보안장비 운영 실습 시간에 utm 이중망을 구성하여 보고 직접 만들었는데 이를 활용하여 xerosploit으로 DOS 공격을 해 보았다.
일단 기본적으로 본인은 SERVER에 VMware를 설치하고 Admin IP로 공격을 시도 하였다.
실습을 하기전에 vmware와 칼리 리눅스는 기본으로 설치가 되어있어야하고
Xerosploit 설치 방법은 나보다 더 잘 알고 있는 이웃사촌의 힘을 빌려 보겠다.
https://active12.tistory.com/65
칼리 리눅스로 도스 공격을 해보자!! xerosploit 활용, 칼리 리눅스 DDOS
안녕하세요 여러분칼리 리눅스로 도스 공격을 하는 법을 봅시다ddos는 요즘 무용지물이라고 하지만 여전이 강력한 해킹 수단입니다 칼리 리눅스에서 터미널을 실행해 주세요 그 후 git clone https:/
active12.tistory.com
대충 xerosploit 공격을 하기 위한 기본적인 구성이 끝났을 것이다.
SCAN을 끝내면 나는 서버의 IP가 50.20.1.2 였는데 vm의 IP는 50.20.1.3으로 잡혔다. 그리고 찾은 또 다른 하나의 IP는 서버의 게이트 웨이 IP였다.
어쨋든 Admin의 IP인 50.40.1.2로 공격을 하면 패킷이 엄청난 양으로 보내지면서 접속 장애를 일으키게 된다.
글쓴이 본인은 과제를 어느정도 운으로 해결한게 없지 않아 있지만 일단은 UTM의 기본 정책을 이용하지 않은 방법으로 설명을 해 보도록 하겠다.
1개의 IP가 출발지 IP 주소를 조작하여 보낸 것이다.
대응 방안으로는 출발지가 조작된 IP를 차단하고, 패킷의 임계치를 설정, 미사용 프로토콜과 포트를 차단 하는 방법이 있다.
본인이 선택한 방법으로는 포로토콜에서 SYN/RST 패킷에 데이터를 사용한 것을 모조리 차단하는 방법을 선택하였다.
Tcp의 취약점을 이용하여 서버의 backlog를 가득 채워서 정상 사용자의 접속을 방해한다.
공격자는 출발지 IP를 조작하여 SYN 패킷을 공격대상 서버로 보내고
SYN패킷을 받은 서버는 조작한 IP로 SYN-ACK를 받은 서버는 ACK 응답을 보내주지 않아 backlog가 가득찬 상태를 유지한다.
*ACK응답 : 전송이 올바르게 수신되었음을 나타냄.
글쓴이는 프로토콜 이상에 들어가여 SYN/RST 패킷에 데이터를 사용하고 있는 패킷을 모두 차단하기로 설정하였다.
위 변경 된 점을 적용하여 전에 했던 xerosploit 을 이용한 공격을 재실행 하면
패킷에 데이터가 있는 것을 모조리 다 차단 하고 있는 것을 볼 수 있다. 이 방법 말고도 패킷을 분석해 보았는데 패킷의 길이가 174인 점을 활용하여 174byte 크기의 패킷을 차단한다거나 , 일정 수의 X가 반복되어 있는 패킷 내용을 확인하여 차단하는 시그니처 규칙을 사용해보고 싶었으나 능력부족으로 인하여 위 방법으로만 차단을 해보았다.
다음에 기회가 된다면 더 해보도록 해야겠다.