목차
1. ARP Spoofing
2. DNS Spoofing
3. DoS / DDoS
4. Ping of Death
5. Smurf
6. Decryption
1. ARP Spoofing
필요한 배경 지식 - LAN, VLAN, STP
ARP(Address Resolution Protocol) 란?
: 네트워크 상에서 IP 주소(논리 주소)를 해당 장치의 물리적인 MAC 주소로 변환해주는 프로토콜(L2)로, 각 장치는 IP-MAC 주소 쌍을 ARP 캐시 테이블에 저장하여 사용한다.
ARP 캐시 테이블의 사용 목적
: 브로드캐스트를 줄이기 위해 사용. 모든 장치가 다른 장치와 통신하기 위해 항상 브로드캐스트를 사용한다면 브로드캐스트 스톰이 발생한다. 이는 bandwidth(대역폭)이 고갈되는 결과를 초래한다. 따라서 캐시 테이블이 필요하다.
ARP의 취약점
: 설계를 다시 해야하는 수준의 근본적인 문제가 존재한다.
ARP 프로토콜은 challenge-response 구조가 아니다. 즉, 물어보지 않아도 응답이 가능하다라는 뜻이며 이는 캐시 테이블 조작이 가능하다는 결론에 도달한다.
그러나 이 프로토콜은 커널 레벨이기 때문에 바꿀 수 없다. 잠재적 위험이 항상 존재하는 상태.(ICMP, TCP, UDP도 마찬가지)
ARP 스푸핑(ARP Spoofing) 이란?
: 근거리 통신망(LAN) 환경에서 주소 결정 프로토콜(ARP)의 취약점을 이용한 중간자 공격(Man-in-the-middle attack, MiTM)
2. DNS Spoofing
필요한 배경 지식 - DNS 계층 구조, DNS는 TCP/UDP 모두 쓰는 프로토콜, DNSSEC
DNS(Domain Name System) 란?
: 사람이 읽기 쉬운 도메인 이름(예: example.com)을 IP 주소(L3)로 변환해주는 분산 데이터베이스/프로토콜. 클라이언트 → 리졸버(로컬 DNS 서버) → 루트 → TLD → 권한 있는(authoritative) 네임서버의 순서로 질의가 진행된다. 일반적으로 질의는 UDP/53을 사용하며 큰 응답이나 전송 보장이 필요하면 TCP/53을 사용한다.
Zone file (영역 파일)
: DNS 서버가 관리하는 도메인 정보(IP ↔ Domain)를 저장한 파일
- Forward Zone File : 정방향 조회용 — 도메인 이름 → IP 주소 매핑 정보 저장
- Reverse Zone File : 역방향 조회용 — IP 주소 → 도메인 이름 매핑 정보 저장
두 파일을 합쳐서 통칭할 때 “Zone file”이라 한다.
DNS 서버는 요청을 받을 때 이 파일을 참조하여 응답을 생성한다.
Master / Slave 구조
- DNS 서버는 계층적(분산형) 구조로 운영된다.
- Master 서버(Primary) : 원본 zone file을 보유.
- Slave 서버(Secondary) : master로부터 zone file을 전송받아 복제(Zone Transfer).
- Zone Transfer는 파일 전송이므로 TCP 프로토콜을 사용한다.
(일반 DNS 질의는 UDP 53, zone transfer는 TCP 53)
➡️ 공격자가 zone transfer를 악용하면, 내부 도메인 구조나 IP 정보를 전부 수집할 수도 있어 정보 유출 위험이 있다.
DNS의 계층 구조와 동작 원리
- 전 세계 DNS는 계층화된 분산 구조로 되어 있다.
- 루트 도메인(.) → TLD(.com, .kr 등) → 권한 있는 네임서버(Authoritative)
- 모든 도메인 정보를 한 서버가 알 수 없기 때문에 이런 분산 구조가 필요하다.
- 루트 네임서버는 전 세계에 약 13개(논리적 기준)가 존재하며,
클라이언트 요청은 순환 질의(iterative) 형태로 상위 → 하위 서버를 따라가며 해석된다. - 일반적으로 실제 질의는 재귀 질의(recursive)와 순환 질의(iterative)가 결합된 형태로 이루어진다.
- 클라이언트 → 로컬 DNS(재귀 질의)
- 로컬 DNS → 루트 → TLD → Authoritative (순환 질의)
부하 분산 (Load Balancing)
- DNS는 기본적으로 라운드 로빈(Round Robin) 방식을 통해 부하 분산을 지원한다.
