2014. 9. 30. 14:18
Network

many types of dos attacks

336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.

Dos


Tear drop


Client가 패킷을 segmentation 시 offset을 어긋나도록 수정하여, 대상 서버가 받은 segmentation 된 패킷을 재조합 하지 못하도록 하여 장애를 발생시키는 공격 기법



-> 조립할 수 없는 상태의 패킷발생 -> 드라이브 장치에서 오류 발생 -> 블루 스크린 

-> 윈도우xp 서비스팩1  업데이트 때 잠깐 생겼다가 없어진 취약점 -> 지금은 안 먹힘 



./teardrop 192.168.0.10 192.168.0.050 -s 100 -t 100 -n 1000



newtear.c


-----------------------


Land Attack 


출발지 IP를 도착IP로 속여 수신단에서 도착지IP가 자신이므로 루핑이 발생하면서 가용성 저하 

-> 말도 안되는 공격이지만 이론상 그렇다고 함 

-> syn 한후 syn +ack가 와야하는데 없으니 안 되는 공격 

-> 아주 아주 예전에는 됐었다고 함 

-> 루프를 돌거라는 생각을 버리기 

-> 루프백 ID를 쓰기 때문에 안 통함 


ip spoofing한 후 hping3 


hping3 192.168.0.20 -a 192.168.0.20 -s 80 -p 80 -S -c 100 

    /-i 





----------------------------


smurf attack


2 tier attack

DDos와 유사한 효과



공격자가 출발지 주소를 조작한 icmp를 3자에게 전송하여 

한번에 많은 양의 icmp reply를 공격 대상에게 보내는 공격



2가지 실현 방법 


hping3

핑을 브로드캐스트로 보내면 응답은 안 옴 -> 1~254 까지 일일이 따로 보내야 함 

-> 스크립트 작성 





smurf2.c


주소 넣어서 bcast 파일작성 


-> 소스 수정이 필요 



IDS /IPS로 방어 가능 



----------------------


DDOS


좀비 호스트를 활용하여 공격 

-> 훔쳐보기 


한정된 자원을 넘치게 하면 답이 없다 


자기 호스트를 좀비화 하여 피씨방가서 공격하는 사람도 있음 



증상이 없음 


현재는 ddos가 xp로 활성화 되어 있음 

서버는 64bit라 좀비화 시키기 쉽지는 않음 


좀비를 퍼뜨릴 수는 없기에 thread타입으로 구현 



도구 


C&C

builder



HOIC 


url -> http:// 까지 써줘야 함 






GET /HTTP/1.0

Accept:*.*

Accept - Language:en

Referer: http://192.168.0.206/xe

User-Agent: Mozilla/4.0~

Host : 192.168..0.206(공격 웹서버)



ddos.zip




방어


IDS/ IPS -> 인지는 하지만 막기는 힘듬

정상적인 경로로 공격이 오면 못 막음 



--------




slowloris Dos


아파치 / http 를 대상으로 함 -> 많은 유저가 있기 때문에 공격 대상이 됨

정상적인 get접속 요청 후 마지막에 하나의 CR_LF를 하지 않아 서버에서 대기한 후 timeout에 도달하거나 무의미한 헤더를 지속적으로 전송



- 네트워크 resource 고갈형 공격

- 호스트 resource 고갈형 공격



0d 0a  -- --

   -> 패킷에서이부분을 삭제 함 -> 계속 기다리게 됨 




./slowloris.pl -dns localhost




방어 

apach 만을 목표러 하기 때문에 다음과 같은 대응을 할 수 있다 


- Timeout 설정 변경(가장 현실적인 방법)

httpd.conf에서 Timeout 300==> 5 이하로 변경 후 httpd reload 

5초 동안 연속된 패킷이 오지 않을 경우 timeout으로 종료함


- netstat -na |grep ESTABLISHED 실행 시 많은 연결이 보이는 IP에 대해

   iptables로 차단(공격이 진행 시 로그는 남지 않아도 netstat 으로는 보이며 

   공격IP는 위조 될 수 없다)


- iptables의 connlimit(커넥션 제한)설정

#iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 30 -j DROP





IDS 구축 해보기 

snort











저작자표시 비영리 변경금지 (새창열림)

'Network' 카테고리의 다른 글

802.11 weakness  (0) 2014.10.20
IDS / IPS  (0) 2014.10.01
sidejacking and hping3  (0) 2014.09.29
SSL sniffing in a console and https status  (0) 2014.09.26
spoofing, sniffing and redirection  (0) 2014.09.25
Posted by af334

티스토리툴바