[논문]ICMP 공격 방지를 위한 outbound traffic controller의 설계 및 구현

유권정; 김은기

doi:10.6109/jkiice.2017.21.3.549

ICMP 공격 방지를 위한 outbound traffic controller의 설계 및 구현
Design and implementation of outbound traffic controller for the prevention of ICMP attacks 원문보기

한국정보통신학회논문지 = Journal of the Korea Institute of Information and Communication Engineering, v.21 no.3, 2017년, pp.549 - 557

유권정 (Department of Information and Communication Engineering, Hanbat National University) , 김은기 (Department of Information and Communication Engineering, Hanbat National University)

초록
AI-Helper

ICMP(Internet Control Message Protocol)는 TCP/IP 프로토콜 스택 중의 주요 프로토콜로, 오류 보고 기능을 지원하지 않는 IP의 단점을 보완하는 프로토콜이다. 데이터 전송 과정에서 문제가 발생하면 라우터 또는 수신 호스트는 오류 원인을 포함한 ICMP 메시지를 송신 호스트에게 전송한다. 하지만 이러한 과정에서 공격자가 위조된 ICMP 메시지를 호스트들에게 전송함으로써 호스트 간 통신을 비정상적으로 종료시킬 수 있다. 또는 대량의 메시지를 빠른 속도로 피해자 호스트에게 전송하여 피해자 호스트의 시스템을 마비시키기도 한다. 이러한 문제점을 해결하기 위해 본 논문에서는 여러 유형의 ICMP 공격들을 방지할 수 있는 아웃바운드 트래픽 컨트롤러(outbound traffic controller)를 설계 및 구현하였다. 각 경우에 따라 다른 방법으로 공격 메시지의 전송을 방지함으로서 다양한 네트워크 공격을 예방 할 수 있다. 또한 불필요한 네트워크 트래픽의 발생을 방지 할 수 있다.

Abstract ▼ AI-Helper

ICMP(Internet Control Message Protocol) is a main protocol in TCP/IP protocol stack. ICMP compensates the disadvantages of the IP that does not support error reporting. If any transmission problem occurred, a router or receiving host sends ICMP message containing the error cause to sending host. However, in this process, an attacker sends a fake ICMP messages to the host so that the communication can be terminated abnormally. An attacker host can paralyzes system of victim host by sending a large number of messages to the victim host at a high rate of speed. To solve this problem, we have designed and implemented outbound traffic controller that prevents various ICMP attacks. By preventing the transmission of attack messages in different ways according to each case, various network attacks can be prevented. In addition, unnecessary network traffic can be filtered before transmitted.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

이 유형의 공격은 공격자 호스트가 실질적인 공격을 수행하기 전에 피해자 호스트에 대한 정보를 획득하기 위한 과정으로, 기본적으로 포트 스캔 방식을 사용한다 [7,9]. 따라서 별다른 피해를 끼치지 않으며 사전 정보 획득을 목적으로 한다. 그리고 수집된 정보를 가지고 DDoS 공격과 같은 실질적인 공격을 수행한다.
본 논문에서는 ICMP 메시지를 이용한 land 공격, smurf 공격, ping of death 공격, ping flood 공격, blind connection-reset 공격을 방지할 수 있는 방안을 제시한다. 이를 위해 아웃바운드 트래픽 컨트롤러는 리눅스 커널 소스 코드를 수정하여 구현되었다.
본 논문에서는 ICMP를 이용한 네트워크 공격을 방지하기 위해 다양한 공격용 ICMP 메시지가 네트워크로 전송되지 않게 하는 아웃바운드 트래픽 컨트롤러 (outbound traffic controller)를 제안하였다.
공격으로 판단하고 전송 지연 시간만큼 echo request 메시지의 전송을 제한한다. 본 논문에서는 사용자가 유저 영역에서 전송 지연 시간과 최대 전송 개수를 본인이 원하는 값으로 설정 할 수 있도록 하였다.

