Transcript UDP 1434 방어 대책

UDP 1434
방어 대책
Network 보안
UDP 1434 공격에 대한 방어 요령
Cisco Systems Korea
최 우 형 ([email protected])
Network 보안과 대책
Cisco Systems Korea
UDP 1434 공격에 대한 발견과 조치 과정
UDP 1434
방어 대책
Network 보안
1.
2.
Internet 외부 구간 PPS 급격히 증가
•
1월 25일 오후 2시경 부터 대학 캠퍼스 중심으로 도움 요청
•
K site 방문 결과 PPS가 초당 320,000 packet 발생
•
외부 인터넷 구간 Load 100%
•
일부 사이트 F/W down 현상 발생
Internet Router 에서 확인 결과 UDP 1434 를 목적지로 404Byte Packet을 대량 발생 시킴
•
3.
4.
Netflow Monitoring 결과 목적지를 UDP 1434 로 집중 공격 확인
Internet Router 에서 해당 UDP port filtering
•
ACL을 통한 Router filtering
•
PPS/Load 정상회복  인터넷 구간 불통 : 국내 ISP 복구 불가 지속
Backbone Switch에서 MLS monitoring을 통해 해당 공격 IP들에 대한 추적 개시
•
해당 PC 점검 결과 SQL-Monitor port 1434 확인 : sqlservr.exe file CPU 완전 점유
•
SQL buffer overflow + 신종 Worm slammer : 일부 보도상에 웜 때문이라고 판명하고
있지만 실제 404byte의 일정한 Packet을 생성시키는 DDoS 공격으로 인한 Down 으로 판단됨
CERTCC-KR 과 연락 취함
5.
상황 종료 : 대부분의 내부 Backbone 도 정상으로 Load 회복 (사고 발생 후 15~30분 안에 대처가능)
Network 보안과 대책
Cisco Systems Korea
UDP 1434
UDP 1434 공격에 특징과 epilogue
방어 대책
Network 보안
1.
2.
3.
CPU의 증가 보다는 Load 증가가 심화
•
DDoS 공격의 특징상 대부분 Network 장비의 CPU 점유의 특징을 띄는 데 반하여, 이번 SQL
monitor port 공격은 Load 점유가 먼저 발생함
•
CPU 점유하기 전에 이미 Load가 먼저 100% 도달 interface down으로 인해 CPU점유시간이
없었다는 데 특징이 있음
•
기존 40byte 이하의 Flow 공격이 아닌 404byte의 비교적 큰 Packet 을 생성 Load를 점유하는 데
중점을 둔 공격
Memory 상주용 Worm으로 발견하기가 어려움
•
원인을 찾기 위해 해당 Relay host 에 문제가 되는 Program을 찾기가 무척 어려움
•
Sqlservr.exe 라는 정상적인 SQL 데몬이 공격을 하는 것 처럼 보임
주말에 발생하여 피해는 적었으나, 조치를 취하는 데 시간이 오래 걸림
•
주말에 발생하여 피해가 그런데로 적었다고 판단이 됨
•
주말에 발생, PC를 on 시켜 놓은 채 퇴근한 직장인, 학생들이 많아서 해당 사무실에 접근하기가
무척어려웠음
Network 보안과 대책
Cisco Systems Korea
UDP 1434
UDP 1434 공격에 특징과 epilogue
방어 대책
Network 보안

향후 대책 및 epilogue
•
사고시 빠른 대처요령

•
•
사고시 적절한 대처요령과 방어에 대한 대책들 등 적절한 절차들에 대한 홍보가 더욱
필요할 듯 여겨짐
장비들에 대한 운영 기술 향상 필요

많은 방화벽과 IDS 들이 결국 DDoS 한번의 공격에 모두 적절한 대응을 하지 못함

주요 Network 장비 (Core Router,Core Switch)에서의 모니터링과 방어 요령 습득 필요

이번 공격에서도 DNS 공격이라는 보도매체에서의 반응은 결국 Network 방어보다는
Server 방어 중심이라는 인식을 가져 올 수 있음
DDoS 공격에 대한 심각성에 대한 공감대 형성 필요

