를 통해 전달합니다. IRC 포트를 통해 백도어 또는 악성봇이 네트워크롤 전파될수 있습니다.

해결방법: OS 취약점을 주기적으로 패치하고 최신 백신을 설치를 권장합니다.

3. synflood
DOS(Denial of Service)공격의 일종으로 네트워크에 연속적인 SYN패킷을 보내서 수용 용량(큐)를 넘치게 하는 네트워크 공격 방법. 각각의 패킷이 목적 시스템에 SYN-ACK 응답을 발생 시키는데, 시스템이 SYN-ACK에 따르는 ACK(acknowledgement)를 기다리는 동안, backlog 큐로 알려진 큐에 모든 SYN-ACK 응답들을 넣게됩니다. SYN-ACK은 오직 ACK가 왔을때나 내부의 비교적 길게 맞추어진 타이머의 시간이 넘었을때만 이 3단계 교환 TCP 통신 규약을 끝내게 됩니다. 이 큐가 꽉찼을때 들어오는 모든 SYN요구를 무시하고 시스템이 인증된 사용자들의 요구에 응답할 수 없게 되는 것입니다.

해결방법:

Windows: 최신 (SP2) 서비스팩을 설치합니다.

Linux : cat /proc/sys/net/ipv4/tcp_syncookies 1값이 저장되어 있는지 확인합니다. 그렇지 않을 경우 echo “1” > /proc/sys/net/ipv4/tcp_syncookies 입력합니다 .

4. UPnP_Request_Overflow
Windows의 제품군의 Universal Plug and Play (UPnP)를 이용한 buffer overflow 공격입니다 Windows XP를 제외한 다른 OS에선 아직 취약점이 발견되지 않았습니다.

해결방법: Service pack 3 설치

5. TCP_Null_Scan
TCP 포트 스캐닝 기법은 하나인 Null_Scan 0-65535 포트로 무작위로 Null을 보내 서버가 응답하는 RESET 신호를 확인하는 방법입니다.

해결방법: 불필요한 서비스를 중지 시키고 방화벽을 사용하여 서비스 포트만 개방하여 운영하는걸 추천합니다.

6. Smurf_Attack
Dos공격의 일종인 Smurf_Attack은 Ip Spoofing과 ICMP를 이용해 네트웍 대역을 마비 시키는 공격입니다.

해결방법: 서버에 설치 되어 있는 방화벽에 특정 모니터링 서버 ip를 제외한 ICMP 패킷을 차단 합니다.

7. Fragment_Resources_Exhausted
이미, IOS 12.0뿐만 아니라, IOS 11.2P와 IOS 11.3T 이전 버전과 Cisco PIX Firewalls 4.2.1까지도 공격자에게 노출되어 있습니다.

해결방법: Cisco Systems의 공지 목록에 있는 가장 최근 버전의 PIX Firewall (4.2(2) 또는 그 이후 버전) 업데이트합니다.

8. TCP_OS_Fingerprint
ICMP 기반으로 원격에 있는 OS를 알아내어 서버의 취약점을 찾아내는 공격방법입니다.

해결방법: 서버에 설치 되어 있는 방화벽에 특정 모니터링 서버 ip를 제외한 ICMP 패킷을 차단 합니다.

9. UDP_Flood_DoS Unassigned
UDP Flooding Attack이란 다양한 DoS(Denial of Service) 공격의 일종으로 대량의 UDP 패킷을 이용하여 대상 호스트의 네트워크 자원을 소모시키는 공격을 말합니다. 최근 인터넷에서 발생하는 DDoS(Distributed Denial of Service) 형태 중 UDP Flooding Attack이 가장 큰 부분을 차지하고 있습니다.


* 본 리포트는 KOREA IDC내부의 보안 현황이므로 국내 보안 통계와 상이할 수 있습니다.