1. DoS ??? ??

1
(No Transcript)
2
1. DoS ??? ??
DoS(Denial of Service) ??? ?? ??? ??? ??? ????.
????? ??? ? ?? ?? ??? ??? ??? ?? ????? ??? ?? ??
????? ???? ??? ??.
DoS ??? ?? ??? ?? ???? ??? ? ??. 1. ?? ?? ????
???, ???? ?? 2. ??? ??? ?? CPU, ???, ???? ???
??? ??? ???? 3. ???? ??? ?? ??? ???? ?????
???? ????
3
2. DoS ??
1. Ping of Death
??? ??? Ping? ???? ICMP ??? ???? ???? ?? ?? ???
???. ???, ?? ???? ??? ????? ?? ???(Routing)?? ??
????? ???? ?? ?? ?? ??(Fragment)? ??. ???? ????
??? ?? ???? ??? ?? ???? ??? ???? Ping? ???? ?? ??
??? ???.
4
Ping of death ??
???? C\gtping -n 100 -l 65500 172.16.0.3
??????? TCPDump
5
2. Syn Flooding
Syn Flooding? ??? ???? ?? ?? ??? ?? ???? ??
?????? ??? ??? ?? ?? ???? ???? ???? ???? ?? ???
?? ???.
6
TCP 3Way ?????
???? 3Way ?????
7
Syn Flooding ?? ? 3Way ?????
8
Syn Flooding ??
??? gcc -o synk synk.c ?? ?? root ./synk 0
172.16.0.3 80 80
9
Syn Flooding ??? TCP Dump
Root tcpdump eth0
10
Syn Flooding ?? ? ???? netstat an ??
Root netstat -an
11
3. Boink, Bonk, Teardrop
?? ?? ????? ????? ???? ???? ?? ??? ??? ??. ????
??? ???? ?? ??? ? ??. 1. ??? ??? ????? 2. ???
??? ??? ???? 3. ??? ??? ??? ?? Boink, Bonk,
TearDrop? ?? ??? ?????? ?? ?? ???? DoS ??? ???
??.
12
Syn Flooding ?? ??
??? ??? ?? ???? Syn Flooding ??? ?? ??? ?? ????
?? ??? ??? ???. ??? ???? ??? ??? ?? ??? ?? ? ??
??? ??. ?? ?????? ???? ??? ??? ????? Syn
Flooding ??? ??? ??? ? ?? ??? ?? ??? ???? ???
?????. ??? ? ?? ??? ????? ???? ??? ?? ???, ?
????? IDS? ???. ????? TCP Dump?? ? ? ??? ? ???
?? ?? ?? ?? ??? ?? ???? ??? ?? ?? ?? ?? ??? ???
??? ??? ??. ?? ?? ???? ??? ?????? ?? ??? ???? ??
ISP ??? ???? ?? ???? IP ??? ?? ?????? ??? ? ???,
?? ????? ?? ??? ??????? ???? ??? ??? ?? ? ??.
13
Boink, Bonk
Bonk? ?? ??? 1??? ?? ? ???, ??? ?? ?? ??? ??? 
1??? ???? ???. Bonk? ??? Boink ??? ?? ??? 1??? ??
? ??? ??? 101?, ??? ??? 201??? ????? ???? ????
??? ??? ??? ???. ??? ??? 1001?, ???? ??? 100?,
???? ??? 1001??? ??? ???.
TearDrop
TearDrop ? ??? ??? ?? ??? ??? ???? ??? ????.
14
New TearDrop ?? ? ???? TCP Dump ??
Root tcpdump eth0
15
New Tear Drop ??
??? gcc -o newtear newtear.c ?? ?? root
./newtear 222.222.222.222 172.16.0.3 t 80 n 180
16
4. LAND
??? ??? ? ??? IP ??? ??? IP ?? ?? ???? IP ?? ???
??? ???? ?????? ???. ???? ?? ??? Syn? ?? Reply
??? ??? IP ?? ?? ???? ? ?? ??? IP ?? ??? ???? ???
???. ??? ? ?? ????? IP ?? ???? ???? ??? ??? ??
???? ?? ????. ? ???? Syn Flooding?? ?? ??? ??
??????, CPU ???? ??? ??.
17
LAND ??
