서비스 거부 공격(DoS : Denial of Service) 종류 및 탐지

서버가 정상적인 서비스를 하지 못하도록 하는 공격으로 네트워크 트래픽을
폭증 시키거나 시스템의 자원(CPU, Memory 등)을 소모하도록 하여 속도를 저
하시키거나 또는 특정 위조된 Packet을 보내 서버를 정지시키는 공격 방법이
다.

● TCP SYN Flooding

▲ 공격방법
DOS 공격의 한 방법으로서 서버가 정상적인 서비스를 지연 또는 불능상태로
만들기 위해서 사용하는 공격으로 사용된다. 이는 TCP 프로토콜을 이용하여
클라이언트가 서버에 접속을 시도할 때 TCP헤더에 SYN Flag을 보내면, 서버
는 이에 대한 답변으로 SYN/ACK를 보내고 다시 클라이언트의 ACK를 받는다는
점을 이용하는 것으로, 공격자가 임의로 자신의 IP Address를 속여 (응답을
할 수 없는 IP Address) 이를 다량 서버에 보내면 서버는 클라이언트에 SYN/
ACK를 보내고, 이에 대한 클라이언트의 응답 ACK 를 받기 위한 대기 상태에
빠짐으로써 공격이 이루어진다.

▲ 탐지방법
① 공격자가 보낸 Packet에서 IP Header, TCP Header를 분석한다.
② TCP Header분석결과 flag 가 SYN 이면 공격자가 보내는 Packet의 Count를
증가 시키고, SYN/ACK 이면 Count를 감소시켜 SYN의 개수를 파악한다.
③ Count가 공격인정 시간내에 공격인정회수 이상이면 SYN Flooding 으로 탐
지한다.

▲ 조치방법
SNIPER는 클라이언트가 서버에 요구한 SYN의 개수만큼 서버에게 RESET 신호
를 보내어 서버가 대기 상태에서 벗어나게 함으로서 공격을 무력화 시킨다.
또한 이러한 사실을 Network 및 System 관리자에게 주지 시키고 서버의 Conn
-ect Queue Size 증대, Time Out 조절 및 O.S. 를 버전업하여 공격의 피해를
최소화 할 수 있다.

● TCP NULL Flooding

▲ 공격방법
DOS 공격의 한 방법으로, 서버가 정상적인 서비스를 지연 또는 불능상태로
만들기 위한 공격으로 사용된다.
이는 TCP 프로토콜을 이용하여, 클라이언트가 서버에 TCP Header의 Flags를
NULL(0x00)으로 Setting하여 대량의 Packet을 보내면, 서버는 이를 처리하기
위해서 대부분의 자원(System Resource)을 소모하게 되고, 정상적인 서비스
를 하지 못하는 현상이 발생한다

▲ 탐지방법
① 공격자가 보낸 Packet에서 IP Header, TCP Header를 분석한다.
② TCP Header분석결과 flag가 NULL이면, 공격자가 보내는 Packet의 수를
Count한다.
③ Count가 공격인정 시간내에 공격인정회수 이상이면 NULL Flooding으로 탐
지한다.

▲ 조치방법
이러한 사실을 Network 및 System 관리자에게 주지시키고, 공격자의 주소에
대해서 F/W 또는 기타 보안장비에서, 이를 Filtering함으로써 공격의 피해를
최소화 할 수 있다.

● TCP FIN Flooding

▲ 공격방법
DOS 공격의 한 방법으로, 서버가 정상적인 서비스를 지연 또는 불능상태로
만들기 위한 공격으로 사용된다.
이는 TCP 프로토콜을 이용하여, 클라이언트가 서버에 TCP Header의 Flags를
FIN(0x01)으로 Setting하여 대량의 Packet을 보내면, 서버는 이를 처리하기
위해서 대부분의 자원(System Resource)을 소모하게 되고, 정상적인 서비스
를 하지 못하는 현상이 발생한다

▲ 탐지방법
① 공격자가 보낸 Packet에서 IP Header, TCP Header를 분석한다.
② TCP Header분석결과 flag가 FIN 이면, 공격자가 보내는 Packet의 수를
Count한다.
③ Count가 공격인정 시간내에 공격인정회수 이상이면 FIN Flooding으로 탐
지한다.

