본문으로 바로가기

[정보 보안] DoS 공격 - Ping of Death, SYN Flooding, Teardrop, Land, Smurf

category Security/네트워크 보안 2025. 9. 19. 17:22
728x90

 

2025.04.21 - [전공수업/정보보안] - [정보보안] 네트워크 보안 (1) - DoS, DDoS, DRDoS, APT 공격

 

[정보보안] 네트워크 보안 (1) - DoS, DDoS, DRDoS, APT 공격

* 서비스 거부(DoS) 공격- 특정한 시스템이나 네트워크, 웹 서비스에 사용자가 접근하지 못하도록 방해하는 것- 다량의 트래픽을 통해 특정대상에 과부하를 주거나, 악의적인 요청을 지속적으로

djjin02.tistory.com

 

이번 실습에서는 4-1 정보보안 수업에서 이론적으로만 다루었던 공격 기법들을 실제 실습 환경에서 직접 재현해 보았다. 위에는 이론 정리 글을 첨부하였으며, 각 공격이 실제 네트워크 상에서 어떻게 동작하는지를 tcpdump와 netstat 등을 통해 확인하였다.

 

 

실습한 DoS 공격 기법은 다음과 같다. (자세한 이론 설명은 위에 첨부함)

  • Ping of Death
    • 비정상적으로 큰 ICMP 패킷을 전송하여 시스템 자원을 마비시키는 공격
  • SYN Flood
    • TCP 3-way handshake 연결을 미완성 상태로 남겨 서버의 세션 자원을 고갈시키는 공격
  • Teardrop
    • IP 단편화(Fragmentation) 처리 과정에서 잘못된 Offset 값을 이용해 시스템 오류를 유발하는 공격
  • Land
    • 출발지와 목적지 IP를 동일하게 설정해 서버가 자기 자신에게 응답하게 만들어 CPU/메모리를 소모시키는 공격
  • Smurf
    • 브로드캐스트 주소를 활용하여 대량의 ICMP 응답을 피해자에게 집중시키는 증폭 공격

 

실습 환경

  • 공격자: Kali Linux 
  • 피해자: Windows Server

 

1. Ping of Death 공격

 

hping3 --icmp --rand-source 192.168.111.71 -d 65000

  • --icmp : ICMP Echo Request 패킷 전송
  • --rand-source : 출발지 IP를 무작위로 위조
  • -d 65000 : 데이터 크기를 65,000바이트로 설정 (정상 크기를 초과)

 

 

tcpdump로 패킷 캡처 결과

  • 네트워크 인터페이스에서 ICMP 패킷이 실제로 들어오는지 확인
  • 결과: 공격 패킷이 정상적으로 캡처됨

 

 

hping3 출력 확인

  • ICMP 패킷이 계속 전송되고, 서버로부터 응답(RTT 값)이 돌아옴
  • 이는 공격 패킷이 성공적으로 도달했음을 의미

 

2. SYN Flooding 공격

 

hping3 --rand-source 192.168.111.71 -p 80 -S

  • --rand-source : 출발지 IP를 랜덤으로 위조
  • -p 80 : 대상 서버의 80번 포트(HTTP)를 공격
  • -S : TCP SYN 플래그를 세트 → SYN Flooding 공격 패킷

즉, 웹 서버(192.168.111.71)의 HTTP 서비스에 대해 무작위 출발지 IP로 대량의 TCP SYN 패킷을 전송하는 것이다.

 

 

 

tcpdump 실행 결과,

실제로 192.168.111.71 서버로 SYN 요청이 들어오는 걸 확인할 수 있다.

 

 

 

피해자 윈도우 서버에서 netstat -an 결과,

다수의 연결이 SYN_RECEIVED 상태로 쌓여 있는 것을 확인할 수 있다.

 

 

3. Teardrop 공격

 

hping3 -a 200.200.200.200 192.168.111.71 --id 3200 --seqnum -p 21 -d 320 --flood

  • -a 200.200.200.200 : 출발지 IP를 위조
  • --id 3200, --seqnum : 비정상적인 ID/시퀀스 번호 설정
  • -p 21 : FTP 포트 공격
  • -d 320 : 320바이트 페이로드 생성
  • --flood : 대량 전송

즉, 의도적으로 조각난 비정상 패킷을 서버로 폭주시키는 공격이다.

 

 

 

tcpdump 실행 결과

  • tcpdump에서 FTP 관련 패킷들이 연속적으로 캡처됨
  • 정상적인 연결 패턴이 아닌 잘못된 조각들이 서버로 유입

 

4. Land 공격

 

hping3 192.168.111.71 -a 192.168.111.71 --icmp --flood

  • -a 192.168.111.71 : 출발지=목적지 IP 동일 설정
  • --icmp --flood : 무한히 ICMP 패킷 전송

 

 

tcpdump 결과,

출발지와 목적지가 모두 192.168.111.71인 ICMP 요청이 다수 발생한 것을 확인할 수 있다.

 

 

5. Smurf 공격

 

hping3 192.168.111.66 -a 192.168.111.71 --icmp --flood

  • -a 192.168.111.71 : 출발지 IP를 피해자로 위조
  • 192.168.111.66 : 브로드캐스트 주소로 ICMP 패킷 발송
  • 네트워크 내 다른 호스트들이 모두 192.168.111.71(피해자)에게 응답

 

 

tcpdump 실행 결과

  • tcpdump에서 192.168.111.71 → 192.168.111.66 ICMP 요청 다수 확인
  • 실제로는 피해자에게 다수의 Echo Reply가 쏟아지게 됨
  • 네트워크 트래픽 증폭으로 인해 서비스 거부 공격 발생

 

끝..

 

 

728x90
LIST

'Security > 네트워크 보안' 카테고리의 다른 글

Cisco ASA Firewall (1) - PNET에서 Cisco ASA 초기 설정 및 ASDM 접속 실습  (0) 2025.09.24
[정보 보안] 터널링, VPN  (0) 2025.09.23
[정보 보안] DNS 스푸핑  (0) 2025.09.19
[정보 보안] ARP Redirect(ARP 스푸핑)  (0) 2025.09.18
[정보 보안] Switch Jamming(MAC Flooding Attack)  (0) 2025.09.18
댓글 , 엮인글
우리는 우리가 생각하는 것이 됩니다
블로그 이미지 KIMJOORI 님의 블로그
MENU
CATEGORY
VISITOR 오늘 / 전체

티스토리툴바