WiBro 네트워크에서 DoS 공격에 대한 포렌식 자료 생성

박 대 우†

호서대학교 벤처전문대학원 IT응용기술학과

A Study of Generate Forensic Data Packet about a DoS

Attack in WiBro Networks

Dae-Woo Park†

Applied IT Technology Science, Hoseo Graduate School of VENTURE

요 약

IEEE 802.16e WiBro DoS

, . DoS

IP .

WiBro WiBro Modem

. Cain & Abel Wireshark, e-Watch Lite ,

DoS hGod.exe DoS 5.5 final , DNS, TCP, HTTP, IP,

ICMP .

.

.

WiBro

.

ABSTRACT

IEEE 802.16e international standard, We analyze a packet regarding a DoS attack of a

mobile terminal hacker, and generate audit record and forensic data at the WiBro network

systems. We ensure integrity data regarding a packet aggressive illegal DoS of a hacker, and

we get an IP back-tracking base regarding a mobile terminal. In the WiBro network

environment, the attacker and the victim are the WiBro mobile terminal. The packet

analyzers(Cain & Abel, Wireshark and e-Watch Lite) are used to analyze attacks. The DoS

attacks are simulated by using hGod.exe and DoS 5.5. And the paper analyzes the

protocols(DNS, TCP, HTTP, IP, ICMP). By showing that the time extracted from the DoS

attack packets and the current time from a cellular phone are the same, the integrity is

proved. The correspondence can be used the evidence for judging legal responsibility against

the DoS attack. When security accidents occur, the forensic data and the traceback data are

generated.

Keywords : DoS Hacking, Forensic, Packet Analysis, WiBro network

†교신 자 : prof1@paran.com

디지털 포렌식 연구

제 2 호 ( 2 0 0 8 . 6 )

34

Ⅰ

한국은 IEEE 802.16e 국제표 인 WiBro(Wireless Broadband Internet) 네트워크 시스템

설치하여, 서울과 수도권 국 지역으로 확 하고 있다. WiBro는 인터넷 휴 단말기를 이용

하여, 정지 이동 에도 Any Time, Any Where, Any Device에서 고속으로 무선인터넷 속이

가능한 서비스이다.

WiBro는 PC, 노트북 컴퓨터, PDA, 차량용 수신기 등에 WiBro 단말기를 설치하면 이동하는

자동차 안이나 지하철에서도 휴 폰처럼 자유롭게 인터넷을 이용할 수 있다. WiBro 통합단말기

에서 이동 화, DMB(Digital Multimedia Broadcasting 등 다 모드의 지원이 가능하다. 재

사용자 용도에 따라 다양한 형태의 단말기가 [그림 1]처럼 제공되고 있다.

1. WiBro Modem, (DMB, ) ,

WiBro 단말기 사용자들은 이메일, 화상 화, 융거래, MMS(Multimedia Message Service),

SMS(Short Message Service) 등 데이터서비스만이 아니라 고속 인터넷을 통해서 화, 스트

리 , VOD(Video On Demand), 일 다운로드 등 고속 데이터 서비스를 언제, 어디서나 사용

할 수 있게 된다. 한 속 이동 에도 실시간 교통정보 안내 텔 매틱스(Telematics) 서비

스와 휴 인터넷 시스템의 멀티캐스트/ 로드캐스트 기술을 이용한 DMB 서비스를 제공한다.

국내외 통신 문가들은 WiBro가 4세 이동통신의 핵심기술이 될 것으로 망하고 있다.

한국침해사고 응 의회가 설문조사를 작성한 결과인 `CONCERT FORECAST 2008 보고

서'에 따르면 DDoS(Distributed Denial of Service) 공격 우려 확 등2008년 6 보안 이슈로

꼽았다. 실제로 융권 시스템에 가용성에 한 DoS 공격의 취약 [1]이 노출되고 2008년에도

계속 DoS 공격[2]이 진행되어 졌었다.

본 논문에서는 날로 확 되어가는 WiBro 환경에서 실험 으로 DoS 공격을 실시하여, 이동단

말을 통한 공격자가 남긴 패킷을 분석하고 연구[3] 하겠다. 한 패킷을 근거로 포 식 자료를

생성하고, 공격자의 패킷 분석을 근거[4]로 하여, 이동단말기의 사용자가 DoS 공격에 한 법률

인 책임[5]을 단하는 포 식(Forensic) 자료를 확보[6]하는데 연구의 목 이 있다.

35

Ⅱ

WiBro는 2005년 12월에 IEEE 802.16e 국제표 [6]으로 확정되었다. IEEE 802.16e에는 시분할

다 송방식(TDD), 직교 주 수 분할 다 속(OFDMA) 등 와이 로의 핵심 기술이 포함된

역 무선 이동통신 속 규격요소기술들의 반 을 통해 성능향상 용량이 증 된 2단계

표 의 개정이 완료되어 졌다. 다음 [표 1]은 WiBro의 주요 로 일 이다.

