ICMP Flood 공격을 탐지하고 네트워크를 보호하는 방법
ICMP 플러드 공격은 요청으로 대상 시스템을 압도하기 위해 ICMP(Internet Control Message Protocol)를 사용하는 서비스 거부(DoS) 공격 유형입니다. 서버와 개별 워크스테이션 모두를 대상으로 하는 데 사용할 수 있습니다.
ICMP 플러드 공격으로부터 보호하려면 그것이 무엇이며 어떻게 작동하는지 이해하는 것이 중요합니다.
ICMP 서비스 장애 공격이란 무엇입니까?
핑 플러드 공격 또는 스머프 공격이라고도 하는 ICMP 플러드 공격은 네트워크 계층 DDoS(분산 서비스 거부) 공격으로, 공격자가 과도한 양의 ICMP(Internet Control Message Protocol)를 전송하여 대상 장치를 제압하려고 시도합니다. ) 에코 요청 패킷. 이러한 패킷은 대상 장치를 압도하기 위해 빠르게 연속적으로 전송되어 합법적인 트래픽을 처리하지 못하게 합니다. 이러한 유형의 공격은 종종 다중 벡터 공격의 일부로 다른 형태의 DDoS 공격과 함께 사용됩니다.
대상은 서버이거나 전체 네트워크일 수 있습니다. 이러한 요청의 엄청난 양으로 인해 대상이 압도되어 합법적인 트래픽을 처리할 수 없거나 서비스가 중단되거나 전체 시스템 장애가 발생할 수 있습니다.
대부분의 ICMP 플러드 공격은 공격자가 신뢰할 수 있는 소스에서 온 것처럼 보이는 스푸핑된 소스 주소를 사용하여 대상에 패킷을 보내는 “스푸핑”이라는 기술을 사용합니다. 이로 인해 대상이 합법적인 트래픽과 악의적인 트래픽을 구별하기가 더 어려워집니다.
스푸핑을 통해 공격자는 많은 양의 ICMP 에코 요청을 대상으로 보냅니다. 각 요청이 들어올 때 대상에는 ICMP 에코 응답으로 응답하는 것 외에 다른 옵션이 없습니다. 이로 인해 대상 장치가 빠르게 압도되어 응답하지 않거나 충돌이 발생할 수 있습니다.
마지막으로, 공격자는 라우팅 테이블을 더 방해하고 다른 네트워크 노드와 통신할 수 없도록 만들기 위해 대상에 ICMP 리디렉션 패킷을 보낼 수 있습니다.
ICMP Flood 공격을 감지하는 방법
ICMP 플러드 공격이 진행 중임을 나타내는 특정 징후가 있습니다.
1. 네트워크 트래픽의 급격한 증가
ICMP 플러드 공격의 가장 일반적인 징후는 네트워크 트래픽의 갑작스러운 증가입니다. 이는 종종 단일 소스 IP 주소의 높은 패킷 속도를 수반합니다. 이는 네트워크 모니터링 도구에서 쉽게 모니터링할 수 있습니다.
2. 비정상적으로 높은 아웃바운드 트래픽
ICMP 플러드 공격의 또 다른 징후는 대상 장치에서 비정상적으로 높은 아웃바운드 트래픽입니다. 이는 에코 응답 패킷이 공격자의 시스템으로 다시 전송되기 때문이며, 원래 ICMP 요청보다 더 많은 경우가 많습니다. 대상 장치에서 정상보다 훨씬 높은 트래픽을 발견하면 공격이 진행 중이라는 신호일 수 있습니다.
3. 단일 소스 IP 주소의 높은 패킷 속도
공격자의 컴퓨터는 종종 단일 소스 IP 주소에서 비정상적으로 많은 수의 패킷을 보냅니다. 이는 대상 장치로 들어오는 트래픽을 모니터링하고 패킷 수가 비정상적으로 많은 소스 IP 주소가 있는 패킷을 찾아 탐지할 수 있습니다.
4. 네트워크 대기 시간의 지속적인 급증
네트워크 대기 시간은 ICMP 플러드 공격의 징후일 수도 있습니다. 공격자의 시스템이 대상 장치에 점점 더 많은 요청을 보내면 새 패킷이 목적지에 도달하는 데 걸리는 시간이 늘어납니다. 이로 인해 네트워크 대기 시간이 지속적으로 증가하여 적절하게 해결되지 않으면 결국 시스템 오류로 이어질 수 있습니다.