▲ 조치방법
이러한 사실을 Network 및 System 관리자에게 주지시키고, 공격자의 주소에
대해서 F/W 또는 기타 보안장비에서, 이를 Filtering함으로써 공격의 피해를
최소화 할 수 있다.

● TCP ACK Flooding

▲ 공격방법
DOS 공격의 한 방법으로, 서버가 정상적인 서비스를 지연 또는 불능상태로
만들기 위한 공격으로 사용된다.
이는 TCP 프로토콜을 이용하여, 클라이언트가 서버에 TCP Header의 Flags를
ACK(0x10)으로 Setting하여 대량의 Packet을 보내면, 서버는 이를 처리하기
위해서 대부분의 자원(System Resource)을 소모하게 되고, 정상적인 서비스
를 하지 못하는 현상이 발생한다

▲ 탐지방법
① 공격자가 보낸 Packet에서 IP Header, TCP Header를 분석한다.
② TCP Header분석결과 flag가 ACK 이면, 공격자가 보내는 Packet의 수를
Count한다.
③ Count가 공격인정 시간내에 공격인정회수 이상이면 ACK Flooding으로 탐
지한다.

▲ 조치방법
이러한 사실을 Network 및 System 관리자에게 주지시키고, 공격자의 주소에
대해서 F/W 또는 기타 보안장비에서, 이를 Filtering함으로써 공격의 피해를
최소화 할 수 있다.

● TCP PUSH Flooding

▲ 공격방법
DOS 공격의 한 방법으로, 서버가 정상적인 서비스를 지연 또는 불능상태로
만들기 위한 공격으로 사용된다.
이는 TCP 프로토콜을 이용하여, 클라이언트가 서버에 TCP Header의 Flags를
PUSH(0x08)으로 Setting하여 대량의 Packet을 보내면, 서버는 이를 처리하기
위해서 대부분의 자원(System Resource)을 소모하게 되고, 정상적인 서비스
를 하지 못하는 현상이 발생한다

▲ 탐지방법
① 공격자가 보낸 Packet에서 IP Header, TCP Header를 분석한다.
② TCP Header분석결과 flag가 PUSH이면, 공격자가 보내는 Packet의 수를
Count한다.
③ Count가 공격인정 시간내에 공격인정회수 이상이면 PUSH Flooding으로 탐
지한다.

▲ 조치방법
이러한 사실을 Network 및 System 관리자에게 주지시키고, 공격자의 주소에
대해서 F/W 또는 기타 보안장비에서, 이를 Filtering함으로써 공격의 피해를
최소화 할 수 있다.

● TCP RESET Flooding

▲ 공격방법
DOS 공격의 한 방법으로, 서버가 정상적인 서비스를 지연 또는 불능상태로
만들기 위한 공격으로 사용된다.
이는 TCP 프로토콜을 이용하여, 클라이언트가 서버에 TCP Header의 Flags를
RESET(0x04)으로 Setting하여 대량의 Packet을 보내면, 서버는 이를 처리하
기 위해서 대부분의 자원(System Resource)을 소모하게 되고, 정상적인 서비
스를 하지 못하는 현상이 발생한다

▲ 탐지방법
① 공격자가 보낸 Packet에서 IP Header, TCP Header를 분석한다.
② TCP Header분석결과 flag가 RESET이면, 공격자가 보내는 Packet의 수를
Count한다.
③ Count가 공격인정 시간내에 공격인정회수 이상이면 RESET Flooding으로 탐
지한다.

