필자는 이전에 SECUI MFD를 공용 IPS로 제공하고 있는 데이터센터에 서버를 입고하여 운용한 적이 있습니다. 많은 공격을 받아왔는데, 그 중 LAND2 공격을 받아본 적이 있습니다. 해당 장비를 소유하고 있는 데이터센터 측에 LAND2 공격이 발생 시 차단해 줄 것을 요청했습니다. 하지만 SECUI MFD 장비에서 거의 모든 정책은 보호 도메인별로 적용할 수 있지만 LAND2를 비롯한 일부 정책은 장비를 거치는 호스트 전체에게 적용되는데, 일부 고객사는 LAND2 정책을 차단하도록 하면 문제가 된다고 하여 도와줄 수 없다는 것이었습니다.

이 문제는 SECUI MFD 장비의 기본 기능만으로 해결하기 굉장히 까다로웠습니다. 하단에 배치했던 MikroTik CCR 라우터 장비에서 해결하는 것도 사실상 불가능했습니다. 1 = 1, 2 = 2, 3 = 3… 이런식으로 정책을 생성하다보면 정책이 포트 개수인 65,535개 만큼이나 필요했기 때문입니다. 그 밖에도 SECUI 장비를 하나 더 사다가 붙이는 아이디어를 내는 등 여러 삽질을 해 왔습니다.

LAND2 공격을 방어하는 것은 불가능해 보였습니다. 하지만 SECUI에서 커스텀 시그니처로 BPF를 사용할 수 있게 해 준다는 사실을 알게 되었고, 이를 활용하여 정책을 적용할 수 있었습니다. 오늘은 커스텀 시그니처를 이용하여 LAND2 공격을 차단하는 방법과 경험을 공유해 드리겠습니다.

SECUI MFD를 직접 제어하거나 사진을 촬영할 수 없었기 때문에 관련한 사진은 포함하지 않고 있습니다. 하지만 글을 정독하면 필자와 같은 케이스를 대응하는 데 도움이 될 것입니다.


LAND2 공격

LAND2 공격은 비교적 간단한 공격 패턴을 띕니다. 패킷 헤더를 비정상적으로 Source IP Address와 Destination IP Address를 동일하게 만들거나, Source Port와 Destination Port를 동일하게 만들어 다량으로 송신합니다. 이 공격이 발생하면 실제로 공격하는 호스트가 몇 대인지 파악하기 어려울 뿐만 아니라 TCP SYN Packet을 보내는 경우 TCP 3 Way Handshake에 의해 패킷이 순환하는 Loop 현상이 발생하기도 합니다. 패턴은 단순해 보이지만 제대로된 대응 방안이 없는 경우 피해가 발생할 수 있어 무시할 수 없는 공격 유형 중 하나입니다.


BPF

BPF(‘Berkeley Packet Filter’)는 네트워크 트래픽을 분석하는데 사용되는 기술입니다. BPF는 네트워크 패킷을 필터링할 수 있습니다.

SECUI MFD 장비에 보호 도메인별 커스텀 시그니처에 직접 BPF로 정책을 추가할 수 있어 BPF를 활용할 것입니다.


적용하기 전 고려해야 할 사항

위에서 언급한 것과 같이 LAND2 공격을 차단하도록 설정하면 일부 서비스에서 문제가 발생할 수 있다고 합니다. 매우 급한 문제가 아니라면 라이브 장비에 정책을 바로 설정하기 전에 일정 기간 동안의 패킷을 기록한 다음, 이 정책과 관련하여 문제가 될 소지가 있는지 미리 확인하는 것이 좋습니다.

커스텀 시그니처를 탐지만 하도록 설정하여 일정 기간 동안 탐지되는 정상 패킷이 있는지 기록을 확인하는 것이 도입 시의 문제를 줄여줄 수 있을 것입니다.


커스텀 시그니처

LAND2 공격 특성이 두 가지이니 필요에 맞게 적절히 사용하면 되겠습니다.

정책 1

아래 정책은 Source IP Address(ip.src)와 Destination IP Address(ip.dst)가 일치하는 패킷을 찾아냅니다.

IP.SRC == IP.DST

정책 2

아래 정책은 TCP Source Port(tcp.srcport)와 TCP Destination Port(tcp.dstport)가 일치하는 패킷을 찾아냅니다.

TCP.SRCPORT == TCP.DSTPORT

정책 3

아래 정책은 UDP Source Port(udp.srcport)와 UDP Destination Port(udp.dstport)가 일치하는 패킷을 찾아냅니다.

UDP.SRCPORT == UDP.DSTPORT

마치며

IPS 시스템을 운용하는 담당자라면 공격을 일단 Null 라우팅 등으로 차단하더라도 추후 동일한 공격이 반복해서 발생하는 경우를 대비하여 대응 방법을 찾는 능력이 있어야 한다고 믿게 되었습니다. 더불어 IPS 시스템과 관련한 업체는 이런 자질을 기본으로 갖추고 있는 담당자를 채용해야 한다고 생각하게 되었습니다.

대한민국에서 유해 트래픽 공격을 대응해 준다는 ISP를 찾아보면 소규모 공격임에도 Null 라우팅을 하는 대응으로 일관하는 경우가 많은데, 이런 일로 인해 ISP 이용 고객이 불편을 겪는 일이 줄면 좋겠습니다.