Network 보안과 대책Cisco Systems Korea

UDP 1434방어 대책

Network 보안

UDP 1434 공격에 대한 방어 요령

Cisco Systems Korea 최 우 형 (whchoi@cisco.com)

Network 보안과 대책Cisco Systems Korea

UDP 1434방어 대책

Network 보안

UDP 1434 공격에 대한 발견과 조치 과정

1. Internet 외부 구간 PPS 급격히 증가

• 1 월 25 일 오후 2 시경 부터 대학 캠퍼스 중심으로 도움 요청

• K site 방문 결과 PPS 가 초당 320,000 packet 발생

• 외부 인터넷 구간 Load 100% • 일부 사이트 F/W down 현상 발생

2. Internet Router 에서 확인 결과 UDP 1434 를 목적지로 404Byte Packet 을 대량 발생 시킴

• Netflow Monitoring 결과 목적지를 UDP 1434 로 집중 공격 확인

3. Internet Router 에서 해당 UDP port filtering• ACL 을 통한 Router filtering • PPS/Load 정상회복 인터넷 구간 불통 : 국내 ISP 복구 불가 지속

4. Backbone Switch 에서 MLS monitoring 을 통해 해당 공격 IP 들에 대한 추적 개시

• 해당 PC 점검 결과 SQL-Monitor port 1434 확인 : sqlservr.exe file CPU 완전 점유

• SQL buffer overflow + 신종 Worm slammer : 일부 보도상에 웜 때문이라고 판명하고 있지만 실제 404byte 의 일정한 Packet 을 생성시키는 DDoS 공격으로 인한 Down 으로 판단됨

CERTCC-KR 과 연락 취함

5. 상황 종료 : 대부분의 내부 Backbone 도 정상으로 Load 회복 ( 사고 발생 후 15~30 분 안에 대처가능 )

Network 보안과 대책Cisco Systems Korea

UDP 1434방어 대책

Network 보안

UDP 1434 공격에 특징과 epilogue

1. CPU 의 증가 보다는 Load 증가가 심화

• DDoS 공격의 특징상 대부분 Network 장비의 CPU 점유의 특징을 띄는 데 반하여 , 이번 SQL monitor port 공격은 Load 점유가 먼저 발생함