ISP 기관, Server,Network,교육 ,공공기관,기업체 등 전산관리자들에 대한 DDoS 공격의
심각성에 대한 공감대 형성 필요

적절한 교육과 장비 운영등에 대한 향후 지원 방안 모색 필요

www.certcc.or.kr  1월 16일 DDoS 공격 방어 시나리오 문서
www.securitymap.net  network 관리자를 위한 보안 가이드 문서 등 참조
certcc mailing list 적극 참조 필요
Network 보안과 대책
Cisco Systems Korea
UDP 1434
UDP 1434 공격 시나리오
방어 대책
Network 보안
CPU
IF Load
CPU
IF Load
1, MS-SQL 취약 port를 통한 권한 취득
2,권한 취득 후 Slammer 을 통한 DDoS 공격 시작
Destination port 1434(SQL-Monitor port)
3, 해당 경로 Network 장비 CPU/Interface Load 급상승
- Packet 처리속도/CPU Power가 부족한 장비 Down
CPU
CPU
IF Load
Network 보안과 대책
Cisco Systems Korea
IF Load
UDP 1434
UDP 1434 공격 방어 시나리오
방어 대책
Network 보안
CPU
IF Load
CPU
IF Load
Netflow를 통한 점검
- 내부/외부 원인 파악
•Netflow를 통한 Vlan 파악
•MLS entry를 통한 IP 유추
•L2 trafce or CAM table을
통한 해당 Port 추적 및 Uplink
단절
CPU
IF Load
Sniifer를 통한 증거 확보
해당 장비에서 CAM
table을 통한 Port 확인
해당 PC의 사용자 및 OS확인
Process 점유율 확인
원인 Tool 제거
Network 보안과 대책
Cisco Systems Korea
UDP 1434
UDP 1434 공격 감지 – CPU 점검
방어 대책
Network 보안
Router Resource 점검
일반 평균 CPU 보다 갑작스럽게 CPU 증가 (MRTG or NMS를 통해 감시)
A
Router#sh processes cpu
1.
2.
Router 내부의 CPU
점검
Router와 외부구간
또는 내부구간 사용률
점검
b
CPU utilization for five seconds: 99%/6%; one minute: 98%; five minutes: 98%
PID Runtime(ms) Invoked uSecs
1
880
592917
2
36
49
3
5486412
4
0
1
734
0
1Min
5Min TTY Process
0.00% 0.00% 0.00%
0.08% 0.01% 0.00%
426632 12859
1
5Sec
0 Load Meter
2 Virtual Exec
0.00% 0.10% 0.06%
0.00% 0.00% 0.00%
0 Check heaps
0 Chunk Manager
사용 Tool
Cisco IOS command
NMS , MRTG ,RDD
Tip : 갑자기 CPU가 높아진다…????
A=B : Router가 주로 Packet forwarding  Packet 유입이 높다
A>B : Cache 사용률이 극히 적다.  Spoof 된 IP가 많을 가능성….
Network 보안과 대책
Cisco Systems Korea
UDP 1434
UDP 1434 공격 감지 – PPS 점검
방어 대책
Network 보안
Router Resource 점검
일반 평균 PPS 보다 갑작스런 PPS 폭주 (MRTG or NMS를 통해 감시)
Router#sh inter serial 9/0 (sh interface stat  PPS 상태 감시)
1.
2.
Router 내부의 CPU
점검
Router와 외부구간
또는 내부구간 사용률
점검
Serial9/0 is up, line protocol is up
Hardware is cxBus Serial
Description: ### 시스코라우터 ###
Internet address is 100.100.6.1/24
MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec,
reliability 255/255, txload 244/255, rxload 250/255
사용 Tool
Cisco IOS command
NMS , MRTG ,RDD
Tip : 특정 Interface 의 Load가 급작스럽게 높아졌다.
특히 Load 보다는 PPS(초당 Packet발생)을 집중적으로 봐야 합니다.
flooding 공격 등 traffic 유발 가능성이 높은 공격 의심….
Network 보안과 대책
Cisco Systems Korea
UDP 1434
UDP 1434 공격 방어 - Router
방어 대책
Network 보안
Internet Router 에서의 Monitoring과 방어
sh ip cac fl | inc 059A
Fa8/0
203.252.225.220 Null
Fa8/0
211.60.198.51 Null
100.200.13.201 11 0510 059A
Fa8/0
203.234.70.37 Null
100.200.175.105 11 0E0F 059A
1
Fa8/0
210.125.243.69 Null
100.200.165.161 11 100B 059A
1
Router(config)#interface e0 or serial 0
Fa8/0
211.168.174.136 Null
100.200.231.17 11 040D 059A
1
Router(config-if)#ip route-cache flow
Fa8/0
61.41.80.79
Fa8/0
211.60.198.51 Null
100.200.37.148 11 0510 059A
Fa8/0
210.97.134.15 Null
100.200.184.124 11 12C0 059A
Fa8/0
