IP 단편화 공격이란 무엇일까요?
즐겨찾기로 설정했던 웹 사이트가 더 이상 열리지 않은 적이 있으신가요? 이는 해커들의 공격 때문일 수 도 있습니다. 해커가 가로챌 수 있는 많은 것 중에는 사용자의 IP 주소가 정보를 목적지로 전송하는 방식이 있기 때문입니다. 이러한 해킹 유형을 IP 단편화(또는 IP 조각화) 공격이라고 합니다. 비록 인터넷 제공자들이 해커의 공격을 막을 수 있는 수단을 이전보다는 훨씬 더 많이 가지고 있지만, 사이버 범죄자들은 여전히 개의치 않고 같은 수법의 범죄를 계속하고 있습니다. 이 글에서 IP 단편화 공격의 피해자가 되지 않는 방법을 알아보세요.
목차
목차
IP Fragmentation(IP 단편화) 공격은 어떻게 발생하나요?
IP 단편화 공격을 이해하려면 우선 IP 패킷 교환과 IP 단편화 과정에 대해 개념적으로 알아야 할 필요가 있습니다.
IP 패킷 교환
대부분의 기기는 특정 크기의 IP 패킷으로 데이터를 전송 하게 됩니다. 이러한 과정은 패킷 교환으로 알려져 있습니다.
패킷 교환은 연결된 방식으로 혹은 비 연결 된 방식을 통해서 정성 할 수 있습니다. 연결형 패킷 교환은 미리 정해진 순서에 따라 데이터를 송수신하고, 사전에 통신 연결을 구축하는 것이 특징입니다.
반면에 비연결형 패킷 교환은 모든 데이터 패킷을 상호 독립적으로 취급하며, 미리 정해진 경로가 없기 때문에 단독적으로 라우팅 되는 경우를 말합니다. 이러한 패킷을 데이터그램이라고 하며, 데이터그램은 임의의 순서에 따라 이동합니다. 비연결형 패킷 교환은 상대적으로 구조화가 되지 않은 통신 방법이기 때문에 해커들은 서버 공격을 벌어질 때 주로 사용하게 됩니다.
IP Fragmentation(IP 단편화) 과정
IP 단편화는 상대적으로 큰 데이터그램을 더 작은 정보 패킷으로 분리하는 과정을 표현합니다. 패킷은 수신 당사자가 성공적으로 처리하기위해 데이터를 전송하는 과정에서 먼저 특정 크기로 분화할 필요가 있습니다. 이러한 필수 조건이 번거로울 수 도 있지만 성공적인 전성과정을 위해서 매우 중요한 단계입니다. 과도한 작업량을 동시에 처리하려고 하면 복구가 불가능한 문제가 생길 수도 있습니다.
데이터 패킷이 최대 전송 단위(MTU) 크기를 초과하면 라우터는 이를 더 작고 전송하기 쉬운 조각으로 나눕니다. 전송된 패킷들은 받은 후에 수신자가 데이터를 이해 할 수 있도록 재조립됩니다. 데이터그램 의 파일 크기가 너무 크면 서버에서 삭제되거나 패킷을 다시 분할 해야 합니다.
IP Fragmentation(IP 단편화) 공격은 어떻게 진행되나요?
IP 단편화 공격은IP 조각화 또는 단편화 과정을 이용해서 서비스를 강제로 중단시키거나 연결된 장치를 정지시킵니다. 이는 서비스 거부(DdoS) 공격의 한 종류라고 할 수 있습니다.
IP 단편화 공격에서 공격자는 문제가 있는 데이터 패킷을 생성하여 조각화 또는 단편화한 후 재조립함으로써 이 프로세스를 악용합니다. 공격자는 주요 정보가 누락된 중복되거나 불완전한 조각을 만들어 재조립 프로세스를 매우 리소스 집약적이거나 불가능하게 만들 수 있습니다.
이러한 결함이 있는 데이터 패킷은 혼란과 혼돈을 야기합니다. 시스템은 이러한 패킷을 재조립하는 데 많은 시간과 리소스를 소비하게 되며, 이로 인해 시스템 속도가 느려지거나 충돌이 발생하고 추가 악용을 위한 공격 표면이 증가합니다.
IP 단편화 공격에는 여러 가지 형태가 있지만 가장 주된 유형은 수신자가 재 조립 불가능한 데이터그램을 보내는 것입니다. 본 공격의 목적은 침범된 서버의 자원을 최대 하게 남용하고, 서버의 전형적인 작업을 수행하지 못하게 만드는 것입니다.
IP Fragmentation 공격은 왜 발생하나요?
단편화 조각화 프로세스는 다양한 이유로 해커들이 악용하기에 매우 좋습니다. 해커들은 IP 단편화 공격을 통해 보통 다음과 같은 목적을 추구합니다:
- 데이터 재조립 방해. 공격자는 정상적인 조각화 프로세스를 방해하고 패킷 재조립 속도를 늦춤으로써 시스템 운영을 방해합니다.
