2009년 3분기 서버 공격유형 TOP 10

KOREA IDC에서 2009년 3분기(07월~09월)동안의 공격 방어유형을 분석하여 여러분께 제공합니다.
앞으로 분기별 보안리포트를 제공하여 IDC 보안 현황에 대한
고객님들의 궁금점을 해소시켜 드릴 예정이오니, 참고하시기 바랍니다.


1. FTP_Put
파일전송 프로토콜인 FTP를 이용하여 원본 호스트에서 대상호스트로 파일을 전송시키는
PUT 명령어를 통해 디코딩된 악성 FTP 파일을 대상호스트에 업로드하는 방식의 공격입니다.
해결방법: FTP서버를 특정 IP에서만 접근이 가능하도록 방화벽 설정을 합니다.
위험도:Low Risk

2. IRC_Rogue_Session
IRC 웜은 자신을 퍼뜨리기 위해 IRC 네트워크를 이용하는 독립형 프로그램입니다.
이와 같은 웜은 IRC 서버에 접속하여 자기 자신을 퍼트리거나 또는 IRC 클라이언트 디렉토리에
특정 스크립트를 적용시킵니다. 가장 많은 영향을 받는 IRC 클라이언트는 mIRC입니다.
보통 IRC 웜은 mIRC 디렉토리 안의 몇 개의 INI 파일에 자신의 특정 스크립트를 교체(적용)하며,
사용자가 IRC 서버에 접속하여 채널에 들어오면 이 스크립트들을 웜의 실행파일에 접속한 사용자를 통해
그 채널의 모든 사람에게 보내도록 합니다.
* 유명한 IRC 웜 : Aplore, Maldal, Gokar, Spester, Irok, Nymph
해결방법: OS 취약점을 주기적으로 패치하고 최신 백신을 설치를 권장합니다.
위험도:Low Risk

3. Synflood
TCP/IP프로토콜의 연결방법인 3way-handshaking을 악용한 DOS(Denial of Service)공격의 일종으로
목적지 시스템에 연속적인 SYN(Synchronize)패킷을 보내서 시스템의 네트워크 수용 용량(큐)를
넘치게 하여 서비스를 할 수 없게 만드는 공격 방법입니다.
각각의 SYN 패킷이 목적지 시스템에 전송되면 시스템은 SYN-ACK로 근원지 시스템에 응답을 한 후
backlog 큐로 알려진 큐에 모든 SYN-ACK 응답들을 넣고 근원지 호스트의 ACK(Acknowledgment)
응답을 기다리게 됩니다. 이 때 근원지 호스트에서 ACK응답을 보내지 않고 SYN 응답을 보내게 되면
큐의 값이 반환되지 못해 큐에 쌓이게 되고, 큐의 값이 모두 차게 되면 시스템은 로그를 위한 공간을
충분히 확보하지 못하게 되며 결국 서비스 거부로 이어지게 됩니다
해결방법: Windows: 최신 (SP2) 서비스팩을 설치합니다.
Linux : cat /proc/sys/net/ipv4/tcp_syncookies 1값이 저장되어 있는지 확인합니다.
그렇지 않을 경우 echo “1”> /proc/sys/net/ipv4/tcp_syncookies를 입력합니다
위험도:Medium Risk

4. IRC_Msg
Internet Relay Chat(IRC)는 오랜 시간 동안 온라인 토론의 공간으로 사용되어 왔습니다.
하지만 일부 채널이 불법적이거나 비윤리적인 활동을 논의 하는 곳으로 악용될 우려가 있습니다.
해결방법:IRC에 사용 가능한 정책과 제한을 고려해여 운영합니다.
위험도:Low Risk

5. Smurf_Attack
Dos공격의 일종인 SmurfAttack은 ICMP echo request(ping) 패킷을 전체 네트워크에
브로드케스트 하여 많은 양의응답(echo reply)을 발생시키게 됩니다.
이때 거의 모든 네트워크대역(network bandwidth)을 소비하는 많은 양의 echo reply 트래픽이
발생하게 됩니다. 공격자는 이를 악용하여 target 호스트의 발신지 주소로 조작한 ping 패킷을
네트워크의 모든 호스트에게 브로드케스트 합니다.
그러면 모든 echo reply 응답이 하나의 target 호스트에 집중이 되고 target 호스트는
네트워크 대역폭의 부족으로 정상적인 데이터의 전송까지 방해 받게 됩니다.
기본적으로 윈도우즈 시스템은 이러한 브로드케스트 ICMP request(Ping)에 응답 하지는 않지만,
그렇다고 모든 Microsoft사의 네트워크 시스템이 Smurf Attack에 안전하다고는 할 수 없습니다.
해결방법: 라우터와 방화벽에서 해당 네트워크에서 발생되는 모든 ICMP패킷은 block 되도록
재설정 하고 서버에 설치 되어 있는 방화벽은 특정 모니터링 서버 ip를 제외한 ICMP 패킷을 차단 합니다.
위험도:Medium Risk

