현재 위치

›› Forums ›› 재미 ›› 자유 게시판

[하나더 질문 드림] -.- DOS 및 DDOS 패킷 내용이 일정한가요?(스노트룰관련)

cs010101의 이미지
글쓴이: cs010101 / 작성시간: 수, 2007/04/25 - 9:50오후

마땅한 카테고리가 없어서 또 자유게시판에 질문 드립니다.
다름이 아니고,

DOS 나 DDOS의 감지에 대해서 생각하고 있는데요,
DOS,DDOS 공격시 공격에 이용하는 패킷 내용(데이타영역)이
항상 일정한지, 아니면 계속 변하면서 공격하는지 궁금합니다.

스노트룰에서 DOS와 DDOS에 관한 룰을 보면,
일정한 스트링과 포트를 패턴화해서 패킷에 일치하면
공격으로 판단하던데요,

그렇다면 데이타영역에 특정 문자열이외의 공간은 어떠한 값이 들어가는지,
항상 일정한 쓰레기 값을 무지 많이 보내는 것인지 궁금합니다.

감사합니다!!!

Forums: 
자유 게시판
SoulreaveR의 이미지

글쓴이: SoulreaveR / 작성시간: 수, 2007/04/25 - 10:10오후

공격 source 패턴의 차이가 아닐까 싶네요. (결국에는 packet 내용의 차이네요)

cs010101의 이미지

글쓴이: cs010101 / 작성시간: 수, 2007/04/25 - 10:25오후

trinoo나 tfn2k 등 서비스거부공격툴이 공격을 할 때,

trinoo가 보내는 패킷의 내용(데이타영역)이 같게 복사되어
보내지는 것인지 궁금합니다.

즉, 한가지 툴로 공격하면 그 공격에 사용되는 패킷은 항상
같은 내용(데이타영역에 한해서)으로 공격하는지 궁금합니다.

(물론, trinoo나 tfn2k 각각의 툴이 생성하는 패킷은 서로 다르겠지요)

-----------------------------------------------
어머니,
그 이름만으로도 우리는 풍요로와 집니다.

효도합시다......
-----------------------------------------------

SoulreaveR의 이미지

글쓴이: SoulreaveR / 작성시간: 수, 2007/04/25 - 10:30오후

worm의 경우에는, 물론 worm이 분석되고 나서야 특정 bit pattern으로
걸러내는 방식을 많이 쓰겠지만, DDOS를 걸러내는 system에 아직 분석되지
않은 worm이 DDOS공격으로 간주되고 막힌 사례가 꽤나 보이는군요. 제가
이쪽은 공부안해봐서 확답은 못드리지만 한가지 툴로 공격한다면 데이타 영역은
같지 않을까 생각됩니다.(worm이 self modification code로 이루어져 있지
않은 경우를 생각했을때요)

둘러보기