- 하나의 도메인에 여러 IP가 등록된 경우, 질의마다 IP 응답 순서를 순환시켜 트래픽을 분산.
- 단, 이는 단순 분산이며 서버 상태(health check)는 고려하지 않는다.
DNS 캐시의 사용 목적
: 응답 속도 향상과 트래픽 절감을 위해 리졸버와 클라이언트는 DNS 응답을 TTL(Time To Live) 동안 캐시해 둔다. 매번 권한 있는 네임서버에 질의하지 않기 때문에 응답 지연이 줄고 네트워크 부하가 감소한다.
DNS의 취약점
: 설계상 신뢰 기반의 시스템(응답의 출처·무결성 검증이 기본적으로 없음)이라 공격자가 위조 응답을 집어넣기 쉬움. 과거 UDP 기반의 비연결성, 짧은 트랜잭션 ID와 예측 가능한 소스 포트 등으로 인해 '임의의 응답'을 쉽게 주입할 수 있다. 또한 캐시를 신뢰하기 때문에 한 번 오염되면 다수 사용자가 영향받는다. (이런 점을 개선하려는 기술이 DNSSEC, source port randomization 등이다.)
DNS 스푸핑(DNS Spoofing) 이란?
: DNS의 신뢰 구조나 캐시 메커니즘을 악용하여 정상적인 도메인에 대해 공격자가 조작한 IP 주소 응답을 리졸버 또는 클라이언트 캐시에 주입하는 공격. 결과적으로 사용자는 공격자가 지정한(악성) 서버로 접속하게 되어 피싱, 트래픽 가로채기, 악성코드 배포 등이 가능하다.
DNS Spoofing의 MITM (중간자 공격) 형태
- 공격자가 네트워크 내에서 ARP Spoofing을 먼저 수행하여 게이트웨이 역할을 가로챔 →
이후 피해자의 DNS 요청 트래픽이 공격자 PC로 유입되도록 한다. - DNS 질의가 UDP 기반(비연결, 무검증)이기 때문에
공격자는 정상 DNS 서버보다 빠르게 위조된 응답을 전송할 수 있다. - 결과적으로 피해자는 공격자가 지정한 악성 IP(피싱, 가짜 사이트 등)로 접속하게 된다.
Secure DNS (예: DNSSEC, DNS over TLS, DNS over HTTPS)
- 응답 무결성과 출처 검증이 추가되어, 위조 응답(MITM, 캐시 포이즈닝 등)이 차단됨.
- 패킷 내용이 암호화되어 중간자(공격자)가 UDP 응답을 변조하거나 위조하기 어려워진다.
- 따라서 secure DNS 환경에서는 DNS Spoofing 공격이 거의 불가능하다.
3. DoS / DDoS
1) 정의
- DoS (Denial of Service) : 자원 고갈을 유도해 정상 사용자가 서비스를 이용하지 못하게 만드는 공격.
- DDoS (Distributed DoS) : 여러 대(봇넷)의 분산된 장비를 이용해 동시다발적으로 공격하는 DoS. 더 큰 규모·회복 지연.
2) 목표 자원 (어디를 고갈시키나)
- 네트워크 대역폭 (Bandwidth)
- 연결 테이블 / 소켓 (TCP 연결 수)
- CPU / 메모리 / 디스크 I/O (애플리케이션 레이어 자원)
- 서비스별 리소스(예: DB 연결, 세션 저장소)
3) 기본 아이디어 및 전제
- 자원 소모(납부) → 서비스 불능
- 공격자는 보통 패킷을 변조(spoof) 하여 출처를 숨기거나 반사/증폭을 유도.
- IP 헤더 체크섬 존재하지만 무결성 보증 아님 → 패킷 변조 후에도 통신 가능(네트워크는 체크섬 오류가 없으면 전달).
- challenge-response 구조(예: 애플리케이션에서 매번 인증 요구)는 오버헤드가 큼 → DDoS에서 악용 가능(클라이언트 리소스 낭비).
4) 공통 기법(종류별)
- SYN Flooding (TCP SYN Flood)
- 원리: TCP 3-way-handshake의 SYN 상태를 남겨 놓아 서버의 half-open 연결 자원 고갈.
- 방지: SYN cookie, backlog 확장, 타임아웃 조정, 방화벽 필터링.
- UDP/ICMP Flood
- 대량의 UDP/ICMP 패킷으로 대역폭·처리 능력 소진.
- Reflection & Amplification (반사·증폭)
- 공격자 → (소스 IP를 피해자 IP로 위조) → 오픈 리졸버/서비스(DNS, NTP, SSDP, Memcached 등) → 대량 응답이 피해자에게 전송.