6. TCP_OS_Fingerprint
공격자는 목적지 시스템의 OS에 대한 정보를 알아내기 위해서 정상적이지 않은 TCP Flag들로
이루어진 패킷을 보냅니다. 이에 대한 응답을 분석하여 목적지 시스템의 OS를 알아낸 후
보안 취약점을 찾기 위한, 일종의 Scanning Attack 중 하나입니다. 이 공격 자체로는 위험성이
높지는 않지만 다음 공격에 대한 정보를 수집하는 단계라고 할 수 있습니다.
해결방법:라우터와 방화벽에서 해당 네트워크에서 발생되는 모든 ICMP패킷은 block 되도록
재설정 하고 서버에 설치 되어 있는 방화벽은 특정 모니터링 서버 ip를 제외한 ICMP 패킷을 차단 합니다.
위험도:Low Risk

7. Ping_Flood
높은 Network Bandwith를 가진 고성능 컴퓨터를 이용해 초당 수 Giga Bit에 이르는 엄청난 양의
ICMP Echo Request (Ping) packet을target 시스템에 집중적으로 보냄으로써 해당 네트워크의
트래픽 증가로 인한 속도 저하 또는 네트워크 다운을 유발합니다.
심한 경우 Target 시스템의 Network는 접속 불능 상태가 될 수도 있습니다.
해결방법:상단 스위치네트워크에서 icmp 패킷을 차단합니다.
(icmp 패킷 차단 요청 시 KoreaIDC에서 제공하는 방화벽을 이용하여 ICMP 패킷을 차단할수 있습니다.)
위험도:Low Risk

8. SQL_SSRP_Slammer_Worm
Microsoft 의 database 관리 system인 MS-SQL server의 허점을 이용, 특정 port를 이용해
MS SQL server를 공격하는 신종 computer worm virus입니다.
2003년 1월 26일 우리나라를 비롯해, 전세계 Internet 전산망에 막대한 피해를 끼친 주인공으로,
지난 2001년 여름 전 세계를 강타한 Code Red virus와 마찬가지로 DoS(서비스거부공격)을 실행해 전체 network에 과부하를 유발시킵니다. 즉, 이 worm에 감염된 server는 무작위 IP(Internet Protocol)주소로
1초에 1 megabit(MB) 크기의 packet(네트워크로 보내는 데이터조합신호)을 보내며
이 같은 packet은 한번 보내지면 무한 루프를 돌아 server가 종료될 때까지 무한정 계속 보내지도록
돼어 있어 server는 data 과부하로 service가 불가능해지게.
해결방법:최신의 Windows , MS-SQL 보안 패치를 적용 합니다.
위험도:High Risk

9. POP_Command_Overflow
Qpopper가 buffer overflow 공격에 취약 점이 발견되었습니다.
공격자가 데몬에게 지나치게 긴 명령을 전송하여buffer overflow 발생시,
공격자는 임의의 명령을 실행 함으로써 시스템의 root 권한을 획득 할 수 있습니다.
해결방법:Qpopper 3.0.2 버전 혹은 그 상위 버전으로 업그레이드 합니다.
위험도:High Risk

10. UDP_Flood_DoS Unassigned
UDP Flooding Attack이란 다양한 DoS(Denial of Service) 공격의 일종으로 대량의 UDP 패킷을 이용하여
대상 호스트의 네트워크 자원을 소모시키는 공격입니다. 일반적으로 방화벽 관리자들은 서비스와 관련된 TCP 포트에는 신중하게 정책을 설정하면서도 UDP 포트의 설정은 간과 하는 취약점을 노린
공격방법입니다. 최근 인터넷에서 발생하는 DDoS(Distributed Denial of Service) 형태 중
UDP 80번 포트를 이용한 UDP Flooding Attack이 가장 큰 부분을 차지하고 있습니다.
해결방법:UDP 방화벽에서 DNS(UDP 53번)를 제외한 모든 UDP 포트를 차단합니다.
위험도:Low Risk

* 본 리포트는 KOREA IDC내부의 보안 현황이므로 국내 보안 통계와 상이할 수 있습니다.