61.37.23.70
Fa8/0
166.104.246.137 Null
Fa8/0
61.37.23.70
Fa8/0
211.181.7.142 Null
100.200.106.188 11 079F 059A
Fa8/0
166.104.224.50 Null
100.200.155.216 11 054D 059A
1
Fa8/0
210.119.174.14 Null
100.200.196.116 11 0E46 059A
1
Fa8/0
203.252.225.220 Null
100.200.51.246 11 0ECB 059A
Fa8/0
210.93.98.17
Null
Null
Null
Null
100.200.71.224 11 0ECB 059A
100.200.55.15 11 0486 059A
1
1.
2.
1
해당 Interface에 Netflow Enable
Monitoring
좌측의 표와 같이 show ip cache flow를 실행
1
3.
1
1
100.200.127.82 11 0481 059A
100.200.11.153 11 0BCE 059A
외부 Interface
1
100.200.103.188 11 0593 059A
100.200.82.23 11 0593 059A
내부 Interface
분석과 점검
•
전문가가 아니더라도 동일한 Port 또는
동일한 address 를 향해 집중적인
공격을 하는 것을 쉽게 볼 수가 있음
•
이 때 주의 할 점은 059A 라고 표현 되는
16진수 표기이다. 이것을 10진수로
변환해 보면 이번 공격에 사용된 1434
port 이며 11 이라고 표현된 것도
10진수로 변환해 보면 UDP라는 것을
쉽게 알 수가 있다.
1
1
1
1
1
Network 보안과 대책
Cisco Systems Korea
UDP 1434
UDP 1434 공격 방어 - Router
방어 대책
Network 보안
Internet Router 에서의 Monitoring과 방어
목적지 주소 : any 목적지 port : udp 1434
sh ip cac fl | inc 059A
Fa8/0
203.252.225.220 Null
Fa8/0
211.60.198.51 Null
100.200.13.201 11 0510 059A
Fa8/0
203.234.70.37 Null
100.200.175.105 11 0E0F 059A
1
Fa8/0
210.125.243.69 Null
100.200.165.161 11 100B 059A
1
Fa8/0
211.168.174.136 Null
100.200.231.17 11 040D 059A
1
Fa8/0
61.41.80.79
Fa8/0
211.60.198.51 Null
100.200.37.148 11 0510 059A
Fa8/0
210.97.134.15 Null
100.200.184.124 11 12C0 059A
Fa8/0
61.37.23.70
Fa8/0
166.104.246.137 Null
Fa8/0
61.37.23.70
Fa8/0
211.181.7.142 Null
100.200.106.188 11 079F 059A
Fa8/0
166.104.224.50 Null
100.200.155.216 11 054D 059A
1
Fa8/0
210.119.174.14 Null
100.200.196.116 11 0E46 059A
1
Fa8/0
203.252.225.220 Null
100.200.51.246 11 0ECB 059A
Fa8/0
210.93.98.17
Null
Null
Null
Null
100.200.71.224 11 0ECB 059A
100.200.55.15 11 0486 059A
1
1
1
외부 Interface
방어 시나리오
•
목적지가 UDP 1434 port를 향해
집중적으로 이뤄지고 있다는 것을
파악
•
UPD 1434 filtering
1
Router(config)#access-list 100 deny udp
1
100.200.127.82 11 0481 059A
100.200.11.153 11 0BCE 059A
4.
1
100.200.103.188 11 0593 059A
100.200.82.23 11 0593 059A
내부 Interface
1
any any eq 1434
access-list 100 permit ip any any
1
Router(config-if)#ip access-group 100 out
1
1
Router#sh ip access-lists
deny udp any any eq 1434 (62457 matches)
permit ip any any (46932263 matches)
1
Network 보안과 대책
Cisco Systems Korea
UDP 1434
UDP 1434 공격 방어 – Catalyst Switch
방어 대책
Network 보안
sh mls statistics entry ip
Cisco Catalyst Switch에서 MLS를 보기 위한 방법
Last
Destination IP Source IP
Switch 에서 Monitoring 하는 것은 Router에서 보다 더욱 더
Used
Prot DstPrt SrcPrt Stat-Pkts Stat-Bytes
중요 할 수 있다.
---------------- --------------- ----- ------ ------ ---------- ---------------
내부 원인 제공자를 추적하는 데 가장 핵심적인 역할을
156.57.119.214 100.200.99.102 UDP 1434 20807 1
하기 때문에 반드시 장비제조사 또는 장비설치사로 부터
42.31.129.162 100.200.62.20 UDP 1434 3916 1
8.27.153.92
100.200.59.96 UDP 1434 5506 1
18.82.158.174 100.200.99.245 UDP 1434 1860 1
404
404
404
방법을 통보 받아야 한다.