▲ 조치방법
이러한 사실을 Network 및 System 관리자에게 주지시키고, 공격자의 주소에
대해서 F/W 또는 기타 보안장비에서, 이를 Filtering함으로써 공격의 피해를
최소화 할 수 있다.

● TCP URG Flooding

▲ 공격방법
DOS 공격의 한 방법으로, 서버가 정상적인 서비스를 지연 또는 불능상태로
만들기 위한 공격으로 사용된다.
이는 TCP 프로토콜을 이용하여, 클라이언트가 서버에 TCP Header의 Flags를
URG(0x20)으로 Setting하여 대량의 Packet을 보내면, 서버는 이를 처리하기
위해서 대부분의 자원(System Resource)을 소모하게 되고, 정상적인 서비스
를 하지 못하는 현상이 발생한다

▲ 탐지방법
① 공격자가 보낸 Packet에서 IP Header, TCP Header를 분석한다.
② TCP Header분석결과 flag가 URG 이면, 공격자가 보내는 Packet의 수를
Count한다.
③ Count가 공격인정 시간내에 공격인정회수 이상이면 URG Flooding으로 탐
지한다.

▲ 조치방법
이러한 사실을 Network 및 System 관리자에게 주지시키고, 공격자의 주소에
대해서 F/W 또는 기타 보안장비에서, 이를 Filtering함으로써 공격의 피해를
최소화 할 수 있다.

● TCP XMAS Flooding

▲ 공격방법
DOS 공격의 한 방법으로, 서버가 정상적인 서비스를 지연 또는 불능상태로
만들기 위한 공격으로 사용된다.
이는 TCP 프로토콜을 이용하여, 클라이언트가 서버에 TCP Header의 Flags를
FIN(0x01), URG(0x20), PUSH(0x08), RST(0x04) 등으로 Setting하여, 대량의
Packet을 보내면, 서버는 이를 처리하기 위해서 대부분의 자원 (System Re-
source)을 소모하게 되고, 정상적인 서비스를 하지 못하는 현상이 발생한다

▲ 탐지방법
① 공격자가 보낸 Packet에서 IP Header, TCP Header를 분석한다.
② TCP Header분석결과 flag가 FIN(0x01), URG(0x20), PUSH(0x08), RST(0x04)
등으로 설정되어 있으면, 공격자가 보내는 Packet의 수를 Count한다.
③ Count가 공격인정 시간내에 공격인정회수 이상이면 XMAS Flooding으로 탐
지한다.

▲ 조치방법
이러한 사실을 Network 및 System 관리자에게 주지시키고, 공격자의 주소에
대해서 F/W 또는 기타 보안장비에서, 이를 Filtering함으로써 공격의 피해를
최소화 할 수 있다.

● UDP Flooding

▲ 공격방법
DOS 공격의 한 방법으로서 UDP 프로토콜을 이용하여 클라이언트가 서버에 가
상의 데이터를 연속적으로 보내어 서버의 부하 및 Network Overload 를 발생
시켜 정상적인 서비스를 하지 못하도록 한다. 특히 MS Windows 계열의 O.S에
치명적인 영향을 미칠 수 있다.

▲ 탐지방법
① 공격자가 보낸 Packet에서 UDP를 분석한다.
② 대상 Port 번호를 확인하여 7,17,19,135,137 번이 아니고, UDP Port Scan
공격 아니면 UDP Flood공격으로 간주한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수 이면 UDP Flooding으로 탐지한다

▲ 조치방법
이러한 정보를 관리자에게 알리고, 관리자는 불필요한 UDP 서비스를 Disable
함으로서 공격의 피해를 최소화 할 수 있다. 또한 방화벽(F/W) 및 Router에
서 불필요한 UDP 서비스를 차단함으로써 해결할 수 있다.

● ICMP Unreachable Storm

▲ 공격방법
공격자는 연속적으로 ICMP의 port-unreachable frame 을 보내서 시스템의 성
능을 저하시키거나 마비 시킨다.