제안 방법

Smurf 공격을 수행하기 위해서 목적지 IP 주소를 broadcast로 설정하고 출발지 IP 주소를 피해자 호스트의 IP 주소로 설정하여 전송한다. 그 결과, 그림 4와 같이 피해자 호스트가 echo request 메시지를 broadcast로 전송하고 다른 호스트들로부터 echo reply 메시지를 수신한 모습을 볼 수 있다.
Sweep 공격을 수행하기 위해 echo request 메시지의 목적지 IP 주소를 broadcast로 설정하여 전송한다. 그결과, 그림 9와 같이 망 내의 호스트들로부터 응답이 수신되는 것을 볼 수 있다.
공격자 호스트인 pc와 피해자 호스트인 pc는 허브를 통해 유선으로 연결되어 있으며, 둘 다 기존 커널을 사용하는 환경에서 ICMP 공격을 수행하였다. 본 논문에서 공격자 호스트의 IP 주소는 (x.
아웃바운드 트래픽 컨트롤러의 동작을 검증하기 위해 와이어샤크(wireshark) 프로그램을 이용하여 전송되는 공격용 패킷을 캡처하였다. 그리고 ICMP 공격을 수행하기 위해 hping2 해킹 툴을 이용하였다.
두 값을 확인하기 위해 전송되는 패킷의 정보를 담고 있는 sk_buff 구조체와 라우팅 정보를 담고 있는 rtable의 출발지 IP 주소를 비교한다.
Land 공격의 경우, 전송되는 echo request 메시지의 출발지 IP 주소와 목적지 IP 주소가 동일하다. 두 값의 동일 여부를 확인하기 위해 sk_buff 구조체의 출발지 IP 주소와 목적지 IP 주소를 비교한다. 두 값이 동일한 경우, 루프백(loopback) 여부를 확인하기 위해 sk_buff 구조체의 출발지 IP 주소와 rtable 구조체의 출발지 IP 주소를 비교한다.
두 값의 동일 여부를 확인하기 위해 sk_buff 구조체의 출발지 IP 주소와 목적지 IP 주소를 비교한다. 두 값이 동일한 경우, 루프백(loopback) 여부를 확인하기 위해 sk_buff 구조체의 출발지 IP 주소와 rtable 구조체의 출발지 IP 주소를 비교한다. 동일하지 않을 경우, 해당 메시지의 출발지 IP 주소는 위조되었음을 의미한다.
Sweep 공격의 경우, 망 내의 전체 호스트들에게 echo request 메시지를 전송하기 위해 패킷의 목적지 IP주소를 broadcast로 설정한다. 따라서 본 논문에서는 전송되는 echo request 메시지의 목적지 IP 주소가broadcast인 경우에 해당 패킷을 폐기한다.
Ping flood 공격의 요점은 빠른 속도로 패킷을 전송한다는 것이다. 때문에 본 논문에서는 1초 동안 echo request 메시지가 최대 전송 값만큼 전송되면 ping flood
공격으로 판단하고 전송 지연 시간만큼 echo request 메시지의 전송을 제한한다. 본 논문에서는 사용자가 유저 영역에서 전송 지연 시간과 최대 전송 개수를 본인이 원하는 값으로 설정 할 수 있도록 하였다.
때문에 본 논문에서는 해당 메시지가 정상적으로 수신한 패킷에 대해 발생한 것임을 확인하기 위해 sk_buff 구조체에 수신 플래그인 ‘incoming flag’를 추가하였으며, 초기 값은 0이다.
107로 설정하였다. 또한 공격 유형을 확인하기 위해 공격이 감지되면 유저 영역에서 해당 공격 이름 또는 공격 유형이 출력되도록 하였다. 그림 14-17은 각 공격 명령어와 공격이 수행된 모습이다.
본 논문에서는 송수신되는 패킷의 IP 주소에 대한 진위 여부를 확인하기 위해 sk_buff 구조체와 rtable 구조체를 이용한다.
아웃바운드 트래픽 컨트롤러의 동작을 검증하기 위해 와이어샤크(wireshark) 프로그램을 이용하여 전송되는 공격용 패킷을 캡처하였다. 그리고 ICMP 공격을 수행하기 위해 hping2 해킹 툴을 이용하였다.
일반적으로 인터넷에서 많이 쓰이는 이더넷의 MTU로는 1500 byte 이며[14], 본 논문에서는 echo request 메시지의 데이터 크기가 1500 byte보다 클 경우는 없을 것으로 판단하 였다. 이러한 이유로 본 논문에서는 전송되는 echo request 메시지의 데이터 크기가 1500 byte를 초과하면 ping of death 공격으로 판단하고 해당 패킷을 폐기한다. Sweep 공격의 경우, 망 내의 전체 호스트들에게 echo request 메시지를 전송하기 위해 패킷의 목적지 IP주소를 broadcast로 설정한다.
본 논문에서는 ICMP 메시지를 이용한 land 공격, smurf 공격, ping of death 공격, ping flood 공격, blind connection-reset 공격을 방지할 수 있는 방안을 제시한다. 이를 위해 아웃바운드 트래픽 컨트롤러는 리눅스 커널 소스 코드를 수정하여 구현되었다. 그리고 구현된 아웃바운드 트래픽 컨트롤러를 실제 임베디드 보드에 포팅 하여 테스트함으로써 ICMP 공격을 예방 할 수 있고 불필요한 트래픽이 발생되지 않는 것을 확인하였다.
이러한 이유로 기존의 많은 운영체제들이 ICMP 메시지의 수신을 거부함으로써 공격을 방어한다[1,3]. 이와 달리 본 논문에서 제안하는 아웃바운드 트래픽 컨트롤러는 전송 측에서 ICMP 공격용 패킷의 전송을 차단함으로써 ICMP 공격을 원천적으로 불가능하게 한다. 결과적으로 다양한 ICMP 공격과 네트워크 내에 발생할 수 있는 불필요한 트래픽을 방지 할 수 있다.

