스머프 공격

1. 정의

• 여러 호스트들로 하여금, 특정 대상에게 다량의 ICMP를 보내 DoS(서비스 거부)를 유발시키는 보안공격의 종류로써, 주로 다른 공격을 하기 위한 사전 공격 or 분산서비스거부(DDoS) 공격의 한 형태
• 스머프 공격 역시 IP를 쉽게 위조할 수 있고, 이에 대해 인증을 하지 않는 TCP/IP의 취약성을 이용한 공격 형태
• 공격자가 자신의 소스 IP인 것처럼 위조하여 특정 네트워크의 broadcast 주소로 “icmp echo request” 패킷을 보내는 것으로 시작
• 이때 broadcast(통상적으로 xxx.xxx.xxx.225)로 보내진 패킷은 broadcast 영역 내에 있는 모든 PC나 서버에게 그대로 전달되고, “icmp echo request” 패킷을 받은 모든 PC나 서버는 일제히 패킷의 소스인 위조된 IP로 “icmp echo reply” 패킷을 보내 응답
• 이제 broadcast 주소로 요청을 받아 응답한 네트워크는 증폭기(amplifier), 공격자가 위조한 IP는 희생자(victim)
• 결국 공격자는 자신의 존재를 속인 채, 해당 broadcast 대역 및 희생자 서버 모두 선의의 피해자
• 만약 증폭기로 사용된 네트워크가 C Class 1개를 사용하고 있고, 이 영역 내에 250대의 PC나 서버가 작동하고 있다면 1개의 icmp 패킷발송에 250개의 icmp 패킷이 증폭되어 응답

출처: https://www.linux.co.kr/bbs/board.php?bo_table=lecture&wr_id=2620

• 그런데, 공격자가 하나의 패킷이 아닌 수많은 패킷을 지속적으로 보내거나 C Class 1개가 아닌 여러 네트워크를 동시에 이용했거나, **“icmp echo request” 패킷의 사이즈가 거대한 경우**에 대해서 위험성과 피해가 더 커질 가능성이 높음
• 단순히 하나의 희생자 서버가 서비스를 제대로 못하는 것뿐만 아니라 증폭기와 희생자 서버가 위치한 네트워크 사이의 과도한 트래픽 유발이 더 큰 문제

 

" 스머프 공격은 호스트 기반이 아닌 네트워크 기반 공격 "

 

• 조치 방안

• 먼저 config 모드 상태에서 라우터에 있는 각각의 인터페이스 모드를 선택후 위와 같이 “no ip directed-broadcast”를 입력
  • 위의 설정으로 외부 네트워크에서 내부 네트워크의 broadcast 주소로 직접 패킷을 발송해도 응답을 하지 않음
  • 여기에서 “no ip directed-broadcast”는 serial과 ethernet 인터페이스 등 모든 인터페이스에서 기본적으로 설정하여야 하는 권장 사항이고, 최근의 장비에서는 아예 기본 값으로 설정
  • 만약, serial 인터페이스에서만 이 설정을 하고 ethernet 인터페이스에는 설정하지 않거나 또 ethernet 인터페이스에만 설정하고 serial 인터페이스에는 설정하지 않은 경우가 있음으로 주의 필요

• 위와 같이 설정 후에 실제로 문제가 해결이 되었는지 확인해보기 위해 외부 네트워크의 한 서버에서 내부 네트워크의 broadcast 주소로 직접 ping 작업 진행

 

---

참고 자료

네트워크취약성과대책 #2 : 스머프(Smurf)공격의 원리 > 강좌 | 클라우드포털