• CPU 점유하기 전에 이미 Load 가 먼저 100% 도달 interface down 으로 인해 CPU점유시간이 없었다는 데 특징이 있음

• 기존 40byte 이하의 Flow 공격이 아닌 404byte 의 비교적 큰 Packet 을 생성 Load 를 점유하는 데 중점을 둔 공격

2. Memory 상주용 Worm 으로 발견하기가 어려움

• 원인을 찾기 위해 해당 Relay host 에 문제가 되는 Program 을 찾기가 무척 어려움

• Sqlservr.exe 라는 정상적인 SQL 데몬이 공격을 하는 것 처럼 보임

3. 주말에 발생하여 피해는 적었으나 , 조치를 취하는 데 시간이 오래 걸림

• 주말에 발생하여 피해가 그런데로 적었다고 판단이 됨

• 주말에 발생 , PC 를 on 시켜 놓은 채 퇴근한 직장인 , 학생들이 많아서 해당 사무실에 접근하기가 무척어려웠음

Network 보안과 대책Cisco Systems Korea

UDP 1434방어 대책

Network 보안

UDP 1434 공격에 특징과 epilogue

향후 대책 및 epilogue• 사고시 빠른 대처요령

사고시 적절한 대처요령과 방어에 대한 대책들 등 적절한 절차들에 대한 홍보가 더욱 필요할 듯 여겨짐

• 장비들에 대한 운영 기술 향상 필요

많은 방화벽과 IDS 들이 결국 DDoS 한번의 공격에 모두 적절한 대응을 하지 못함

주요 Network 장비 (Core Router,Core Switch) 에서의 모니터링과 방어 요령 습득 필요

이번 공격에서도 DNS 공격이라는 보도매체에서의 반응은 결국 Network 방어보다는 Server 방어 중심이라는 인식을 가져 올 수 있음

• DDoS 공격에 대한 심각성에 대한 공감대 형성 필요

ISP 기관 , Server,Network, 교육 , 공공기관 , 기업체 등 전산관리자들에 대한 DDoS 공격의 심각성에 대한 공감대 형성 필요

적절한 교육과 장비 운영등에 대한 향후 지원 방안 모색 필요

www.certcc.or.kr 1 월 16 일 DDoS 공격 방어 시나리오 문서

www.securitymap.net network 관리자를 위한 보안 가이드 문서 등 참조

certcc mailing list 적극 참조 필요

Network 보안과 대책Cisco Systems Korea

UDP 1434방어 대책

Network 보안

1, MS-SQL 취약 port 를 통한 권한 취득

2, 권한 취득 후 Slammer 을 통한 DDoS 공격 시작

Destination port 1434(SQL-Monitor port)3, 해당 경로 Network 장비 CPU/Interface Load 급상승

- Packet 처리속도 / CPU Power 가 부족한 장비 DownCPU IF Load CPU IF Load

CPU IF Load

CPU IF Load

UDP 1434 공격 시나리오

Network 보안과 대책Cisco Systems Korea

UDP 1434방어 대책

Network 보안

CPU IF Load

CPU IF Load

CPU IF Load

Netflow 를 통한 점검- 내부 / 외부 원인 파악

•Netflow 를 통한 Vlan 파악•MLS entry 를 통한 IP 유추•L2 trafce or CAM table 을

통한 해당 Port 추적 및 Uplink 단절

Sniifer 를 통한 증거 확보해당 장비에서 CAM table

을 통한 Port 확인

해당 PC 의 사용자 및 OS 확인Process 점유율 확인

원인 Tool 제거

UDP 1434 공격 방어 시나리오

Network 보안과 대책Cisco Systems Korea

UDP 1434방어 대책

Network 보안

UDP 1434 공격 감지 – CPU 점검

Router Resource 점검

1. Router 내부의 CPU 점검

2. Router 와 외부구간 또는 내부구간 사용률 점검

사용 ToolCisco IOS command NMS , MRTG ,RDD

일반 평균 CPU 보다 갑작스럽게 CPU 증가 (MRTG or NMS 를 통해 감시 )

Router#sh processes cpu CPU utilization for five seconds: 99%/6%; one minute: 98%; five minutes: 98% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 1 880 592917 1 0.00% 0.00% 0.00% 0 Load Meter 2 36 49 734 0.08% 0.01% 0.00% 2 Virtual Exec 3 5486412 426632 12859 0.00% 0.10% 0.06% 0 Check heaps 4 0 1 0 0.00% 0.00% 0.00% 0 Chunk Manager

Tip : 갑자기 CPU 가 높아진다… ????

A=B : Router 가 주로 Packet forwarding Packet 유입이 높다

A>B : Cache 사용률이 극히 적다 . Spoof 된 IP 가 많을 가능성… .

A b

Network 보안과 대책Cisco Systems Korea

UDP 1434방어 대책

Network 보안

Router Resource 점검

1. Router 내부의 CPU 점검

2. Router 와 외부구간 또는 내부구간 사용률 점검

사용 ToolCisco IOS command NMS , MRTG ,RDD

일반 평균 PPS 보다 갑작스런 PPS 폭주 (MRTG or NMS 를 통해 감시 )

Router#sh inter serial 9/0 (sh interface stat PPS 상태 감시 )

Serial9/0 is up, line protocol is up Hardware is cxBus Serial Description: ### 시스코라우터 ###

Internet address is 100.100.6.1/24 MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec, reliability 255/255, txload 244/255, rxload 250/255

Tip : 특정 Interface 의 Load 가 급작스럽게 높아졌다 .

특히 Load 보다는 PPS( 초당 Packet 발생 ) 을 집중적으로 봐야 합니다 .

flooding 공격 등 traffic 유발 가능성이 높은 공격 의심… .