대상 데이터

공격자 호스트인 임베디드 보드와 피해자 호스트인 pc는 허브를 통해 유선 랜으로 연결되어 있으며, 구현한 아웃바운드 트래픽 컨트롤러는 임베디드 보드에 포팅 하였다. 임베디드 보드는 falinux의 EZ-S3C6410 (ARM S3C6410 chip, 128 MB RAM)을 사용하였다. 다음 그림 13은 아웃바운드 트래픽 컨트롤러의 동작을 검증하기 위한 실험 환경 사진이다.

성능/효과

이와 달리 본 논문에서 제안하는 아웃바운드 트래픽 컨트롤러는 전송 측에서 ICMP 공격용 패킷의 전송을 차단함으로써 ICMP 공격을 원천적으로 불가능하게 한다. 결과적으로 다양한 ICMP 공격과 네트워크 내에 발생할 수 있는 불필요한 트래픽을 방지 할 수 있다.
그림 19를 보면 1초 동안에 95개의 echo request 메시지가 전송됐음을 알 수 있다. 그 결과 echo request 메시지의 전송을 제한하는 타이머가 동작 됐고, 5초 뒤 타이머가 해제됐음을 알 수 있다.
이를 위해 아웃바운드 트래픽 컨트롤러는 리눅스 커널 소스 코드를 수정하여 구현되었다. 그리고 구현된 아웃바운드 트래픽 컨트롤러를 실제 임베디드 보드에 포팅 하여 테스트함으로써 ICMP 공격을 예방 할 수 있고 불필요한 트래픽이 발생되지 않는 것을 확인하였다.
일반적으로, 수신되는 메시지를 차단하거나 거부함 으로써 공격을 방어하는 방법과는 다르게 본 논문에서 제안하는 아웃바운드 트래픽 컨트롤러는 공격 메시지가 전송되는 것을 방지함으로써 네트워크상의 불필요한 트래픽이 발생되는 것을 방지 할 수 있다. 따라서 다양한 유형의 ICMP 공격을 방지하는 것은 물론 호스트가 DDOS 공격에 노출되어도 좀비 pc가 되는 것을 예방할 수 있을 것으로 예상된다.

