SYN Flooding

 

<SYN Flooding>

 

- 공격자가 서버에 SYN 패킷을 무한으로 보내 서버의 Backlog Queue의 자원을 모두 소모하여

  정상적인 사용자와 연결 수립을 할수 없게 만드는 공격

 

[공격]

 

# hping3 --rand-source 192.168.30.3 -p 80 -S --flood

 

192.168.30.3 의 80번 포트로 랜덤한 출발지 주소로 변경하여 SYN 패킷을 가능한 많이 계속 플러딩 한다

netstat -an 으로 확인하면 SYN_RECEIVED 상태가 많아진다

 

 

 

[대응방안]

 

1. uRPF : unicast Reverse Path Forward

 

- Unicast Routing 과정은 Source-IP 정보는 확인하지 않는다.

  즉, IP Spoofing 공격이 가능하다

 

- 최근 Cisco Router의 경우는 Routing Table이 아니라 CEF Table 기반으로 트래픽을 전송한다

 

- uRPF을 특정 인터페이스에 활성화시킬 경우 해당 Interface로 들어오는 트래픽의 Source-IP와 CEF Table의 정보를 비교해서 해당 Interface 대역의 IP 주소가 아닐 경우 해당 트래픽을 차단한다

 

[설정]

# interface fastethernet 0/0

# ip verify unicast reverse-path

 

[확인]

# show ip interface fastethernet 0/0

 

# show ip traffic

 

 

2. IP Source Guard

 

- 내부 스위치 네트워크에서 발생되는 IP 스푸핑 공격은 IP Source Guard로 차단이 가능하다

 

- 하지만 외부에서 들어오는 IP 스푸핑 공격은 방어를 할 수 없다

 

- 설정방법은 1개월차 봤던 DHCP Snooping 참조

 

 

3. Bogon-List Filtering

 

- 외부에서 들어올 수 없는(공격자가 자주 사용하는) 사설 IP 대역이나 멀티캐스트 IP 대역을 차단함으로써 공격을 예방한다

 

- uRPF의 경우는 Default-Route의 출구 Interface에 설정하면 의미가 없다.

  (Default-Route는 모든 Sor-IP로 도달성이 있기 때문이다)

 

- 고객 측 방화벽, 혹은 CE에서 Bogon-List 기반으로 실제 존재할 수 없는 Sor-IP를 갖고 들어오는 트래픽을 차단할 수 있다

  (ex. Private IP, Localhost, 회사 내부 IP등...)

 

[Bogon-List Reference]

http://www.team-cymru.org/bogon-reference-http.html

 

[설정]

# ip access-list standard Bogon_List
# deny 0.0.0.0 0.255.255.255
# deny 10.0.0.0 0.255.255.255
# deny 100.64.0.0 0.63.255.255
# deny 127.0.0.0 0.255.255.255
# deny 169.254.0.0 0.0.255.255
# deny 172.16.0.0 0.15.255.255
# deny 192.0.0.0 0.0.0.255
# deny 192.0.2.0 0.0.0.255
# deny 192.168.0.0 0.0.255.255
# deny 198.18.0.0 0.1.255.255
# deny 198.51.100.0 0.0.0.255
# deny 203.0.113.0 0.0.0.255
# deny 224.0.0.0 15.255.255.255
# deny 240.0.0.0 15.255.255.255
# deny <회사 내부 IP 대역>
# permit any

# interface fastethernet 0/0

# ip access-group Bogon_List in             // Bogon_List Access-list 에 명시한 IP를 인바운드 할때 적용

 

 

4. TCP Intercept

 

- IP Spoofing에 대한 방어법이 아닌 SYN Flooding 공격에 대한 방어 방법 이다

 

 

클라이언트와 서버가 직접 3WayHandshake 를 하는게 아니라 라우터가 중간에 대신 연결 수립 확인하고,

정상적인 경우에만 서버와 연결해주는 방식

 

[MODE]

 

1. Intercept Mode - 능동적인 모드

 

 

[설정]

# ip access-list extended TCP_Intercept

# permit tcp any host 192.168.30.3 eq 80

 

# ip tcp intercept list TCP_Intercept

# ip tcp intercept mode intercept

 

[확인]

# show tcp intercept connection

# show tcp intercept statistics

 

 

2. Watch Mode - 수동적인 모드

 

[설정]

# ip access-list extended TCP_Intercept

# permit tcp any host 192.168.30.3 eq 80

 

# ip tcp intercept list TCP_Intercept

# ip tcp intercept mode watch

 

[확인]

# show tcp intercept connection

# show tcp intercept statistics