TCP 스택 상태 관리 취약점 이슈
TCP 스택의 취약점을 이용한 DoS (Denial of Service) 공격 기법이 새로운 이슈로 떠오르고 있습니다. 기사에 따르면 이 문제점은 2005년 경에 발견되었다고 하는데, TCP 접속 요청을 처리하는 부분에 문제가 있다는군요. Jack C. Louis 씨는 Sockstress라는 이름의 공격 프레임웍을 만들어서 테스트했고, 이번 10월 중순에 헬싱키에서 열리는 T2 컨퍼런스에서 이 취약점에 대해 발표할 예정이라고 합니다.
Louis 씨는 대규모 모의 해킹 시험으로 수만 개 정도의 IP 주소를 스캔할 용도로 Unicornscan이라는 프로그램을 짰는데, 스캔 결과로 돌아오는 패킷 덤프를 관찰하다가 비정상적인 패킷 전송을 발견했다고 합니다. 특정 시스템들이 재부팅되기 전까지 계속해서 패킷 응답을 보냈다는 것이죠.
TCP 서버를 보면 SYN flood를 이용한 DoS 공격을 막기 위해 SYN 쿠키 기능을 탑재한 경우가 많습니다. SYN 쿠키 기법을 사용하면 TCP 초기 시퀀스 값에 접속 정보를 해싱해서 집어넣고 SYN+ACK응답을 보내기 때문에 서버는 접속 상태 정보를 유지하지 않습니다. 나중에 다시 패킷이 돌아오면 해싱 결과를 대조해서 확인하고 가짜 IP로 접속을 시도했는지 아닌지 판정한 다음 접속 정보를 다시 만들어 냅니다.
Sockstress는 이 SYN 쿠키를 계산해서 저장하고 있다가 공격할 때 사용할 수 있도록 해주는 모양입니다. 만약 유효한 SYN 쿠키를 대량으로 쏟아부을 수만 있다면 클라이언트 역시 Stateless하게 움직일 수 있기 때문에 별다른 자원 소모 없이 서버 쪽에 엄청난 수의 연결(Connection)을 생성할 수 있게 되겠죠.
이 외에도 메모리, 커널 타이머와 카운터 등 다양한 리소스를 대상으로 공격을 수행할 수 있는데, 벤더에서 이번 이슈를 해결하면 자세한 내용을 공개할 예정이라고 합니다.
by xeraph | 2008-10-02 17:13:16 | 미분류 | 트랙백 (1) | 덧글 (0)
Tracked from 위자드웍스 공식 블로그 2008-10-02 23:28:30
안녕하세요 위자디언 여러분 위자드웍스입니다. ^^ 오늘은 지난 열흘간 모집했던 위자드닷컴 추천 블로그 선정결과를 알려드리고자 합니다. ^^ 추천블로그 선정은 별도로 구성된 '위자드댄스 TFT'에서 일전 공고글에서 안내해 드린 바와 같이 1) 블로그와 카테고리간의 연관성 2) 포스팅 빈도 3) 추천글 내용을 기준으로 점수화하여 선정하였습니다. 또한 최종적으로 올블로그를 운영하고 있는 블로그칵테일 박영욱 대표님의 검수를 거치기도 하였습니다. 블로거들의..