1. WiBro

사용 역 2.3GHz

채 역폭 8.75MHz

임 길이 5ms

다 속 방식OFDMA

(Orthogonal Frequency Division Multiple Access)

이 화 방식 -TDD(Time Division Duplexing)

가입자당 송속도상향 최소/최 : 128kbps/1Mbps

하향 최소/최 : 512kbps/3Mbps

주 수 재사용 계수 1

Handoff기지국내 셀간, 기지국간 handoff 지원

주 수간 handoff 시간 : 150ms 이하

이동성 최 60km/h

서비스 커버리지피코셀(Picocell) : 100m, 마이크로셀(Microcell) : 400m,

매크로셀(Macrocell) : 1km

네트워크에서 발생하는 해커의 공격으로부터 바이러스 감염 등의 모든 문제는 패킷을 통해

분석 할 수 있다. 패킷 분석은 패킷 스니핑, 로토콜 분석이며, 패킷 분석 도구[8]로는 Tcpdump,

OmniPeek, Cain & Abel, Wireshark 등이 있으며 수사기 과 법원에서 검증된 툴[9]도 사용한다.

Wireshark는 공식 홈페이지에서 최신 버 의 일을 다운 받아 설치하며, 유무선에 따라

WinPcap과 AirPcap을 설치하여 promiscuous 모드로 운 되게 설치한다. 시스템 최소 요구

사양은 400Mhz이상의 CPU, 60MB이상의 HDD, IEEE 802.11 지원의 NIC이다.

36

`CONCERT FORECAST 2008 보고서'의 조사결과에서 DoS(DDoS) 공격에 한 우려가 확산

다는 것이다. 해커는 [그림 2]처럼 IP 주소가 변경된 패킷으로 Handler(Reflector)를 감염시킨

후에, 량의 패킷을 일순간에 보내거나, 정상 인 서비스를 마비시키는 DoS공격이나, DDoS,

DRDoS 공격을 한다. IP spoofing 공격은 IP 주소가 변경된 패킷을 이용하여 TCP 연결을 유지

할 수 없게 한다. 이때 해커인 Attacker는 리 터(Reflector)를 이용하여 Nn 좀비(Zombi)를

만들어 목표(Victim) 시스템과 네트워크 가용자원을 일시에 공격한다. 따라서 공격 패킷을 분석

하여 디지털 범죄에 한 포 식자료[10]로 비해야 한다.

2. DoS(DDoS, DRDoS)

이동단말기에서 MAC 기술은 인증과 암호 키의 교환, 암호화 등의 기능을 수행하여 근제어를

실시한다. 외부 네트워크와 송수신하는 데이터의 변환과 매핑, 유료부하 헤더압축 등의 기능을

수행하는 CS(Convergence Sublayer) 등 3개의 부 계층으로 구성된다. 패킷의 송수신을 제어하기

한 MAC 계층에서 트래픽 버스트 데이터 할당에 한 정보와 물리계층의 제어메시지를 포함

하고 있는 MAP의 종류에는 Normal MAP, Compressed MAP, HARQ MAP, HARQ지원

Normal MAP Extension, Sub-DL-UL-MAP 등이 있어 이 기능을 통한 이동단말의 치 추

호 할당과 련한 로그기록을 확보[11] 한다. 확보된 로그 기록을 포 식 데이터로 만들고 이를

통해 이동단말기의 역추 [12]을 실시한다.

IP 역추 은 [그림 3]처럼 이동단말기를 통해 실제로 해킹을 실시하는 마스터에 한 역추

으로, 특정 시스템으로 IP 주소를 보낸 간 경유지를 역추 한 후, 최종 송신시스템을 실제로

역추 하기 한 기술을 말한다.

37

3. DDoS IP

Ⅲ

휴 폰에서 데이터를 추출하는 방법은 크게 논리 근 방식의 추출 방법과 물리 근

방식의 추출 방법 두 가지로 나 수 있다.

3.1.1 WiBro

WiBro 네트워크 시스템 구조는 휴 인터넷 단말(MSS : Mobile Subscriber Station), 기지국

(BS : Base Station), 제어국(ACR : Access ControlRouter)과 백본(Backbone) 네트워크로 구성된다.

4. WiBro Network Mobile

38

3.1.2 WiBro Mobile Cell

[그림 4]처럼 WiBro 이동 단말기가 서비스 속 인 단말이 기지국과 통신 에 이동하는

경우, 해당 셀 역을 벗어나 다른 셀 역으로 handoff 차를 수행하면, 이 기지국에서 이동한

새로운 기지국으로 인증에 필요한 정보를 넘겨주어야 한다. 한 handoff한 기지국에 한 인증

차를 거쳐서 [그림 5]처럼 WiBro 네트워크 시스템에 속된다.

