Tech Juny

Network 계열 공격 - IP 단편화 취약점 공격 기법 본문

보안 취약점 공격

Network 계열 공격 - IP 단편화 취약점 공격 기법

태크주니 2024. 5. 14. 01:40

IP 단편화 취약점


01. Tiny Fragment

Tiny Fragment

  • 개념 : 최초 IP 단편을 아주 작게 만들어 패킷 필터링 장비를 우회하는 기법
  • 특징
    • 공격자는 첫번째 단편을 매우 작게 설정하여 목적지 포트가 포함 되지 않게 설정
    • 첫번째 패킷은 필터링 할 목적지 포트가 없으므로 통과
    • 두번재 패킷은 첫번째 패킷의 연속이므로 허용
    • 목적지 서버에서 단편들이 재조합 되면서 원하는 목적지 포트로 연결
  • 대응법
    • IP 재조합 되는 패킷필터링 장비 운영하여 IP 단편화 패킷 탐지
    • 너무 작은 단편화 패킷 차단

 

01. Fragment Overlap

Fragment Overlap

  • 개념 : IP 단편의 Offset 값을 조작하여 첫번째 단편의 일부분을 두번째 단편이 덮어쓰게 유도하여 패킷 필터링 장비 우회
  • 특징
    • 첫번째는 정상 패킷으로 패킷 필터링 장비가 허용하는 목적지 포트를 적용
    • 두번째 패킷은 첫번째 패킷의 허용 목적지 포트를 덮어 쓰도록 Offset 값을 조작하여 목적지 포트 설정
    • 두번째 패킷은 첫번째 패킷의 연속이므로 허용
    • 목적지 서버에서 단편들이 재조합 되면서 공격자가 원하는 목적지 포트로 연결
  • 대응법
    • IP 재조합 되는 패킷필터링 장비 운영하여 IP 단편화 패킷 탐지
Comments