네트워크취약성과대책 #2 : 스머프(Smurf)공격의 대처방법

스머프 공격의 대처 방법

앞에서 살펴본 그림처럼 스머프 공격에서는 공격자, 증폭기 네트워크, 희생자 네트워크 모두가 피해자가 된다.

따라서 자신의 네트워크가 증폭기 네트워크로 악용되지 않도록 그리고 공격자의 소스 또는 희생자 네트워크가 되지 않도록 주의하여야 한다.

(물론 공격자의 피해가 가장 미비할 것이다.

) 앞에서는 라우터에서 “no ip directed-broadcast"를 실행하여 자신의 네트워크가 증폭기 네트워크의 소스로 악용되지 않는 방법에 대해 살펴보았는데, 그렇다면 공격자의 소스 및 희생자 네트워크가 되지 않기 위한 방법은 무엇일까?

① 희생자 네트워크가 되지 않기 위해

스머프 공격이 진행 중인 상황에서는 희생자 네트워크에 많은 “icmp echo reply” 패킷이 전송되므로 이로 인하여 가용 트래픽이 가득 차는 현상이 발생할 것이다.

따라서 가능하다면 상위 isp에 “icmp echo reply” 패킷에 대한 차단 또는 일정정도의 대역폭만을 허용하는 QoS를 요청하는 것이 가장 효율적이다.

만약 여의치 않을 경우 자신의 라우터에서 access-list를 활용하여 직접 필터링하거나 rate-limit를 이용한 QoS 설정을 통해 일정 패킷만 허용하도록 설정할 수 있다.

또한 방화벽에서도 차단할 수 있는데, 방화벽의 기능 중 상태추적(stateful inspection) 기능을 이용하여 inbound되는 “icmp echo reply” 패킷을 필터링하면 된다.

스머프 공격 관련 트래픽은 icmp echo request 패킷을 요청한 적이 없는데, “icmp echo reply” 패킷을 수신하였으므로 상태추적에 의해 필터링 될 것이다.

하지만 사실상 이 공격은 가용한 트래픽(bandwidth)을 가득 채우는 형태의 공격이므로 말단의 방화벽에서 차단하는 것은 그리 큰 의미가 없다.

② 공격자의 소스가 되지 않기 위해

스머프의 공격자는 공격의 소스 IP를 위조하기 때문에 실제 공격자가 위치한 네트워크는 직접적인 피해를 입지는 않을 것이다.

비단 그렇다 하더라도 자신의 네트워크에 서비스거부나 분산서비스거부 공격자가 존재한다는 사실만으로 적지 않은 위험 부담을 안고 있는 것이다.

따라서 이러한 경우에는 라우터나 방화벽에서 출구(egress) 필터링을 설정하면 된다.

출구 필터링이란 다른 말로 exit 필터링 또는 outbound 필터링이라고도 불리는데, 외부로의 패킷전송 시 반드시 해당 네트워크에 할당된 소스 IP를 달고 나가는 패킷만 허용하고 다른 패킷은 차단하도록 하는 것이다.

스머프 공격 시 공격자가 전송하는 “icmp echo request” 패킷은 소스 IP를 다른 네트워크에 있는 희생자 IP로 위조하여 패킷을 발송하므로 출구 필터링을 하면 위조된 패킷이 아예 라우터를 통과할 수 없기 때문에 이러한 공격을 사전에 차단할 수 있게 된다.