sync flooding

토폴로지

 

 

kali에서 Apache_WEB 공격

hping3 -S 10.1.10.14 -p 80 --flood --rand-source -i u1000

 

 

무작위 소스의 ip로 jamming attack

 

 

Apache_WEB에서 아래와 같이 sync flooding에 취약하게 설정해놓자.

sysctl -w net.ipv4.tcp_syncookies=0

 

 

Apache_WEB에 접속이 안됨

 

 

속도를 느리게 해서 공격해보자

 

 

명령어 tcpdump를 통해 패킷 캡쳐 가능

 

 

패킷 내용 확인

 

 

hping3 -1 -a 10.1.10.14 -d 65000 10.1.10.14

 

 

랜드 어택도 가능

 

 

syncookies

"SYN 쿠키(SYN cookies)"는 특정 유형의 분산 거부 서비스(DDoS) 공격을 완화하기 위해 사용되는 컴퓨터 네트워크 보안 메커니즘이다. 간단한 특징은 아래와 같다.

• SYN 플러드 공격 : SYN 플러드 공격은 DDoS 공격의 일반적인 유형 중 하나다. 이 공격에서 공격자는 TCP 핸드셰이크를 완료하지 않고 대상 서버로 많은 수의 SYN 요청을 보낸다.(즉, 최종 ACK를 보내지 않는다) 이로 인해 서버는 불완전한 연결을 추적하기 위한 리소스를 할당하게 되어 결국 리소스 고갈과 서비스 거부가 발생한다.
• SYN 쿠키 : SYN 플러드 공격에 대비하기 위해 SYN 쿠키가 개발되었다. 서버가 공격을 받고 있을 때 SYN 쿠키를 활성화할 수 있다. 서버는 미완료된 연결에 리소스를 예약하는 대신, 각각의 들어오는 SYN 요청에 대해 고유한 SYN 쿠키를 생성한다. 그런 다음 서버는 이 쿠키를 SYN-ACK 패킷에서 클라이언트에게 보낸다. 클라이언트가 나중에 올바른 쿠키를 포함한 예상된 ACK 패킷을 보내면 연결이 설정된다. 

ACK 패킷에 잘못된 또는 누락된 쿠키가 포함된 경우에도 서버는 쿠키에 저장된 제한된 정보를 기반으로 연결을 설정할 수 있으며, 과도한 리소스를 소비하지 않는다.

 

 

Apache_WEB 방어법

• iptables

iptables -A INPUT -s 10.1.10.12 -d 10.1.10.14 -j ACCEPT

iptables -A INPUT -s 0.0.0.0/0 -d 10.1.10.14 -j DROP

 

• 백로그 큐 사이즈 늘리기

sysctl -w net.ipv4.tcp_max_syn_backlog=1024

sysctl -w net.ipv4.tcp_syncookies=1

 

 

apache 접속과 공격 방어 내용 확인

 

 

kali에서 GW의 telnet에 대한 공격

• GW 설정

GW(config)#line vty 0 4
GW(config-line)#transport input telnet 
GW(config-line)#no login

GW(config)#access-list 100 permit tcp any any eq 23

GW(config)#interface f 0/1

GW(config-if)#rate-limit input access-group 100 8000 1500 2000 conform-action transmit exceed-action drop

 

 

telnet 접속 잘 됨

 

 

• kali에서 공격 [hping3 -S 10.1.10.254 -p 23 --flood --rand-source -i u1000]

syn flooding attack 확인

 

 

cpu가 거의 소진됨

 

 

초과 패킷 확인

 

 

• telnet port 변경

GW(config)#access-list 111 permit tcp any any eq 3042

GW(config)#line vty 0 4

tra in tel

rotary 42

access-class 111 in

end

 

 

• XP에서 다시 telnet 접속

잘 접속됨