UDP 1434 공격 감지 – PPS 점검

Network 보안과 대책Cisco Systems Korea

UDP 1434방어 대책

Network 보안

UDP 1434 공격 방어 - Router

sh ip cac fl | inc 059A

Fa8/0 203.252.225.220 Null 100.200.71.224 11 0ECB 059A 1

Fa8/0 211.60.198.51 Null 100.200.13.201 11 0510 059A 1

Fa8/0 203.234.70.37 Null 100.200.175.105 11 0E0F 059A 1

Fa8/0 210.125.243.69 Null 100.200.165.161 11 100B 059A 1

Fa8/0 211.168.174.136 Null 100.200.231.17 11 040D 059A 1

Fa8/0 61.41.80.79 Null 100.200.55.15 11 0486 059A 1

Fa8/0 211.60.198.51 Null 100.200.37.148 11 0510 059A 1

Fa8/0 210.97.134.15 Null 100.200.184.124 11 12C0 059A 1

Fa8/0 61.37.23.70 Null 100.200.103.188 11 0593 059A 1

Fa8/0 166.104.246.137 Null 100.200.127.82 11 0481 059A 1

Fa8/0 61.37.23.70 Null 100.200.82.23 11 0593 059A 1

Fa8/0 211.181.7.142 Null 100.200.106.188 11 079F 059A 1

Fa8/0 166.104.224.50 Null 100.200.155.216 11 054D 059A 1

Fa8/0 210.119.174.14 Null 100.200.196.116 11 0E46 059A 1

Fa8/0 203.252.225.220 Null 100.200.51.246 11 0ECB 059A 1

Fa8/0 210.93.98.17 Null 100.200.11.153 11 0BCE 059A 1

Internet Router 에서의 Monitoring 과 방어

1. 해당 Interface 에 Netflow EnableRouter(config)#interface e0 or serial 0Router(config-if)#ip route-cache flow

2. Monitoring좌측의 표와 같이 show ip cache flow 를

실행

3. 분석과 점검

• 전문가가 아니더라도 동일한 Port 또는 동일한 address 를 향해 집중적인 공격을 하는 것을 쉽게 볼 수가 있음

• 이 때 주의 할 점은 059A 라고 표현 되는 16 진수 표기이다 . 이것을 10진수로 변환해 보면 이번 공격에 사용된 1434 port 이며 11 이라고 표현된 것도 10 진수로 변환해 보면 UDP 라는 것을 쉽게 알 수가 있다 .

내부 Interface 외부 Interface

Network 보안과 대책Cisco Systems Korea

UDP 1434방어 대책

Network 보안

UDP 1434 공격 방어 - Router

Internet Router 에서의 Monitoring 과 방어

sh ip cac fl | inc 059A

Fa8/0 203.252.225.220 Null 100.200.71.224 11 0ECB 059A 1

Fa8/0 211.60.198.51 Null 100.200.13.201 11 0510 059A 1

Fa8/0 203.234.70.37 Null 100.200.175.105 11 0E0F 059A 1

Fa8/0 210.125.243.69 Null 100.200.165.161 11 100B 059A 1

Fa8/0 211.168.174.136 Null 100.200.231.17 11 040D 059A 1

Fa8/0 61.41.80.79 Null 100.200.55.15 11 0486 059A 1

Fa8/0 211.60.198.51 Null 100.200.37.148 11 0510 059A 1

Fa8/0 210.97.134.15 Null 100.200.184.124 11 12C0 059A 1

Fa8/0 61.37.23.70 Null 100.200.103.188 11 0593 059A 1

Fa8/0 166.104.246.137 Null 100.200.127.82 11 0481 059A 1

Fa8/0 61.37.23.70 Null 100.200.82.23 11 0593 059A 1

Fa8/0 211.181.7.142 Null 100.200.106.188 11 079F 059A 1

Fa8/0 166.104.224.50 Null 100.200.155.216 11 054D 059A 1

Fa8/0 210.119.174.14 Null 100.200.196.116 11 0E46 059A 1

Fa8/0 203.252.225.220 Null 100.200.51.246 11 0ECB 059A 1

Fa8/0 210.93.98.17 Null 100.200.11.153 11 0BCE 059A 1

내부 Interface 외부 Interface

4. 방어 시나리오

• 목적지가 UDP 1434 port 를 향해 집중적으로 이뤄지고 있다는 것을 파악

• UPD 1434 filtering

Router(config)#access-list 100 deny udp any any eq 1434 access-list 100 permit ip any

anyRouter(config-if)#ip access-group 100 outRouter#sh ip access-lists deny udp any any eq 1434 (62457

matches) permit ip any any (46932263 matches)

