* Smurf Attack
-> 원리
Attacker가 출발지 IP를 Victim의 IP로 Spoofing하여 ICMP Request패킷을 시스템이 아주 많은 네트워크를 Broadcast하면 해당 패킷을 받은 네트워크가 Victim에게 ICMP Reply패킷을 대량으로 보내는 공격이다.
-> 대응책
1. 라우터에서 Direct Broadcast를 차단한다. (대부분의 라우터에서 이미 Default로 차단되어 있다.)
[실습]
실습을 진행하기 전 아래와 같이 토폴로지를 구성한다.
- R1 : Attacker - R3 : Victim |
R1이 10.1.1.0 대역으로 R3의 IP로 Spoofing한 ICMP Request패킷을 Broadcast하여 10.1.1.0 네트워크가 R3로 대량의 ICMP Reply을 받을 수 있도록 진행할 것이다.
우선 R2와 Switch구간에서 Packet capture을 시작해 놓는다.
그리고 R1에서 10.1.1.0대역에 Broadcast를 해보고 캡처를 시작한 구간에서 해당 패킷이 보이는지 확인해보면 보이지 않는 것을 알 수 있다.
그 이유는 아래와 같이 R2에서 Default로 Direct Broadcast를 막아놨기 때문이다.
실습을 위해 R2에서 Direct Broadcast을 허용해준다.
그리고 다시 R1에서 10.1.1.0대역으로 Broadcast한다.
패킷을 확인해보면 이번에는 Broadcast 패킷이 나간 것을 확인할 수 있다.
이제 공격을 시작하기 위해 R1는 R3의 IP 주소로 Spoofing해야 한다.
이를 위해 루프백 인터페이스를 만들어 R3의 IP 주소로 설정해준다.
설정된 R3과 같은 주소를 Source로 하여 10.1.1.0대역으로 Broadcast한다.
스푸핑했기 때문에 실제 응답이 오진 않는다.
캡처를 시작한 구간에서 확인을 해보면 Victim인 R3로 Echo reply패킷이 도달한 것을 확인할 수 있다.
이런 식으로 시스템이 아주 많은 네트워크로 ICMP Broadcast패킷을 보낸다면 Victm은 더 많은 Echo Reply패킷을 받게 될 것이다.