UDP 공격

   UDP 공격

   UDP 포트 스캐닝

 - ICMP Unreachable 메시지를 이용하여 UDP 포트의 OPEN 여부를 확인하기 위한 스캐닝 기법입니다.

 - 타겟 서버에 대한 정보 수집의 대표적인 공격 기법입니다.

 - 열려있는 포트의 경우 : 응답이 없거나, 어플리케이션 프로토콜이 일치하는 경우 응답이 있습니다.

 - 닫혀있는 포트의 경우 : ICMP 에러 메시지를 받을 수 있습니다.

    UDP Flooding ( DDoS 공격 )

 - 대량의 UDP 메시지를 이용한 공격기법

 - IP Spoofing과 함께 사용이 됩니다.

 - 특정 타겟을 목표로 하는 것이 아니라 네트워크 전체 대역폭에 대한 공격을 말합니다.

  [ UDP Flooding 실습 ]

현재 VMWARE 가상환경에 있으며 Attacker, Client1, Client2로 구성되어 있습니다.

Attacker : 192.168.0.110  00:0c:29:D7:A6:9A

Client 1 : 192.168.0.120  00:0C:29:43:11:EA

Client 2 : 192.168.0.130  00:0C:29:8E:8E:D3

Attacker가 Client1의 IP를 스푸핑해서 Client2에게 다량의 UDP패킷을 보내게 되면, Client2는 열려있지 않은 포트이기때문에 ICMP ERROR메시지를 보내게 됩니다.

IP를 참고해 ICMP메시지를 보내게 되는게, Client1의 IP로 되어있으므로 Client1에게 다량의 ICMP ERROR 메시지가 도착하게 됩니다.

공격자 측에서 IP스푸핑을 해서 Client 2에게 다량의 UDP 패킷을 보냅니다.

Client1측에서 Sniffer를 통해 확인해보게 되면 보내지도 않았지만, ICMP error 메시지로 Client2측에서 오는 것을 확인해 볼 수 있습니다.

공격자 측에서 UDP패킷을 보낼때에는 UDP.PORT가 열려져있지 않은 포트로 보내야 하며, IP스푸핑한 주소를 출발지 주소로 바꾸어줘야 합니다.

MAC 주소를 바꾸는이유는 현재 제가 VMWARE에서 같은 네트워크에 있기 때문에 Client2의 MAC주소를 써 UDP패킷이 제대로 가게 해 놓았습니다.