▲ 탐지방법
① 공격자가 보낸 Packet에서 ICMP를 분석한다.
② Source IP Address, Destnation IP Address 를 확인하여 도달할 수 없는
IP Address이면 ICMP Unreachable STORM 공격으로 간주한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 ICMP Unreachable Storm으로 탐지한다

▲ 조치방법
공격정보를 Network, System 관리자에게 알림으로써 관리자가 침입차단 시스템
에서 ICMP(ECHO)서비스를 close함으로써 해결할 수 있다.

● FTP PASV Dos

▲ 공격방법
DOS 공격의 한 방법으로서 FTP서비스에 접속하여 서버가 응답하기 전에 대량
의 FTP PASV 명령어를 연속적으로 보내어 FTP Server를 Down 시키거나, 부하
를 발생시켜 정상적인 서비스를 하지 못하도록 한다.

▲ 탐지방법
① 공격자가 보낸 Packet에서 TCP를 분석한다.
② FTP 서버가 응답하기 전에 공격자(Client)로부터 FTP PASV 명령어가 서버
로 보내지면 FTP PASV공격으로 간주한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 FTP PASV DOS 공격으로 탐지한다.

▲ 조치방법
공격 클라이언트와 서버에 RESET 신호를 보내어 공격을 무력화시킴으로서
서버 의 정보를 보호한고, FTP PASV Dos에 취약하지 않은 최신버전의 FTP
서버로 업그레이드 할 것을 권장한다.

● ICMP Ping of Death

▲ 공격방법
공격할 시스템에 Fragmented된 Packet과 비정상적인 OOB (Out of Band)를 함
께 대량으로 전송하여 System 자원을 무의미하게 소모 시키며, 심할 경우 대
상 시스템을 Crash시킬 수도 있다. 이로 인해 내부 네트워크 자원에 심각한
Collision을 임의로 일으켜서 내부자원의 소모율을 높여서 네트워크 성능을
저하시킬 수 있다.

▲ 탐지방법
① 공격자가 보낸 Packet에서 ICMP를 분석한다.
② 분석결과 ICMP type이 ECHO이고 ICMP message-specific data의 크기가 10
24 byte이상인지 확인한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 Ping of Death로 탐지한다.

▲ 조치방법
공격정보를 Network,System관리자에게 알려서 관리자가 침입차단시스템(F/W)
에서 ICMP(ECHO) 서비스를 차단 함으로써 해결할 수 있다.

● ICMP Checksum Error

▲ 공격방법
공격자는 임의적으로 ICMP의 비정상적인 Packet 을 대상서버에 보냄으로써
서버에 과부하를 발생시키고 이로 인해서 서버의 정상적인 서비스를 방해하
는 DOS 공격이다.

▲ 탐지방법
① 공격자가 보낸 Packet에서 ICMP를 분석한다.
② 분석결과 ICMP Checksum에 오류가 발생했으면 ICMP Checksum Error로 Sca
-n한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 ICMP Checksum Error 공격으로 탐지한다.

▲ 조치방법
공격정보를 Network,System관리자에게 알려서 관리자가 침입차단시스템(F/W)
에서 ICMP(ECHO) 서비스를 차단 함으로써 해결할 수 있다. 또한 최신의 O.S
및 서비스를 설치 함으로써 공격을 최소화 할 수 있다.

● TCP Checksum Error

▲ 공격방법
공격자는 임의적으로 TCP의 비정상적인 Packet을 대상서버에 보냄으로써 서
버에 과부하를 발생시키고 이로 인해서 서버의 정상적인 서비스를 방해하는
DOS 공격이다.

▲ 탐지방법
① 공격자가 보낸 Packet에서 TCP를 분석한다.
② 분석결과 TCP Checksum에 오류가 발생했으면 TCP Checksum Error 로 Scan
한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 TCP Checksum Error 공격으로 탐지한다.