1.
•
404
145.178.189.122 100.200.16.221 UDP 1434 2369 1
404
156.210.83.230 100.200.151.242 UDP 1434 1780 1
404
150.119.213.91 100.200.62.192 UDP 1434 1935 1
404
141.182.2.224 100.200.82.138 UDP 1434 2965 1
404
110.204.13.7
100.200.151.242 UDP 1434 1780 1
404
78.16.88.23
100.200.99.102 UDP 1434 20807 1
404
143.63.74.197 100.200.151.242 UDP 1434 1780 1
404
147.188.97.125 100.200.80.27 UDP 1434 1407 1
404
111.218.12.203 100.200.67.19 UDP 1434 50254 1
404
MLS flow status enable
2.
Set mls flow full  명령어 한 줄로 간단히
모니터링 가능
Monitoring
•
Show mls statistics entry ip
•
좌측 결과에서 처럼 라우터에서 보다도 훨씬
자세하고 보기 쉽게 표현이 되며 Layer
2에서의 움직임 까지 파악이 되므로 추적하는
데 상당히 강력한 Tool로써 제공이 된다.
•
이번 SQL 공격의 특징을 여기서 볼 수 있는데
특이하게도 40Byte이하의 공격이 아닌 404
byte의 커다란 Packet 공격인 것을 볼 수 있다.
Network 보안과 대책
Cisco Systems Korea
UDP 1434 공격 방어 – Catalyst Switch
UDP 1434
방어 대책
Network 보안
Switch 에서의 방어 요령
1.
라우터에서 처럼 ACL을 통한 방어 가능
라우터 ACL 방어 요령 참조
2.
Switch에서 해당 IP Address 의 MAC Filtering
해당 IP address의 MAC 알아 내기
도스 창에서 nbtstat –A ipaddress 또는 기타 툴들을 이용하여 MAC을 알아낸다.
해당 MAC filtering
Switch(enable)#set cam static filter macadd
연결된 물리적 port 알아내기
Show cam macaddress vlan #
해당 연결된 port를 알아 낼 수 있음
또는 cisco Switch의 l2trace 00-00-e8-34- 00-01-e6-27- detail 를 통해 Layer 3 trace가 아닌 Layer 2 trace를
통해 쉽게 Port를 추적가능하다.
해당 MAC,IP,물리적 연결 Port를 알아낸 뒤에는 반드시 해당 PC를 확인하여 ctrl+ALT+del key를 누른 뒤
taskmanager를 통해 현재 해당 PC에서 가장 많은 Process를 사용하고 있는 Program이 무엇인지를 확인
Process를 정지 시킨 후 해당 파일을 복사하여, 백신업체 또는 CERTCC, 전문기관등에 의뢰하여 원인을
파악하는 것이 중요하다.
이번 SQL monitor port 1434 의 공격에서는 Process 사용율이 sqlservr.exe가 90% 이상 점유하고 있었으며, 이
프로그램은 정상적 프로그램이어서 Worm을 확인하기가 무척 어려웠음
Network 보안과 대책
Cisco Systems Korea
UDP 1434
UDP 1434 공격 방어 후 ……
방어 대책
Network 보안
Destination IP Source IP
Prot DstPrt SrcPrt Stat-Pkts Stat-Bytes
Network 장비에서 조치 후 증상
---------------- --------------- ----- ------ ------ ---------- --------------4.218.3.82
100.200.151.242 UDP 1434 1780 0
0
144.88.136.206 100.200.82.145 UDP 1434 1239 0
0
97.163.190.229 100.200.99.90 UDP 1434 2488 0
0
45.138.70.26
100.200.92.171 UDP 1434 3242 0
0
112.82.47.202 100.200.80.207 UDP 1434 2872 0
0
88.12.233.225 100.200.99.245 UDP 1434 1860 0
0
32.210.69.94
100.200.82.145 UDP 1434 1239 0
0
21.108.83.6
100.200.151.242 UDP 1434 1780 0
0
26.86.120.54
100.200.62.20 UDP 1434 3916 0
0
100.200.80.207 UDP 1434 2872 0
100.200.67.19 UDP 1434 50254 0
138.9.4.219
100.200.62.20 UDP 1434 3916 0
169.116.29.24 100.200.11.23 UDP 1434 3372 0
Filtering 이전에 404byte로 계속해서 발생시키던 Flow가
0byte로 나타난 것을 볼 수 있다.
하지만 궁극적으로 원인을 해결하기 위해서는 원인을
발생시키는 PC에서 Process 정지 및 보안 Patch, 백신
조치가 반드시 뒤따라야 할 것이다.
0
0
153.179.249.96 100.200.151.242 UDP 1434 1780 0
46.77.22.107
후 나타난 증상이다.
프로그램을 통한 점검과 전문기관에 의뢰하는 등의
157.85.139.144 100.200.92.171 UDP 1434 3242 0
72.116.74.61
좌측 내용은 Router와 Core Switch에서 해당 Port filtering
0
0
0
0
Network 보안과 대책
Cisco Systems Korea
UDP 1434
UDP 1434 공격 사전 방어
방어 대책
Network 보안