5. 대상 시스템의 CPU 사용률 증가
대상 시스템의 CPU 사용률은 ICMP 플러드 공격의 표시일 수도 있습니다. 점점 더 많은 요청이 대상 장치로 전송됨에 따라 CPU는 모든 요청을 처리하기 위해 더 열심히 일해야 합니다. 이로 인해 CPU 사용률이 갑자기 급증하여 시스템이 응답하지 않거나 선택하지 않은 경우 충돌이 발생할 수 있습니다.
6. 합법적인 트래픽에 대한 낮은 처리량
마지막으로 ICMP 플러드 공격으로 인해 합법적인 트래픽의 처리량이 낮아질 수도 있습니다. 이는 공격자의 컴퓨터에서 보낸 엄청난 양의 요청으로 인해 대상 장치를 압도하고 다른 들어오는 트래픽을 처리하지 못하게 합니다.
ICMP Flood 공격이 위험한 이유는 무엇입니까?
ICMP 플러드 공격은 대상 시스템에 심각한 피해를 줄 수 있습니다. 정상적인 트래픽이 목적지에 도달하지 못하게 하는 네트워크 정체, 패킷 손실 및 대기 시간 문제가 발생할 수 있습니다.
또한 공격자는 시스템의 보안 취약점을 악용하여 대상의 내부 네트워크에 액세스할 수 있습니다.
그 외에도 공격자는 대량의 원치 않는 데이터를 전송하거나 다른 시스템에 대한 DDoS(분산 서비스 거부) 공격을 시작하는 등 다른 악의적인 활동을 수행할 수 있습니다.
ICMP Flood 공격을 방지하는 방법
ICMP 플러드 공격을 방지하기 위해 취할 수 있는 몇 가지 조치가 있습니다.
- 속도 제한 : 속도 제한은 ICMP 플러드 공격을 방지하는 가장 효과적인 방법 중 하나입니다. 이 기술에는 특정 기간 내에 대상 장치로 보낼 수 있는 요청 또는 패킷의 최대 수를 설정하는 것이 포함됩니다. 이 제한을 초과하는 모든 패킷은 방화벽에 의해 차단되어 목적지에 도달하지 못합니다.
- 방화벽 및 침입 감지 및 방지 시스템 : 방화벽 및 침입 감지 및 방지 시스템(IDS/IPS)은 ICMP 플러드 공격을 감지하고 방지하는 데에도 사용할 수 있습니다. 이러한 시스템은 네트워크 트래픽을 모니터링하고 비정상적으로 높은 패킷 속도 또는 단일 소스 IP 주소에서 오는 요청과 같은 의심스러운 활동을 차단하도록 설계되었습니다.
- 네트워크 분할 : ICMP 플러드 공격으로부터 보호하는 또 다른 방법은 네트워크를 분할하는 것입니다. 여기에는 내부 네트워크를 더 작은 서브넷으로 나누고 그 사이에 방화벽을 생성하는 작업이 포함되어 서브넷 중 하나가 손상된 경우 공격자가 전체 시스템에 대한 액세스 권한을 얻지 못하도록 방지할 수 있습니다.
- 소스 주소 확인 : 소스 주소 확인은 ICMP 플러드 공격으로부터 보호하는 또 다른 방법입니다. 이 기술에는 네트워크 외부에서 오는 패킷이 실제로 주장하는 소스 주소에서 온 것인지 확인하는 작업이 포함됩니다. 이 확인에 실패한 모든 패킷은 방화벽에 의해 차단되어 목적지에 도달하지 못합니다.
ICMP Flood 공격으로부터 시스템 보호
ICMP 플러드 공격은 대상 시스템에 심각한 피해를 줄 수 있으며 종종 더 큰 악의적인 공격의 일부로 사용됩니다.
다행히 속도 제한, 방화벽 및 침입 탐지 및 방지 시스템 사용, 네트워크 세분화, 소스 주소 확인과 같은 이러한 유형의 공격을 방지하기 위해 취할 수 있는 몇 가지 조치가 있습니다. 이러한 조치를 구현하면 시스템의 보안을 보장하고 잠재적인 공격자로부터 시스템을 보호할 수 있습니다.
답글 남기기