 |
| 해외 기사 |
다음은 해당 공격에 취약하다는 장비들. 주로 소형 장비 위주. 거대한 서버라매?
- Cisco ASA 5506, 5515, 5525
- Cisco ASA 5550 (legacy) and 5515-X
- Cisco Router 897
- SonicWall
- Palo Alto 제품군 일부
- Zyxel NWA3560-N
- Zyxel Zywall USG50
ICMP가 문제?
ICMP는 'Internet Control Message Protocol'이란 이름에서 알 수 있듯이 네트워크의 상태를 다양한 메시지로 알려주는 프로토콜이다.
다음은 172.20.10.3 -> 47.62.133.246 간 UDP 포트 연결 시도가 실패했음을 ICMP가 알려주는 상황. 'ICMP(Type 3, Code 3)'의 의미는 상대 시스템과의 연결에 실패했으며, 그 원인이 연결하려는 포트의 무응답에 있다는 뜻.
이런 정상 트래픽에 의해서 장비가 뻗는다고? 정말일까? 상세 내용을 보면 패킷 변조 등의 언급 없이, 그저 초당 4~5만 개의 패킷을 꾸준히 흘려보내면 공격 효과가 나타난다고 한다.
장비가 뻗는 원인은 'ICMP(Type 3, Code 3)'라는 패킷 유형일까? 아니면 '초당 4~5만 개'라는 패킷 발생량일까?
패킷 유형? 발생량?
만약 패킷 유형이 원인이라면 해당 장비들은 70년대부터 현재까지 인터넷의 근간이 되어온 정상 프로토콜을 제대로 처리하지 못한다는 뜻이며, 장비 제조사들은 반성문을 100장 써도 부족하다는 뜻. 참고로 Cisco는 해당 공격 이슈를 보안 문제로 보지 않는다고(..)
패킷 발생량이 원인이라면? 자동차의 승차 인원이 정해져있듯 모든 시스템은 처리할 수 있는 트래픽량의 한계를 가지고 있다. 그 한계를 벗어나면 뻗는 게 정상.
 |
| 시스코 방화벽 스펙 |
장비가 뻗는 원인은 'ICMP(Type 3, Code 3)'라는 패킷 유형일까? 아니면 '초당 4~5만 개'라는 패킷 발생량일까?
패킷 유형? 발생량?
만약 패킷 유형이 원인이라면 해당 장비들은 70년대부터 현재까지 인터넷의 근간이 되어온 정상 프로토콜을 제대로 처리하지 못한다는 뜻이며, 장비 제조사들은 반성문을 100장 써도 부족하다는 뜻. 참고로 Cisco는 해당 공격 이슈를 보안 문제로 보지 않는다고(..)
패킷 발생량이 원인이라면? 자동차의 승차 인원이 정해져있듯 모든 시스템은 처리할 수 있는 트래픽량의 한계를 가지고 있다. 그 한계를 벗어나면 뻗는 게 정상.
2003년 '1.25 대란' 당시 내가 근무했던 IDC에서는 약 300여 대의 시스템이 슬래머웜에 감염됐었고, 감염 시스템당 pps 발생량은 3~4만 pps였으며, 네트워크 장애 원인은 대량 pps 발생에 의한 네트워크 장비의 CPU 과부하였다. - IDS와 보안관제의 완성(318페이지)
늘상 존재해왔던, 고전적인 DDoS 유형의 공격이라는 뜻. 최소한 듣도 보도 못한, 무시무시한 공격이라도 나타난 양, '한 대의 컴퓨터로 거대한 서버 다운' 운운하며 겁줄 일은 아닌 것 같다.
다음은 BlackNurse 공격 탐지를 위해 배포됐다는 룰. 정상 트래픽을 탐지해서 어쩌자는 걸까?
발표 당시에도 이건 뭔가? 했는데, 최근 관련 발표 제안을 받고 생각나서 주절거려 봤다. 제안은 잘 모른다는 핑계로 사양. 사실 진짜 잘 모르겠다. pps 발생 추이만 잘 살펴보면 될 일을 BlackNurse니 뭐니 하면서 겁주는 이유를.
그나저나 검은 간호사라니, 특별한 의미가 있나 궁금해서 찾아봤는데 그런 건 없나 보다(..)
alert icmp $EXTERNAL_NET any -> $HOME_NET any
(msg:"Possible BlackNurse attack from external source ";
itype:3; icode:3; detection_filter:track by_dst,
count 250, seconds 1;
reference:url, soc.tdc.dk/blacknurse/blacknurse.pdf;
metadata:TDC-SOC-CERT,18032016; priority:3; sid:88000012; rev:1;)alert icmp $HOME_NET any -> $EXTERNAL_NET any
(msg:"Possible BlackNurse attack from internal source";
itype:3; icode:3; detection_filter:track by_dst,
count 250, seconds 1;
reference:url, soc.tdc.dk/blacknurse/blacknurse.pdf; metadata:TDC-SOC-CERT,18032016; priority:3; sid:88000013; rev:1;)발표 당시에도 이건 뭔가? 했는데, 최근 관련 발표 제안을 받고 생각나서 주절거려 봤다. 제안은 잘 모른다는 핑계로 사양. 사실 진짜 잘 모르겠다. pps 발생 추이만 잘 살펴보면 될 일을 BlackNurse니 뭐니 하면서 겁주는 이유를.
그나저나 검은 간호사라니, 특별한 의미가 있나 궁금해서 찾아봤는데 그런 건 없나 보다(..)
댓글 없음:
댓글 쓰기