QoS : Rate Limit 기능을 통한 방어 요령
access-list 150 remark CAR-UDP ACL
access-list 150 permit udp any any  UDP 폭풍 공격 방어
access-list 160 remark CAR-ICMP ACL
access-list 160 permit icmp any any echo  ICMP 공격 방어
access-list 160 permit icmp any any echo-reply
access-list 170 permit tcp any any sync  TCP sync 공격 방어
Interface ethernet 1/0
rate-limit input access-group 150 2000000 250000 250000 conform-action transmit exceed-action drop
UDP flooding이 2M이상 이면 drop
rate-limit input access-group 160 256000 8000 8000 conform-action transmit exceed-action drop
 ping packet이 256k 이상이면 drop
rate-limit input access-group 170 64000 8000 8000  실제 application or 속도에 따라 Tunning
conform-action transmit exceed-action drop
 sync 가 64K 이상이면 drop
여기에서 수치 계산에 대한 문의가 많은 데 Cisco 에서는 다음과 같이 권장
…. access-group 160 256000 8000(256000/8*1.5) 8000(256000/8*2.0) : Site 특성상 값은 조금씩 달라 질 수 있음
Network 보안과 대책
Cisco Systems Korea
UDP 1434
방어 대책
Network 보안
 참조 Site
www.certcc.or.kr
Mailing list
기술문서 : 트래픽 분석을 통한 서비스거부공격 추적
www.securitymap.net
문서 : 네트워크 관리자를 위한 보안가이드 v 1.0 (본 요약 문서 Full version)
 SQL 취약점 관련 URL
•Buffer Overruns in SQL Server 2000 Resolution Service Could Enable Code
Execution (Q323875)
•Microsoft SQL Server 2000 Resolution Service Heap Overflow Vulnerability
본 문서 내용 중 문의 사항 [email protected]
Network 보안과 대책
Cisco Systems Korea