스머프 공격

스머프 공격(Smurf attack) 또는 스머핑은 희생자의 스푸핑된 원본 IP를 가진 수많은 인터넷 제어 메시지 프로토콜(ICMP) 패킷들이 IP 브로드캐스트 주소를 사용하여 컴퓨터 네트워크로 브로드캐스트하는 분산 서비스 거부 공격이다. 네트워크의 대부분의 장치들은 기본적으로 원본 IP 주소에 응답을 보냄으로써 이에 응답한다. 이 패킷에 응답하고 패킷을 수신하는 네트워크의 기계 수가 매우 많다면 희생자의 컴퓨터는 트래픽으로 넘쳐나게 된다. 이로 인해 희생자의 컴퓨터는 동작이 불가능해질 정도로 느려지게 될 수 있다.

 

공격 원리

• 여러 호스트가 특정 대상에게 다량의 ICMP Echo Reply 를 보내게 하여 서비스거부(DoS)를 유발시키는 보안공격
• 소스 주소를 공격 대상 호스트로 위조한 ICMP 패킷을 브로드캐스트하면 근처의 호스트가 다량의 Echo Reply를 발생시킨다.
• 공격 대상 호스트는 다량으로 유입되는 패킷으로 인해 서비스 불능 상태에 빠진다.

공격법

• hping3 프로그램을 통해 간단하게 공격 패킷을 전송할 수 있다.

hping 192.168.0.255 -a 10.10.10.5 --icmp --flood

대응

• 라우터에서 다른 네트워크에서 자신의 네트워크로 들어오는 IP브로드캐스트 패킷을 차단한다.
  • 라우터에서 Direct Broadcast를 Disable시킨다.
  • 라우터에서 Ingress Filtering을 이용하여 Spoof된 패킷(중간에 가로채서 변경)을 차단한다.
• 호스트는 IP브로드캐스트로 전송된 ICMP패킷에 대해 응답하지 않게 설정한다.
  • 유닉스

ndd -set /dev/ip ip_forward_directed_broadcasts 0

---

참조:

itwiki.kr/w/%EC%8A%A4%EB%A8%B8%ED%94%84_%EA%B3%B5%EA%B2%A9

스머프 공격 - IT위키

ko.wikipedia.org/wiki/%EC%8A%A4%EB%A8%B8%ED%94%84_%EA%B3%B5%EA%B2%A9

스머프 공격 - 위키백과, 우리 모두의 백과사전