보안기사 메모

스머프 공격 대응책

1. 침입차단시스템 : 다수의 ICMP Echo Reply 패킷을 받게 되면 모두 차단
2. 라우터 : 다른 네트워크로부터 자신의 네트워크로 들어오는 Directed broadcast 패킷에 응답하지 않도록 설정한다. (config-if) # no ip directed-broadcast
3. 시스템 : 브로드캐스트 주소로 전송된 ICMP Echo reply에 응답하지 않도록 설정한다.
   sysctl -w net.ipv4.icmp_echo_ingnore_broadcasts = 1

HTTP SYN Flooding 공격

iptable -A INPUT -p TCP --dport 80 --syn -m connlimit --connlimit-above 5 -j DROP

SLOW HTTP READ DOS

1)
iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 30 -j DROP

2) httpd.conf
TIMEOUT= 120

DRDoS 와 일반 DoS 와의 차이점

1. 공격 근원지를 파악하기 어렵다.
2. 공격에 사용되는 반사서버는 syn+ack 패킷에 대해 응답이 없을 경우 일정 횟수 재전송을 수행하기 때문에 공격자가 전송하는 syn 패킷보다 몇 배나 많은 syn+ack 패킷이 공격대상서버에 전송된다.

대응방법

1. 내부 사용자용 DNS 라면, 내부 사용자 주소만 재귀 쿼리가 가능하도록 제한한다.
2. 서버방화벽 또는 네트워크 방화벽을 통해서 특정 byte 이상의 DNS 질의에 대한 응답 차단, 동일 ip에 대한 단위 초당 요청 개수 제한
3. monlist명령
   ntpdc -c monlist <ntp서버주소>
   monlist 설정 해제 방법
   named.conf

WEP 인증 문제점

1. 단방향 인증 방식만 제공하므로, 사용자 입장에서는 불법 AP (Rogue AP) 인지 알 수 없기 때문에 피해가 발생할 수 있다.
2. 무선랜을 사용하는 모든 장비가 동일한 WEP 공유키를 사용하기 때문에, 공유키 유출 시 많은 문제가 발생한다.

레이스 컨디션 방안

1. 가능하면 임시 파일을 생성하지 않는다.
2. 파일 생성 시 이미 동일한 파일이 존재하는 경우 파일 생성 또는 쓰기를 금지한다
3. 사용하고자 하는 파일에 링크가 걸려있으면 실행을 중단한다
4. umask를 최하 022 정도로 유지하여 (w권한이 모두 빠진 상태) 임시로 생성한 파일이 공격자에 의해 악의적으로 삭제되지 않도록 한다