???  gcc -o land land.c ?? ?? root  ./land
172.16.0.3 172.16.0.3 80 80
18
5. Win Nuke(OOB)
?? ??? ???? 139? ??? ???? ?? ??? ????. ???
NetBIOS ??? URG(Urgent)? On ??? ?? ??? ????. URG?
On ??? ??? ??? ??? ? ?? ????? ??? ????. ??? ?
Ctrl Break ?? Ctrl C? ?? ??? ??. ?????
??? Urgent ??? ???? ?? ???? ??? ?? ? ???? ????
??. ?? CPU? ???? ??? ??. ? ??? ?? ?? ???? ????
??? ??.
19
LAND ?? ? ???? TCP Dump ??
Root tcpdump eth0
20
WinNUKE ??
21
6. Smurf, Fraggle
???? 172.16.0.255? ICMP Request ???? Direct
??????? ?? ?? ??? ?? ??? ????.
22
ICMP Requset ??? ???? ?????? ?????? ICMP Replay
??? ???.
23
Smurf ??
???   root  gcc -o smurf smurf.c ?? ?? root
  ./smurf 172.16.0.3 bcast 0 5 512
24
Smurf ??? TCP Dump

25
7. Mail Bomb
Mail Bomb? ?? ?? ????? ??. ?? ??? ?? ?? ???. ??
??? ? ????? ??? ?? ??? ??? ?????, ??? ???? ???
??? ?? ??? ?? ??? ?? ??? ?? ? ??. ? ??? ?? ???
DoS ??? ? ?? ??.
???? Mail Bomber Upyours
26
Sendmail? ??? ?? ???
Sendmail? telnet? ????. telnet?? ?? IP ??? ??
???, SMTP ?? ??? 25?? ?? ??? Sendmail? ??? ? ??.
Sendmail? ??? ? mail from ' ?? ??? ??? ???
???.???? ?? ??? ?? ????.
27
?? ??? ?? ?? ??
SNMP Relay ??? ?? /etc/mail/access ??? ????
???. access ????? IP ??, ??? ??, ????? ?????
Relay? ???? ? ??.
28
8. System Resource Exhaustion Attack
1. ?? Disk ??? ??
??? ???? ??? ??? 1000???? ???? ? ??? ??????.
29
1. ?? Disk ??? ??
?? ? ?? ??? ??? ??
30
1. ?? Disk ??? ??
???? ?? ? ??
31
2. ?? Memory ??? ??
?? ??? ?? ?? malloc ??? ?? ??? ??? ????? ????
 ??????. ??? ?? ???? ??? ??? ? ?? ???? ?????? ???
? ???? ??? ?? ? ?? ???? ??? ????.
32
3. ?? Process ??? ??
fork( )?? ???? ?? ???? ???? ??? ??
33
Quota ??
1. /etc/vfstab ??? vi ???? ??. 2. ??? ????? ??
???? ? ??? usrquota ??? ????. 3. mount -o
remount /home ??? ?? ??? ???? ??? ? ??. 4. ???
???? ???? ?? mount? ????? usrquota ??? ???  ?? ??
??? ? ??. 5. ?? ?? ??? ?? touch
/home/quota.user? ??? ????? ?? ???? ?? ?? ?????
quota.user? ????. ??? 600(rw- --- ---)?? ??,
quotacheck? ?? ?? quota.user ??? ???? ?? ???????
???? ??? ? ??.
34
Quota ??
6. wishfree? ???? quota? ???? ??? edquota
wishfree ???? ???? ??? ?? vi ???? ??. ???? 10MB,
??? 15MB? ?????. 15MB ??? ??? ? ? ??. ???? 10MB
??? ? ? ???, 1???? ??? ?? ??, 1??? ?? ???? ???
??? ? ??. ??? ??? ? ??? ?? quotaon /home??? ????
/home? ?? ??? ????, quotaoff /home??? ???? ???
??? ????.
35
2. DDoS ??
DoS ??? ?? ??? ?? ??? ???? ?? ???? ?? ??? ???
????, ?? ?? ??? ?? ?? ??. ?? ???? ??? ???? ????
???? ? ?? ?? ???? ???.
DDoS ??? ??? ???? ??? ???? ?? ???? ??. ??? ???