목적지 주소 : any 목적지 port : udp 1434

Network 보안과 대책Cisco Systems Korea

UDP 1434방어 대책

Network 보안

UDP 1434 공격 방어 – Catalyst Switch

sh mls statistics entry ip

Last Used

Destination IP Source IP Prot DstPrt SrcPrt Stat-Pkts Stat-Bytes

---------------- --------------- ----- ------ ------ ---------- ---------------

156.57.119.214 100.200.99.102 UDP 1434 20807 1 404

42.31.129.162 100.200.62.20 UDP 1434 3916 1 404

8.27.153.92 100.200.59.96 UDP 1434 5506 1 404

18.82.158.174 100.200.99.245 UDP 1434 1860 1 404

145.178.189.122 100.200.16.221 UDP 1434 2369 1 404

156.210.83.230 100.200.151.242 UDP 1434 1780 1 404

150.119.213.91 100.200.62.192 UDP 1434 1935 1 404

141.182.2.224 100.200.82.138 UDP 1434 2965 1 404

110.204.13.7 100.200.151.242 UDP 1434 1780 1 404

78.16.88.23 100.200.99.102 UDP 1434 20807 1 404

143.63.74.197 100.200.151.242 UDP 1434 1780 1 404

147.188.97.125 100.200.80.27 UDP 1434 1407 1 404

111.218.12.203 100.200.67.19 UDP 1434 50254 1 404

Cisco Catalyst Switch 에서 MLS 를 보기 위한 방법

Switch 에서 Monitoring 하는 것은 Router 에서 보다 더욱 더

중요 할 수 있다 .

내부 원인 제공자를 추적하는 데 가장 핵심적인 역할을

하기 때문에 반드시 장비제조사 또는 장비설치사로 부터

방법을 통보 받아야 한다 .

1. MLS flow status enable

• Set mls flow full 명령어 한 줄로 간단히 모니터링 가능

2. Monitoring

• Show mls statistics entry ip

• 좌측 결과에서 처럼 라우터에서 보다도 훨씬 자세하고 보기 쉽게 표현이 되며 Layer 2에서의 움직임 까지 파악이 되므로 추적하는 데 상당히 강력한 Tool 로써 제공이 된다 .

• 이번 SQL 공격의 특징을 여기서 볼 수 있는데 특이하게도 40Byte 이하의 공격이 아닌 404 byte 의 커다란 Packet 공격인 것을 볼 수 있다 .

Network 보안과 대책Cisco Systems Korea

UDP 1434방어 대책

Network 보안

UDP 1434 공격 방어 – Catalyst Switch

Switch 에서의 방어 요령

1. 라우터에서 처럼 ACL 을 통한 방어 가능

라우터 ACL 방어 요령 참조

2. Switch 에서 해당 IP Address 의 MAC Filtering해당 IP address 의 MAC 알아 내기

도스 창에서 nbtstat –A ipaddress 또는 기타 툴들을 이용하여 MAC 을 알아낸다 .

해당 MAC filtering Switch(enable)#set cam static filter macadd

연결된 물리적 port 알아내기

Show cam macaddress vlan #

해당 연결된 port 를 알아 낼 수 있음

또는 cisco Switch 의 l2trace 00-00-e8-34- 00-01-e6-27- detail 를 통해 Layer 3 trace 가 아닌 Layer 2 trace 를 통해 쉽게 Port 를 추적가능하다 .

해당 MAC,IP,물리적 연결 Port 를 알아낸 뒤에는 반드시 해당 PC 를 확인하여 ctrl+ALT+del key 를 누른 뒤 taskmanager 를 통해 현재 해당 PC 에서 가장 많은 Process 를 사용하고 있는 Program 이 무엇인지를 확인 Process 를 정지 시킨 후 해당 파일을 복사하여 , 백신업체 또는 CERTCC, 전문기관등에 의뢰하여 원인을 파악하는 것이 중요하다 .