- 핵심: 작은 요청 → 큰 응답(증폭비율) → 효율적 공격.
- Application-layer (Layer 7) 공격
- HTTP GET/POST 등 정상 요청처럼 보이나 리소스 소모가 큰 작업 반복.
- 방어: WAF, rate-limiting, CAPTCHA, connection pooling 최적화.
- Slowloris / 도지적 슬로우 공격
- 연결을 천천히 유지시켜(헤더를 부분적으로 보냄) 서버의 동시 연결 소모.
- State exhaustion (세션/테이블 포화)
- 라우터/방화벽/로드밸런서의 상태 테이블을 채움.
5) 준비 단계: 스푸핑(Spoof)과의 연결
- 패킷 출처 위조(spoof) 가 DDoS에서 자주 쓰임(특히 반사·증폭 공격에서 필수).
- 따라서 spoof 연습(개념 학습)이 선행 학습으로 중요함.
6) 탐지 포인트(지표)
- 트래픽 급증(평상시 대비)
- 특정 포트/프로토콜의 비정상적 증가
- 다수의 서로 다른 소스 IP지만 동일 패턴(봇넷)
- SYN 비율↑, 응답률↓, CPU/메모리 급증
- Cache miss / DB 연결 고갈
7) 완화·대응(요약)
- 네트워크 계층: ACL, 패킷 필터링, BCP38(ingress/egress 필터링으로 IP 스푸핑 차단)
- TCP 계층: SYN cookies, 소켓 백로그 튜닝, 접속 제한
- 애플리케이션 레벨: rate limiting, WAF, CAPTCHA, 캐싱 활용
- 인프라/아키텍처: Anycast/분산 인프라, CDN, 오토스케일, 로드밸런서, 세션 분리
- 전문 서비스: 트래픽 스크러빙(클라우드 기반 DDoS 방어 서비스)
- 운영: 모니터링/알람, 블랙홀(blackholing) 혹은 sinkhole (긴급 대응), 포렌식 로그 수집
8) 조직·정책적 대책
- ISP와의 협력(상위에서 필터링), DDoS 대응계획(IRP), 정기 복구 훈련
9) 요약 한줄
- DoS = 자원 고갈으로 서비스 거부 / DDoS = 분산된 여러 수단(봇넷)으로 더 큰 자원 고갈 및 회복 지연.
- 스푸핑→반사/증폭→대역폭/처리 고갈이 전형적 패턴이며, 방어는 계층별(네트워크→전송→애플리케이션)로 복합 적용해야 효과적.
4. Ping of Death
핵심 개념
- Ping of Death (PoD): 비정상적으로 큰 ICMP 패킷(또는 조작된 IP 프래그먼트)을 보내 대상의 IP 재조합/버퍼 처리 로직을 과부하 또는 오작동(예: 크래시)시키는 DoS 공격 계열.
- 원인: 프래그먼트 분할·재조합 과정에서의 취약점 또는 IP 길이 필드(예전 취약점에서는 총길이 > 65,535 바이트)로 인한 버퍼 오버플로우.
기술적 배경 / 핵심 포인트
- 이더넷 기본 MTU ≈ 1500바이트 → 큰 패킷은 여러 조각(fragment)으로 분할 전송됨.
- 수신 쪽은 분할된 프래그먼트를 임시 버퍼에 보관했다가 모두 도착하면 재조합(reassembly)함.
- 공격 기법: 매우 큰 ICMP (또는 조작된) 프래그먼트를 보내 재조합 시 임시 버퍼/메모리 소모와 연산(재조합 로직)을 유발하거나, 잘못된 길이값으로 버퍼 오버플로우/예외를 유발해 서비스 중단 또는 크래시를 일으킴.
- 차이점:
- 역사적 PoD: 일부 OS에서 IP 총길이 필드 조작으로 버퍼 오버플로우·크래시 발생(옛 취약점).
- 현대적 변형: 방대한 분할·재조합으로 메모리/CPU 소모 → 서비스 불능(DoS).
동작 흐름
- 공격자 → 피해자에게 정상 MTU보다 큰 ICMP 패킷을 분할해서 전송.
- 피해자는 각 프래그먼트를 임시 버퍼에 저장(세션처럼 유지).
- 재조합 완료 전까지 버퍼가 유지되어 메모리·연산 고갈 발생.
- 결과: 시스템 응답 저하, 연결 끊김, 심하면 커널 크래시.
SYN Flood와 비교
- SYN Flood: 주로 메모리(half-open TCP 연결 테이블) 고갈.
