패킷캡쳐 후 문의
글쓴이: guerrillalds / 작성시간: 월, 2009/02/09 - 9:55오전
패킷을 wireshark 를 이용해서 캡쳐해 봤습니다. A 와 B 간의 통신이 이루어지는 것 같은데 A --> B 로의 SYN,ACK 패킷과 간간히 A --> B로
ACK 또는 A --- > B FIN,ACK 가 확인 되었습니다. 보안 장비상에 DRDOS Attack 시 확인한 패킷입니다. DRDOS는 SYN,ACK를 이용한
Flooding 이라는 것은 다들 아실텐데요.. 제가 궁금한건 SYN,ACK 를 보내기 위해서는 분명 사전에 SYN 신호를 받았을텐데 아무리 확인해도
없네요.. 간간히 ACK 와 FIN,ACK를 보내는것을 보면 B(스니핑된..) --> A 로도 신호를 보내는것 같은데 말이죠..
첫번째 질문... 스니핑되어 변조된 IP는 패킷 캡쳐상에서 발견되지 않는것인지?
두번째 질문... 패킷이 한방향으로만 흘러도 통신이 가능한 방법이 있는지...
간절히 답변 부탁드립니다... ㅜㅜ
Forums:
DRDOS 라는걸
DRDOS 라는걸 파악하셨다면 저것이 지극히 정상적이라는 것을 아실텐데... ;;;
DRDOS 에서 패킷덤프를 뜨면 SYN 은 발견되지 않습니다.
DRDOS 는 기본적으로 아래와 같은 공격형태를 가지고 있습니다.
A(좀비서버), B(공격대상), C(임의의 정상적인 서버)
해커가 B 서버를 공격하고자 할때 좀비서버인 A 에서 공격대상인 B 의 IP 로 위조된 SYN 패킷을 정상적인 임의의 정상적인 서버인 C 서버로 보내게 됩니다.
이때 C 서버는 정상적인 SYN 패킷을 받았으므로, 3 way handshake 를 하기 위해 SYN+ACK 패킷을 B 서버로 보내게 됩니다.
여기서 B 서버는 C 서버로 받은 패킷이 비정상적인 패킷이므로 DROP 을 하거나 RST 를 보내게 됩니다.
즉, B 서버에는 SYN 패킷은 들어오지 않게 되죠.
위의 과정이 기본적인 DRDOS 의 형태입니다.
중간 중간에 C 서버로부터 ACK 나 FIN+ACK, RST 등의 패킷이 오는것은 OS 나 기타 설정에 따라 일부 다를수가 있습니다.
마지막 두 가지 질문에 대해서 답변드리자면...
첫번째 질문... 스니핑되어 변조된 IP는 패킷 캡쳐상에서 발견되지 않는것인지?
-> 스니핑 되어 변조된 IP 도 패킷캡쳐가 가능합니다. 적절한 옵션을 주었을때는요.
두번째 질문... 패킷이 한방향으로만 흘러도 통신이 가능한 방법이 있는지...
-> 한 방향으로만 흐르면 통신이 불가능하지 않을까요 ^^;;;
답변감사합니다^^
ㅎㅎ 제가 보안장비의 위치를 고려 못했네요. ㅋㅋ 리플라이 서버 쪽 패킷이 잡히는 줄 알았어요
ㅎㅎ 간만에 찾아왔는데 답변이 있어서 반가웠어요^^
댓글 달기