- 방화벽 우회. 공격자는 IP 조각화를 사용하여 방화벽을 통해 악성 데이터를 몰래 숨깁니다. 조각화된 패킷은 보안 경고를 트리거할 가능성이 낮아 멀웨어가 네트워크에 침입할 수 있습니다.
- 무선 네트워크 악용. 무선 네트워크는 개방형 전송 방식으로 인해 IP 조각화 공격에 취약합니다. 공격자는 이러한 취약점을 악용하여 무선 통신을 방해하거나 무단 액세스를 얻습니다.
- 시스템 리소스 소모. 네트워크가 조각화된 데이터의 홍수를 처리하려면 상당한 처리 능력과 메모리가 필요합니다. 이로 인해 서비스가 완전히 중단될 수 있습니다.
IP 단편화 공격의 유형
가장 널리 발생하는 IP 단편화 공격 세 가지는 다음과 같습니다:
1. 소형 단편화 공격
모든 IP 패킷은 헤더와 페이로드 두가지 특징으로 구성됩니다. 헤더는 패킷이 목적지로 향하는 정보를 담고 있지만, 페이로드(payload)는 패킷을 전달하는 실제 데이터 자체를 의미합니다. 소형 단편화 공격은 소형의 패킷 조각이 서버에 들어갈 때 발생합니다. 자세히 말하면 소형 조각이 너무 작아서 자신의 헤더조차도 맞출 수 없을 때 문제가 발생합니다. 이렇게 되면 해당 패킷에 헤더의 일부가 새로운 조각이 되어서 전송하게 됩니다. 이로 인한 여러 재 조립 문제가 발생할 가능성도 있고 서버가 종료될 수 도 있습니다.
2. UDP(Used Datagram Protocol)와 ICMP(Internet Control Message Protocol) 단편화 공격
UDP 공격 혹은 ICMP 공격이 발생하는 경우에는 서버가 거부 해야만 하는 특대형크기의 패킷이나 불량한 패킷을 쇄도하게 됩니다. 이로 인해 서버의 서버의 자원을 빠르게 남용되고, 서버의 전형적인 작업을 수행하기 어렵게 만듭니다.
3. TCP(Transmission Control Protocol) 단편화 공격 (티어드롭 공격)
눈물방울이란 의미를 가진 티어드롭 공격은 전송 시 재조립이 불가능하도록 설계된 패킷을 사용합니다. TCP 프로토콜을 악용해 실행도비니다. 일반적으로 조각 모음 또는 보안 시스템을 겨냥하며, 적절한 보호 장치가 없으면 이러한 패킷을 처리할 수 없어 운영 체제가 멈추거나 충돌이 발생할 수 있습니다. 이러한 패킷이 제대로 보호되지 않으면 운영 체제가 중지되거나 손상되어서 처리가 불가능하게 됩니다.
그 외에도 공격자가 지나치게 큰 조각을 설정하여 시스템을 다운시킬 때 발생하는 봉크(Bonk) 공격이 있습니다. 봉크 공격은 일반적으로 이전 Windows 버전을 대상으로 합니다.
또한 프래그라우터라는 도구를 사용하여 데이터 패킷을 조각화하고 침입 탐지 시스템(IDS)을 우회하여 IDS가 악의적인 활동을 탐지하기 어렵게 만드는 수법도 있습니다.
IP 단편화 공격으로부터 스스로를 보호하는 방법
아래와 같은 방법을 조합하여 IP 조각화 공격의 위험을 최소화할 수 있습니다:
- 네트워크 검사. 라우터, 보안 프록시 서버, 방화벽 또는 침입 탐지 시스템을 사용하여 들어오는 패킷을 검사합니다. IP 트래픽 패턴을 분석하여 이상 징후를 확인합니다.
- 소프트웨어를 업데이트하세요. 방화벽, IPS와 같은 OS 및 보안 소프트웨어가 최신 상태인지, 모든 최신 보안 패치가 설치되어 있는지 확인하세요.
- 패킷 조각화를 관리하세요. 조각화된 IP 패킷을 전송하는 사람과의 연결을 차단하여 조각화된 패킷을 차단할 수 있습니다. 그러나 일부 정상 연결(예: 모바일 디바이스)은 조각화된 패킷을 사용하므로 이를 비활성화하면 트래픽에 장애가 발생할 수 있습니다.
- IDS 구현. IP 조각화 공격의 징후를 인식하고 침입에 대해 경고하도록 IDS를 구성하세요.
- 평판이 좋은 VPN을 사용하세요. VPN은 온라인 트래픽을 암호화하여 보안 계층을 추가합니다. 온라인 활동을 비공개로 유지하고 IP 조각화 공격이 발생할 경우 데이터 무결성을 보장합니다.
- 불명한 발신자 보내는 단편화된 IP 패킷을 차단하세요. 하지만 무해한 연결을 사용하는 장치 (예: 모바일 장치) 중에서도 단편화된 패킷을 사용하는 경우가 있기 때문에, 이러한 기능과 설정을 해제시키면 트래픽이 중단될 수 있습니다.