후속연구

추후에는 본 논문의 아웃바운드 트래픽 컨트롤러를 이용하여 더욱 다양한 네트워크 공격을 방지하는 할 수있는지에 대한 연구를 수행할 예정이다.

질의응답

핵심어	질문	논문에서 추출한 답변
	ICMP 메시지는 어떻게 구성되는가?	ICMP 메시지는 오류 보고 메시지와 질의 메시지로 나뉜다. 오류 보고 메시지는 라우터 또는 호스트가 통신 중에 문제가 발생 했을 때 사용된다.
	Blind connection-reset 공격에서 공격자 호스트가 피해자 호스트에게 전송하는 메세지의 타입은 무엇인가?	Blind connection-reset 공격은 공격자 호스트가 피해자 호스트에게 통신 연결이 불가함을 나타내는 메시지를 전송함으로써 이루어진다. 이때 사용되는 메시지의 타입은 3(Destination unreachable)이고, 코드는 2(Protocol unreachable), 3(Port unreachable), 4(Fragmentation needed and DF bit set)인 것으로 전체 3개가 존재한다. 타입 3(Destination unreachable)은 전송한 메시지가 수신 호스트에게 전달 될 수 없음을 나타낸다.
	ICMP은 무엇인가?	ICMP(Internet Control Message Protocol)는 TCP/IP 프로토콜 스택 중의 주요 프로토콜로, 오류 보고 기능을 지원하지 않는 IP의 단점을 보완하는 프로토콜이다. 데이터 전송 과정에서 문제가 발생하면 라우터 또는 수신 호스트는 오류 원인을 포함한 ICMP 메시지를 송신 호스트에게 전송한다.

참고문헌 (14)

B. A. Forouzan, TCP/IP Protocol Suite, Fourth Edition. New York, NY: McGRAW HILL INTERNATIONAL EDITION, p. 246, 2010.
IETF Std. RFC 1122, Requirements for Internet Hosts - Communication Layers, IETF, R. Braden, October 1989.
D. Yang, Introduction to information security, Seoul, Hanbit Academy. Inc, pp. 102-107, 2008.
IETF Std. RFC 5927, ICMP Attacks against TCP, IETF, F. Gont, July 2010.
K. J. Yoo, E. G. Kim, "A study on the outbound traffic controller for prevention of ICMP attacks," in The 40 th Conference of KIICE, Daejeon, pp. 1-3, 2016.
T. hirokazu, O. iturou, Y. isaku, Linux kernel 2.6 structure and principles, Seoul, Hanbit Media Inc., pp. 460-503, 2007.
M. Tulloch, Microsoft Encyclopedia of Security, Redmond, Microsoft Press Pub., pp. 138-247, 2003.
J. Erickson, Hacking: the art of exploitation, 2nd Edition, Seoul, Acorn Pub, pp. 256-319, 2010.
L. Teo. (2000, December). Network Probes Explained: Understanding Port Scans and Ping Sweeps [Internet]. Available: http://www.linuxjournal.com/article/4234.
S. H. Kim, C. W. Yoon, Hacking and security, Seoul, youngjin.com Pub., pp. 50-251, 2003.
R. A. Grimes, Malicious mobile code, Sebastopol, O'Reilly Media, p. 312, 2001.
R. Rosen, Linux Kernel Networking-Implementation and Theory, Berkley, Apress Pub., 2014.
W. W. Gay, Linux socket programming by example, Indianapolis, Que Pub., pp. 118-120, 2000.
IETF Std. RFC 894, A Standard for the Transmission of IP Datagrams over Ethernet Networks, IETF, Charles Hornig, April 1984.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증