▲ 조치방법
공격정보를 Network,System관리자에게 알려서 관리자가 침입차단시스템(F/W)
에서 TCP의 불필요한 서비스를 차단 함으로써 해결할 수 있다. 또한 최신의
O.S 및 서비스를 설치 함으로써 공격을 최소화 할 수 있다.

● UDP Checksum Error

▲ 공격방법
공격자는 임의적으로 UDP의 비정상적인 Packet을 대상서버에 보냄으로써 서
버에 과부하를 발생시키고 이로 인해서 서버의 정상적인 서비스를 방해하는
DOS 공격이다.

▲ 탐지방법
① 공격자가 보낸 Packet에서 UDP를 분석한다.
② 분석결과 UDPChecksum 에 오류가 발생했으면 UDPChecksum Error로 Scan한
다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 UDPChecksum Error 공격으로 탐지한다.

▲ 조치방법
공격정보를 Network,System관리자에게 알려서 관리자가 침입차단시스템 (F/W
)에서 UDP의 불필요한 서비스를 차단 함으로써 해결할 수 있다. 또한 최신의
O.S 및 서비스를 설치 함으로써 공격을 최소화 할 수 있다.

● IP Checksum Error

▲ 공격방법
공격자는 임의적으로 TCP/IP의 비정상적인 Packet을 대상서버에 보냄으로써
서버에 과부하를 발생시키고 이로 인해서 서버의 정상적인 서비스를 방해하
는 DOS 공격이다.

▲ 탐지방법
① 공격자가 보낸 Packet에서 TCP/IP의 IP를 분석한다.
② 분석결과 IPChecksum에 오류가 발생했으면 IPChecksum Error로 Scan한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 IPChecksum Error 공격으로 탐지한다.

▲ 조치방법
공격정보를 Network, System 관리자에게 알려서 관리자가 침입차단시스템(F/
W)에서 TCP/IP의 불필요한 서비스를 차단 함으로써 해결할 수 있다. 또한 최
신의 O.S 및 서비스를 설치 함으로써 공격을 최소화 할 수 있다.

● ICMP Smuf

▲ 공격방법
공격자(클라이언트)가 대상 서버 및 Network에 Over load를 발생시켜 정상적
인 서비스를 하지 못하게 하는 공격으로, 공격자가 ICMP Packet의 Source IP
Address 에 공격대상 서버의 IP Address 를 Setting 하고 임의의 Broadcast
Address로 ICMP ECHO Packet 을 발송하면 이를 수신한 경유지 서버는 동시에
대상서버에 응답을 하게 함으로써 Network Traffic 을 기하급수적으로 증가
시키고, 서버에 과부하를 발생시킨다.

▲ 탐지방법
① 공격자가 보낸 Packet에서 ICMP를 분석한다.
② 분석결과 ICMP type이 REPLY인지 확인한다.
③ Source IP의 변조(IP Spoofing)여부를 확인한다.
④ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 ICMP Smurf 공격으로 탐지한다.

▲ 조치방법
공격정보를 Network, System 관리자에게 알려서 관리자가 침입차단시스템(F/
W)에서 ICMP(ECHO)서비스를 차단함으로써 해결할 수 있다.

● Windows Nuke

▲ 공격방법
TCP가 OOB-out of band 데이터를 처리할 때 사용하는 URG(Urgent) 신호를 Wi
-ndows의 139포트(NetBios over TCP)에 보냄으로써 시스템이 다운되거나 Win
-dows시스템 서비스중의 하나인 HDD공유 기능을 마비 시킨다.

