06. ICMP Flooding

ICMP Flooding이란

 

1. 실습 전 환경설정

 

XTM1에 장애를 일으키기 위해 None type으로 바꿨던 eth1을 다시 설정

[네트워크] - [인터페이스 설정]

 

세션 동기화 사용, 정책 동기화 체크 해제

[HA] - [동기화 설정]

 

기존에 설정한 Checker 모두 삭제

 

 

HA 설정 때 사용한 SNAT 정책 삭제 후 나머지 1, 2, 3 순위 정책 활성화

 

/etc/network에서 interfaces파일의 gateway 172.0.0.100 -> 172.0.0.1로 다시 변경
저장 후 $sudo systemctl restart networking

 

---

2. 패킷 모니터링

우측 상단 모니터 탭에서 실시간으로 발생하는 패킷을 모니터링할 수 있음.

이번 실습 공격에 사용할 ICMP 프로토콜을 필터링조건에 걸고, [로그 요청]을 클릭하면

[모니터] - [트래픽] - [패킷 모니터]

 

이전 실습에서 사용한 XTM 2번의 Checker에서 송신하는 ICMP 패킷이 확인되며,

 

원활한 실습을 위해 XTM2에 접속하여 이전 과정과 동일하게 세션 동기화, 정책 동기화, Checker 설정을 해제한다.

이후 다시 로그 요청을 하면 다음과 같이 아무것도 출력되지 않는다.

 

공격 이전에 kisa.co.kr로 ping을 보내보면,

 

패킷의 길이는 84, 모든 요청은 Accept로 전송되고 있다.

 

---

3. ICMP Flooding Attack

다시 돌아와 hping3를 이용하여 대용량 ping을 전송한다.

$ sudo hping3 -1 --flood -d 1450 13.124.137.2

13.124.137.2의 주소로 1450 data + 28 header 크기의 패킷을 전송하는 명령어이다.

 

ping을 전송한 뒤 다시 XTM으로 돌아오면 순식간에 최대 출력개수 10000개를 출력하고 모두 Accept 되고 있다.

---

4. 방어 정책

 

(1) 필터링 정책 생성하기

위에 모니터링되는 패킷 정보를 보면 공격자의 IP 주소가 24.31.211.19인 것을 확인할 수 있고

이를 IP 주소 객체에 추가한 다음 Deny 필터링 정책을 생성한다.

[객체] - [IP 주소] - [IPv4]

 

새로 생성한 정책 순위는 우선순위에 따라 모든 접근을 Accept 하는 마지막 순위보다 한 단계 높게 설정해야 한다.

[필터링] - [IPv4 필터링] - [IPv4 필터링]

 

이후 동일한 hping3 명령어를 수행하면 다음과 같이 공격 패킷이 Drop 되고 있는 것을 확인할 수 있다.

 

Drop 오른쪽의 wjdcor UID를 확인하면 19라는 값이 저장되어 있는데 이는 이전에 추가한 필터링 정책의 넘버이다.

 

 

(2) DOS 차단 기능 사용하기

Traffic Anomaly 기능을 사용하기 위해 (1)에서 사용한 필터링 정책을 삭제하고

다음과 같이 DOS 검사 체크, Action - ckeks, ping packet size limit - 100, 나머지 - 0으로 설정한다.

 

이후 hping3 명령어를 수행하면 (1)과 마찬가지로 packet이 Drop 되고 있는 것을 확인할 수 있다.