- Ping of Death: 프래그먼트 재조합 버퍼 + CPU 연산 고갈(또는 취약점 시 버퍼 오버플로우로 크래시).
- 둘을 같이 당하면(메모리+CPU 둘 다 고갈) 복구가 더 어렵고 영향이 큼.
탐지/완화
- OS/커널 패치(역사적 취약점은 패치로 해결).
- 방화벽/라우터에서 이상한/오버사이즈 프래그먼트 차단.
- ICMP/프래그먼트에 대한 rate limiting 및 비정상 조각 조합 제한 설정.
- 최대 재조합 버퍼 수·크기 제한, 재조합 타임아웃 짧게 설정.
- 네트워크 경계에서 의심 트래픽(비정상 프래그먼트) drop.
5. Smurf
정의
- Smurf 공격은 ICMP Echo(핑) 를 이용한 반사·증폭 DDoS로, 공격자가 출처 IP를 피해자 IP로 위조해 브로드캐스트 주소로 대량의 ICMP Echo Request를 보내면, 그 브로드캐스트 네트워크의 다수 호스트가 피해자에게 Echo Reply를 보내 대역폭·처리 자원을 고갈시키는 공격.
동작 원리(단계)
- 공격자: 소스 IP를 피해자 IP로 위조한 ICMP Echo Request를 생성.
- 공격자: 이 패킷을 네트워크의 브로드캐스트 주소(예: 192.0.2.255)로 전송.
- 브로드캐스트 네트워크에 있는 여러 호스트(증폭기, amplifiers)가 ICMP Echo Request를 수신하고 각각 피해자(위조된 소스 IP) 로 Echo Reply 전송.
- 피해자: 동시에 수많은 Echo Reply를 받아 대역폭·CPU·소켓 등 소모, 서비스 저하 또는 다운.
- 증폭 비율 = (브로드캐스트 네트워크에 응답하는 호스트 수). 즉, 한 요청이 N개의 응답을 만들어내므로 공격 효율 매우 높음.
필요 조건 / 취약 요건
- 라우터/스위치가 Directed Broadcast(네트워크 대상 브로드캐스트)를 전달하도록 설정되어 있어야 함.
- 브로드캐스트 도메인에 많은 응답 가능한 호스트(ICMP 응답 허용)가 존재해야 함.
- 공격자가 소스 IP 스푸핑(spoofing) 가능해야 함(필수).
- (역사적) 많은 라우터/호스트에서 디폴트로 허용했으나 현대 네트워크에서는 기본 차단되는 경우가 많음.
영향
- 대역폭(네트워크 자원) 고갈 — 피해자의 업스트림 포인트까지 포화 가능.
- CPU/메모리/소켓 소진 — ICMP 처리로 시스템 부하.
- 분산되면 DDoS: 여러 증폭 네트워크/여러 공격자 사용 시 심각.
탐지 징후
- ICMP 트래픽 급증(특히 Reply).
- 수신되는 ICMP Reply의 출처가 여러 브로드캐스트 네트워크 주소 또는 다수의 내부 호스트.
- 네트워크 레이턴시 급상승, 패킷 손실 증가.
완화 및 방지
- 라우터에서 Directed Broadcast 비활성화
- Cisco 예: no ip directed-broadcast (인터페이스 레벨)
- 소스 IP 스푸핑 차단(BCP38)
- ISP 및 내부 네트워크에서 ingress/egress 필터링으로 올바르지 않은 소스 IP 차단.
- 호스트/네트워크 측 설정
- 불필요한 ICMP 응답(특히 브로드캐스트 대상)을 호스트 수준에서 제한/차단.
- 네트워크 분리·세그멘테이션: 큰 브로드캐스트 도메인 최소화.
- Rate limiting: 경계 장비에서 ICMP/브로드캐스트 트래픽 제한.
- 모니터링 및 알람: 비정상 ICMP 패턴/브로드캐스트 트래픽 모니터링.
- ISP 협조: 증폭 공격의 소스 네트워크 차단 요청 및 상위 필터링.
변형·유사 공격
- Fraggle: UDP 기반(게이머 등) — Smurf와 유사하지만 UDP(보통 echo와 chargen) 사용.
- 현대 증폭 공격: NTP, DNS, Memcached 등에서 반사·증폭 기법(더 큰 증폭비)을 사용 — 원리(소스 스푸핑 + 반사)는 동일.