▲ 탐지방법
① 공격자가 보낸 Packet에서 TCP를 분석한다.
② TCP Header의 가상 port 를 확인하여 Pakcet의 흐름이 Client에서 Server
이고 sport가 TCP_PORT_NBSS(139)인지 확인한다.
③ TCP Header의 flags를 확인하여 TH_URG이면 Windows Nuke공격으로 간주한
다.
④ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 Windows Nuke로 탐지한다

▲ 조치방법
SNIPER는 공격자에게 RESET신호를 보내어 공격을 무력화하고, 공격 클라이
언트를 차단하여 공격으로부터 서버를 보호한다. 또한 서버의 OS를 버전업
시킨다.

● Land Attack

▲ 공격방법
공격자가 임의로 자신의 IP Address와 Port를 대상 서버의 IP Address와 Por
-t와 동일하게 하여 서버에 접속함으로서 서버의 실행속도가 느려지거나, 마
비되게 한다.

▲ 탐지방법
① 공격자가 보낸 Packet에서 TCP를 분석한다
② TCP Packet의 Source의 IP, Port 와 Destination의 IP, Port가 동일한지
확인한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수 이면 Land Attack으로 탐지한다.

▲ 조치방법
공격정보를 Network, System관리자에게 알림으로써 관리자가 침입차단시스템
(F/W)에서 Source IP/Port와 Destination IP/Port와 동일하면 차단하도록 설
정한다.

● Ping Flooding

▲ 공격방법
Network이 정상적으로 작동하는지 여부를 확인하게 위해서 사용하는Ping Tes
-t를 해커가 해킹을 하기 위한 대상 컴퓨터를 확인하기 위한 방법으로 사용
한다. 또한 대상 system에 ICMP packet을 계속해서 보내서, 대상 system이
Request 에 응답하느라 다른 일을 하지 못하도록 하는 공격이며, 해당 시스
템은 끊임없는 응답에 내부 Service queue counter 자원의 고갈로 서비스불
능 상태에 빠진다. 동시에 Network에 Over load를 발생시키는 치명적인 공격
이 될 수도 있다.

▲ 탐지방법
① 공격자가 보낸 Packet에서 ICMP를 분석한다
② 분석결과 ICMP type이 ECHO인지 확인한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 Ping Flooding으로 탐지한다

▲ 조치방법
공격정보를 Network, System 관리자에게 알려서 관리자가 침입차단시스템(F/
W)에서 ICMP(ECHO)서비스를 차단함으로써 해결하고, 공격을 한 클라이언트를
집중적으로 관찰하도록 한다.

● Ping Sweep

▲ 공격방법
공격자(Client)가 대상 Network에 어떤 서버가 존재하는지를 파악하기 위해
서 ICMP 를 이용하여 대상 Network의 Broadcast IP 를 입력한 다음 응답되는
패킷을 분석하여 정보를 파악할 수 있는 기법이다. 또한 대상 Network전체에
Overload를 발생 시킬 목적으로 사용 되기도 한다.

▲ 탐지방법
① 공격자가 보낸 Packet에서 ICMP를 분석한다
② 분석결과 ICMP type이 ECHO이면서 대상 IP Address가 Broadcast IP이면 P
-ing Sweep으로 간주한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 Ping Flooding으로 탐지한다

▲ 조치방법
공격정보를 Network, System 관리자에게 알려서 관리자가 침입차단시스템(F/
W)에서 ICMP(ECHO)서비스를 차단함으로써 해결하고, 공격을 한 클라이언트를
집중적으로 관찰하도록 한다.

● Snork Attack

▲ 공격방법
공격자가 대상서버(MS Windows 계열) 의 Resource를 소진 시키기 위해서 UDP
의 destination 포트를 135(Microsoft Location Service)번으로 source 포트
를 7(Echo), 19(Chargen), 135 로 하여 Packet를 보내면 서로가 무한 통신을
한다는 취약점을 이용하여 공격하는 방법이다.