이번 SQL monitor port 1434 의 공격에서는 Process 사용율이 sqlservr.exe 가 90% 이상 점유하고 있었으며 , 이 프로그램은 정상적 프로그램이어서 Worm 을 확인하기가 무척 어려웠음

Network 보안과 대책Cisco Systems Korea

UDP 1434방어 대책

Network 보안

UDP 1434 공격 방어 후 ……

Destination IP Source IP Prot DstPrt SrcPrt Stat-Pkts Stat-Bytes

---------------- --------------- ----- ------ ------ ---------- ---------------

4.218.3.82 100.200.151.242 UDP 1434 1780 0 0

144.88.136.206 100.200.82.145 UDP 1434 1239 0 0

97.163.190.229 100.200.99.90 UDP 1434 2488 0 0

45.138.70.26 100.200.92.171 UDP 1434 3242 0 0

112.82.47.202 100.200.80.207 UDP 1434 2872 0 0

88.12.233.225 100.200.99.245 UDP 1434 1860 0 0

32.210.69.94 100.200.82.145 UDP 1434 1239 0 0

21.108.83.6 100.200.151.242 UDP 1434 1780 0 0

26.86.120.54 100.200.62.20 UDP 1434 3916 0 0

157.85.139.144 100.200.92.171 UDP 1434 3242 0 0

72.116.74.61 100.200.80.207 UDP 1434 2872 0 0

153.179.249.96 100.200.151.242 UDP 1434 1780 0 0

46.77.22.107 100.200.67.19 UDP 1434 50254 0 0

138.9.4.219 100.200.62.20 UDP 1434 3916 0 0

169.116.29.24 100.200.11.23 UDP 1434 3372 0 0

Network 장비에서 조치 후 증상

좌측 내용은 Router 와 Core Switch 에서 해당 Port filtering

후 나타난 증상이다 .

Filtering 이전에 404byte 로 계속해서 발생시키던 Flow 가

0byte 로 나타난 것을 볼 수 있다 .

하지만 궁극적으로 원인을 해결하기 위해서는 원인을

발생시키는 PC 에서 Process 정지 및 보안 Patch, 백신

프로그램을 통한 점검과 전문기관에 의뢰하는 등의

조치가 반드시 뒤따라야 할 것이다 .

Network 보안과 대책Cisco Systems Korea

UDP 1434방어 대책

Network 보안

UDP 1434 공격 사전 방어

QoS : Rate Limit 기능을 통한 방어 요령

access-list 150 remark CAR-UDP ACLaccess-list 150 permit udp any any UDP 폭풍 공격 방어

access-list 160 remark CAR-ICMP ACLaccess-list 160 permit icmp any any echo ICMP 공격 방어

access-list 160 permit icmp any any echo-reply

access-list 170 permit tcp any any sync TCP sync 공격 방어

Interface ethernet 1/0 rate-limit input access-group 150 2000000 250000 250000 conform-action transmit exceed-action drop UDP flooding 이 2M이상 이면 drop rate-limit input access-group 160 256000 8000 8000 conform-action transmit exceed-action drop ping packet 이 256k 이상이면 drop

rate-limit input access-group 170 64000 8000 8000 실제 application or 속도에 따라 Tunning conform-action transmit exceed-action drop sync 가 64K 이상이면 drop

여기에서 수치 계산에 대한 문의가 많은 데 Cisco 에서는 다음과 같이 권장 …. access-group 160 256000 8000(256000/8*1.5) 8000(256000/8*2.0) : Site 특성상 값은 조금씩 달라 질 수

있음

Network 보안과 대책Cisco Systems Korea

UDP 1434방어 대책

Network 보안

참조 Sitewww.certcc.or.kr

Mailing list 기술문서 : 트래픽 분석을 통한 서비스거부공격 추적

www.securitymap.net문서 : 네트워크 관리자를 위한 보안가이드 v 1.0 (본 요약 문서 Full version)

SQL 취약점 관련 URL•Buffer Overruns in SQL Server 2000 Resolution Service Could Enable Code Execution (Q323875)

•Microsoft SQL Server 2000 Resolution Service Heap Overflow Vulnerability

본 문서 내용 중 문의 사항 whchoi@cisco.com