한줄 요약
- Smurf = 소스 스푸핑을 이용한 ICMP 브로드캐스트 반사·증폭 DDoS. 라우터의 directed-broadcast 전달과 응답 가능한 호스트가 있으면 크게 증폭되어 피해가 커짐; 현재는 대부분의 네트워크에서 비활성화/차단되어 과거만큼 흔하진 않다.
6. Decryption
1) 핵심 개념
- 복호화(Decryption): 암호화된 데이터를 원래의 평문으로 되돌리는 과정.
- 목적(보안 운영 관점): 암호화된 트래픽·콘텐츠 안에 숨은 악성 행위(예: DBD, 봇넷 C2, SMB 자기복제 등)를 탐지하기 위해 필요.
2) 암호화의 양면성
- 장점(보호): 개인정보·비밀정보·무결성 보호, 중간자 공격 차단.
- 단점(가시성 상실): 보안장비가 내부 악성 행위를 보지 못해 침해 탐지·차단이 어려워짐(탐지 사각지대).
3) 탐지 관점에서의 주요 위협 예시
- DBD (Drive-By Download): 웹 트래픽 내 악성코드 자동 다운로드 — HTTPS로 감춰질 수 있음.
- 외부 침입자 → VPN으로 내부망 접근: 원격 접속 후 내부에서 평문으로 활동하거나 암호화된 채널로 C2 통신.
- SMB 통한 자기복제 (예: SMBGhost): 내부 네트워크에서 파일공유 프로토콜로 빠르게 전파 — 내부 트래픽 가시성이 중요.
4) 복호화(가시성 확보) 방식
- TLS/HTTPS 복호화(SSL/TLS Inspection)
- 방식: 경계(프록시/로드밸런서/NGFW)에서 TLS 세션을 종료하거나 중간자(인라인 프록시)로서 클라이언트에 CA 인증서를 배포해 트래픽을 복호화·검사·재암호화.
- 장점: 웹 기반 공격·다운로드 탐지 가능.
- Endpoint 기반 검사
- 방식: 엔드포인트 에이전트가 파일·프로세스 단에서 복호화 혹은 평문 수집 후 중앙 분석.
- 장점: 종단간 암호화(E2E)나 VPN 내부 트래픽에서도 가시성 확보 가능.
- 네트워크 메타데이터/암호화 트래픽 분석(텔레메트리)
- 방식: 복호화 없이 패킷 메타데이터(SNI, TLS 핸드셰이크, 패킷 길이, 흐름 패턴)로 이상 징후 탐지.
- 장점: 개인정보 침해·법적 이슈 완화, 성능 부담 적음.
5) 현실적 제약과 한계
- 모든 환경을 복호화할 수는 없다
- 기술적: Perfect Forward Secrecy(PFS), 일부 클라이언트의 PIN-pinned certs, DoH/DoT, QUIC(발전된 프로토콜) 등은 복호화 난이도↑.
- 법적·프라이버시: 개인 사용자·BYOD 트래픽, 민감 데이터(의료·금융 등)는 복호화가 법적/윤리적 문제 유발.
- 운영적: 인증서 배포·관리, 성능(암복호화 오버헤드), 로그 저장 비용.
- VPN, E2E 암호화(예: Signal): 경계에서 복호화 불가 → 엔드포인트/행동 기반 탐지 필요.
6) 위험(부작용)
- 프라이버시 침해·내부자 감시 논란
- 중간자 구성의 인증서 관리 실패 시 보안 약화(예: 잘못된 CA 배포)
- 성능 저하, 복호화 장비가 공격 대상이 될 수 있음
7) 운영·기술적 권장사항 (실무 팁)
- 최소 권한·선택적 복호화: 민감 카테고리(의료·세무 등)는 제외하고, 고위험 트래픽(웹 다운로드, 첨부파일 등)만 복호화.
- 엔드포인트 + 네트워크 결합: 엔드포인트 에이전트로 E2E·VPN 내부 활동을 보완.
- 암호화 트래픽 분석(초기 필터링): SNI/JA3/패킷 메타로 우선 의심트래픽 선별 → 필요 시 복호화.
- 정책·법무 검토: 개인정보·법적 요건(로그 보관, 통지 등) 사전 확인.
- 고가용성 아키텍처: 복호화 장비 병렬화, 로드밸런싱, 성능 모니터링.
- 위협 인텔·행위 기반 탐지: 서명 기반 + 행위(behavioral) 룰 병행.
- VPN/내부 트래픽 모니터링 강화: 내부 세그멘테이션, NAC, 내부 DNS/SMB 모니터링.
'Network' 카테고리의 다른 글
| 네트워크 개요 ch.01~ch.05 (0) | 2025.09.16 |
|---|