▲ 탐지방법
① 공격자가 보낸 Packet에서 UDP를 분석한다
② 분석결과 destination Port가 135번 이고, Source Port가 7,19,135번 중
의 하나 이면 Snork Attack으로 간주한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 Ping Flooding으로 탐지한다

▲ 조치방법
공격정보를 Network, System 관리자에게 알려서 관리자가 침입차단시스템(F/
W)에서 UDP 서비스를 차단함으로써 해결하고, 공격을 한 클라이언트를 집중
적으로 관찰하도록 한다. 또한 대상 서버를 취약점이 해결된 O.S로 Version
Up을 하여 공격을 최소화한다.

● Open Teardrop Attack

▲ 공격방법
TCP/IP 통신에서 보내는 쪽에서는 IP 데이타그램을 쪼개고 받는 쪽에서는 이
를 합치는(프레그멘테이션과 리어셈블리) 아주 정상적으로 일어나야 할 과정
을 공격자가 임의적으로 과도하게 발생 시키거나, 꼬이게 함으로써 대상컴퓨
터가 다운되게 하는 DOS공격의 일종이다. 또한 이 공격은 어떤 OS의 IP frag
-ment 재조합 코드 안에 버그를 일으키는 invalid fragmented IP 패킷을 보
낸다. 이 취약성은 공격자가 목적 시스템을 손상시켜 서비스손실을 유발시키
고, 서버를 다운 시킬 수도 있다. Open Tear공격이 일반적인 Tear Drop과 다
른점은 Packet를 보냄에 있어서 IP가 fragment 되어 있다는 Signal만 보내고
실질적인 Data는 보내지 않는 것이다. 이는 서버에게 Tear Drop보다 더 많은
부하를 발생시킬 수 있으며, 이로 인하여 정상적인 서비스를 하지 못하는 경
우가 발생한다.

▲ 탐지방법
① Packet을 분석하여 확인한 결과 Fragmentation이 되어있으면 이를 Count
한다.
② Packet의 Data부분에 Data가 있는지 여부를 확인하여 Data가 없으면Open
Tear공격으로 간주한다.
③ 공격자가 보내는 Packet의 횟수를 Count 하여 공격인정 시간내에 공격인
정회수이면 OpenTear 공격으로 탐지한다

▲ 조치방법
대상 시스템의 O.S를 보안에 관련된 모든 hot fix 뿐만 아니라 최신의 버전
또는 최신의 서비스팩을 설치하여 더 이상 시스템이 영향을 받지 않도록 한
다. 또한 이러한 사실을 System, Network 관리자에게 공지하고 공격자의 IP
를 방화벽(F/W)에서 차단한다.

● Telnet Flooding

▲ 공격방법
DOS 공격의 한 방법으로서 TCP 프로토콜을 이용하여 클라이언트가 서버의 Te
-lnet port에 ^D문자를 연속적으로 보내어 서버의 부하를 발생시켜 정상적인
서비스를 하지 못하도록 한다. 이는 Solaris의 특정 O.S 에 치명적인 영향을
미칠 수 있으면, 대부분의 서버에서 Over Load가 발생하고 있다.

▲ 탐지방법
① 공격자가 보낸 Packet에서 TCP를 분석한다
② 분석결과 대상 Port가 Telnet(23) Port 이고 연속해서 ^D문자가 검출되면
Telnet Flooding 공격으로 간주 한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 Ping Flooding으로 탐지한다

▲ 조치방법
공격정보를 Network, System 관리자에게 알려서 관리자가 침입차단시스템(F/
W)에서 불필요한 Telnet Port서비스를 차단함으로써 해결하고, 공격을 한 클
라이언트를 집중적으로 관찰하도록 한다. 또한 대상 서버를 취약점이 해결된
O.S로 Version Up을 하여 공격의 피해를 최소화 한다.

● Mail Bomb

▲ 공격방법
Mail 서버에 대량(수십, 수십만 통)의 동일 또는 쓰레기 E-Mail을 보내어 서
버의 용량을 초과하게 만들어 E-Mail서비스 불능 상태에 빠지게 하여 정상적
인 E-Mail의 송.수신을 방해하는 DOS 공격으로 사용한다.