???? DDoS ??? ??? ?? ???? ???? ??? ?????? ????
????.
36
DDoS ??? ?? ??
1. ???(Attacker) ??? ???? ??? ??? 2.
???(Master) ?????? ?? ??? ?? ????? ?? ??
????(Agent)? ???? ??? 3. ????(Agent)
????(Target)? ???? ??? ??? ???
37
DDoS ??? ???? ??
1. ?? ???? ????, ?????(Bandwidth)? ??. ???? ??
???? ???? ??? ? ?? ?? ??? ???? ????? ?? ????? ??
???? ?? ???? ?? ??? ????. 2. ???? ????? ???? ??
???? ?? ?? ???? ????, ????? ?? ?????? ??? ? ??
??? ???? ???? ??? ????. 3. ??? ???? ???? ??? ?,
?? ??? ?? Exploit? ????. 4. ??? ??? ???? ????
Exploit? ????? ????. 5. ??? Exploit? ??? ????.
38
1. Trinoo
Trinoo? 1999? 6? ??? 7? ??? ??? ?????, ???? ???
?? ?????. ?? ??? Trin00??. ?? ???? 2.x ?????
??????, ?? 227 ?? ???? ??? ??? ??? ??? ??. UDP?
???? ?? ??? ???? statd, cmsd, ttdb??d ??? ?
??????.
?? ?? ??
??? ???? ???? ??
??? ??? TCP 27665
??? ???? UDP 27444
???? ??? UDP 31335
???? ???? UDP
39
DDoS ??? ?? ??
??? DDoS ?? ??? ?? ?? ??? ????. ??? ?? ??? ?? ???
????, ???? ??? ???? ?? ???? ??? ? ??. ??? ?? ???,
rid-1.0, DDoS ping, DDoS scan ?? ??
40
DDoS ??? ?? ??
TCP dump? ????? ?? ? ???? ??? ?? ??? ?? ???.
27444, 32770? ?? ??? ??? ?? ???? ??? TCP Dump ???
??? ????? ??, ?? ?? ??? ??? ?????.
41
2. TFN, TFN 2K
TFN? Teletubby Flood Network?? ???? ??. TFN ??
Trinoo? ????? statd, cmsd, ttdb' ??? ???? ????.
TFN? ???? ??????? ??? ?? ??. ?????? ???? ?????
???? ??, ?????? ????? ICMP Echo Request ??? ????,
TCP, UDP ??? ????? ???. ??? ?? ?????? ?? ?? ??.
?????? ? ??? ICMP Echo Request ??? 16?? ???? ???
????, ??? ??? 0x0000?? ???? ??, TCP Dump? ??????
ping? ?? ???? ??? ????. TFN? ??? ???? ??? ????
??? ???? ?? ???? ???? ??? ??? ??. ?? ???? ?? ???
????? ?????? ?? ????? ? ???, ???? ????? ? ???? ?
??.
42
TFN 2K? ??
1. ??? ?? ??? ???? ?? ????? ???, ????? ?? UDP,
TCP, ICMP? ????? ???? ?? ?? ??? ????. 2. TCP Syn
Flooding, UDP Flooding, ICMP Flooding, Smurf ???
?? ??. 3. ?? ??? CAST-256 ?????? ?????. 4. ???
TCP ??? ???? ???? ? ??. 5. ??? ??? ? ??? ????
??? ??????, ???? ????? ????. 6. UDP ??? ??? ??
UDP ???? 3????? ? ??. 7. TCP ??? ??? ??? ?? 0??.
???? ????? ??? 0? ? ??.
43
3. Stacheldraht
Stacheldraht? ????? '???'??? ??? 1999? 10? ?? ???
??? ??? ???, TFN? ???? ???. Stacheldraht ??
TFN2K?? ???? ???, ????, ???? ??? ??? ??? ?????.
???? ???? ????, ???? ?? ??? ??? ?? ??? ????? ????
?? ???? ??? ????. ?? ???? ????? ?? ???? ??
Authentication? Passphrase? ???? ???? ???
?????? ???? ????.
44
4. DoS, DDoS ??? ?? ???
1. ??? ??? ?? 2. IDS ??? ?? 3. ???? ????? ??
4. ??? ?? 5. ??? 6. ???? ??? ??