▲ 탐지방법
대량의 E-Mail을 보내기 위해서는 수작업으로는 불가능하기 때문에 프로그램
을 이용하여 동일한 내용(반드시 동일하지 않을 수 있지만 대부분 유사한 방
식으로 구성되어 있음)의 E-Mail이 특정 클라이언트에서 서버에 전달되는 내
용을 감시하여 탐지한다.

① 공격자가 보낸 TCP Packet를 분석하여 SMTP(25Port)를 확인한다.
② SMTP Packet의 State가 MAIL일 경우 From, To, Subject Address를 확인한
다.
③ 공격자가 동일한 수신자 및 내용의 Packet를 보내는 횟수를 Count하여 공
격인정 시간내에 공격인정회수이면 Mail Bomb으로 탐지한다.

▲ 조치방법
동일 또는 유사한 E-Mail 이 3회 이상 특정 서버에 전달 될 경우 TCP/IP 의
RESET 신호를 클라이언트와 서버에게 동시에 보냄으로써 더 이상의 E-Mail이
서버에 전달 못되게 함으로 서버를 보호한다. 또한 이러한 사실을 System,
Network관리자에 알려 공격자 IP Address를 방화벽에서 차단하도록 설정한다.
그리고 sendmail 최신의 버전으로 Upgrade한다.

● Mail Spam

▲ 공격방법
Mail 서버에 대량의 동일 또는 악성 광고 E-Mail을 보내어 서버의 용량을 초
과하게 만들어 서버의 고유 기능을 마비 시키거나, 사용자가 불필요하게 Ma
-il을 열람하게 함으로서 업무의 효율성을 저하 시킨다.

▲ 탐지방법
① 공격자가 보낸 TCP Packet를 분석하여 SMTP(25Port)를 확인한다.
② Packet Data가 571(Unsolicited email refused), 550 (Requested action
not taken: mailbox unavailable), 501(Syntax error in parameters or
argument), 554(Transaction failed)인지 확인한다.
③ 공격자가 동일한 데이터를 보내는 Email 의 횟수를 Count하여 공격인정시
간내에 공격인정회수이면 Mail Spam으로 탐지한다.

▲ 조치방법
Mail Spam으로 탐지된 내용을 관리자에게 알려주고 침입차단시스템(F/W)에서
발송자의 IP Address를 차단하도록 하고 Sendmail 프로그램을 Patch한다. 또
한 SNIPER는 SPAM MAIL 발송자에게 Reset Packet 를 보내어 더 이상 Mail 이
송.수신되지 않게 하도록 한다.

● UDP LoopBack

▲ 공격방법
공격자가 UDP의 Source와 Destination 포트를 7(Echo), 17(Quoteof the day),
19(Chargen)으로 동일하게 조작한 다음 Packet를 발송하면 서로간에 무한 통
신을 한다는 Protocol의 취약점을 이용한 DOS 공격으로 이로 인하여 Server
및 Network 에 Overload가 발생하고, 정상적인 서비스가 마비되는 현상이 발
생할 수 있다.

▲ 탐지방법
① 공격자가 보낸 Packet에서 UDP를 분석한다
② 분석결과 source 및 destination Port가 7, 17, 19번 중의 하나이면서 동
일하면 UDP Loopback공격으로 간주한다.
③ 공격자가 보내는 Packet의 횟수를 Count하여 공격인정 시간내에 공격인정
회수이면 UDP Loopback공격으로 탐지한다

▲ 조치방법
공격정보를 Network, System 관리자에게 알려서 관리자가 침입차단시스템(F/
W)에서 UDP 서비스를 차단함으로써 해결하고, 공격을 한 클라이언트를 집중
적으로 관찰하도록 한다. 또한 대상 서버를 취약점이 해결된 O.S로 Version
Up을 하여 공격을 최소화한다.