5. WiBro

이 경우 이동단말이 MOB_BSHO-RSP를 수신하고 목표 기지국을 결정했으면, 재 서비스

기지국에게 MOB_HO-IND 메시지를 보내어 handoff를 최종 으로 통지하고, 곧 바로 handoff를

실행한다. MOB_HO-IND를 송한 시 부터 WiBro 단말은 서비스 기지국을 통해 더 이상

패킷을 송수신할 수 없으므로, 새로운 네트워크로 이동한 후 가능한 신속하게 네트워크 재진입

(Re-entry) 차를 수행해야 한다. 네트워크 진입 과정이 성공 으로 완료되면 목표 기지국은

이동단말에 서비스를 개시한다.

WiBro 이동단말모뎀은 KT의 KWD-U1300 모델이다. [그림 6]은 KT의 WiBro USB 모뎀을

장착한 이동단말기이다.

39

6. WiBro

희생자 PC1의 스펙은 O.S.: Microsoft Windows XP Professional V2002, Service Pack 2,

CPU : Intel Core2 6400 2.13Ghz, RAM : 2GB, HDD: 300GB이다.

공격자 노트북1은 O.S.: Microsoft Windows XP Home Edition V2002, Service Pack 2,

CPU : Genuine Intel T2400 1.83Ghz, RAM : 1GB, HDD: 30GB이다.

간 노드 노트북2는 Microsoft Windows XP Professional V2002, Service Pack 3, CPU :

Intel pentium 4 2.66GHz, RAM : 448MB, HDD: 160GB이다.

실험에 참여하는 공격자 노트북1과 희생자 PC1 간 노드 노트북2에는 KT의

KWD-U1300 WiBro USB 모뎀을 각각 장착하여 WiBro 네트워크 환경에서 실험하 다.

Cain & Abel을 사용한다. http://www.oxid.it에서 Windows XP용 v4.9.23을 다운받아 Victim

WiBro 이동 단말기와 Attacker의 WiBro 이동 단말기에 WinPcap과 함께 설치한다.

Wireshark을 사용한다. http://www.wireshark.org에서 Windows XP용 v1.0.4을 다운받아

WinPcap과 함께 Victim, Attacker의 WiBro 이동 단말기에 설치한다.

e-Watch Lite을 http://ewatch.hangkong.ac.kr/download.htm 에서 다운로드 받아서 설치하 다.

hGod.exe은 Lion이 개발한 DoS 공격툴이다. Windows 머신에 한 각종 Flooding 공격을

수행한다. 임의의 IP 포트를 지정하여 출발지 IP를 Spoofing 할 수 있으며, 량의 패킷을

생성한다. Source IP를 지정하지 않았을 경우에는 랜덤하게 지정된다. IP Spoofing탐지를 용

하지 않을 경우, 일부에 해서는 non-existent address로 탐지된다. TCP/UDP SYN Flooding,

ICMP Flooding, IGMP Flooding, DRDoS 등의 공격을 지원한다.

DoS 5.5 final은 IP Fragment Attack의 표 인 공격 툴이며, ICMP와 UDP를 이용한 공격을

수행한다.

40

TCP SYN Flooding/DRDoS등 100개의 쓰 드로 공격하는 경우, 만약 IP Spoofing 탐지를

용하지 않는 경우에는 10개의 쓰 드로 순식간에 145,153개의 세션을 형성하여 목표 시스템을

공격한다.

ICMP/IGMP Flooding는 ICMP echo request/igmp-0 메시지를 량으로 송한다. 소스 IP는

Spoofing 되어 있으며 ICMP Flooding에 한 탐지는 Bad ICMP echo request packet 으로

탐지되며 IGMP는 탐지 되지 않는다.

IP fragment attack은 ICMP와 UDP를 이용한 공격을 수행한다. 패킷이 목 지에 도착하면

재조합 과정에서 offset과 more fragment 값이 틀리기 때문에 조합되지 못하고, 시스템의 자원이

고갈된다. 아래와 같이 IP헤더가 조작된 패킷을 량으로 송한다.

@ ip_off = 65520(fragment offset, 1FFE)

@ ip_id=0x0455 (identification 필드 값)

@ ip_sum=0xe32e(체크섬을 회피하기 해 정상값 셋 )

@ ip_len=29(Total Length, 0x1d)

@ ip_mf=0(마지막 fragment처럼 가장)

Ⅳ

실험실에 WiBro 이동단말을 장착하여 WiBro 네트워크를 구성하 다. 공격자인 해커의

WiBro 노트북1 단말기가 목표 시스템인 PC1과 간노드인 노트북2를 동원하여 DoS공격을

실시하고, WiBro DoS공격에 한 패킷을 분석한다. 패킷에 한 분석과 포 식 자료를 생성하고,

동시에 역추 을 실시한다.

패킷 분석을 한 툴은 Cain & Abel Windows XP용 v4.9.23과, Wireshark Windows XP용

v1.0.4, e-Watch Lite을 목표 WiBro 이동 단말기에 설치한다.

0018 GCT WIBRO USB Network Device의 NIC를 선택하여 WinPcap promiscuous 모드에서

패킷을 캡처하고, 분석하 다.

WiBro 이동단말모뎀은 KT의 KWD-U1300 모델이다.

통신 시스템 스펙은 PC1의 O.S.: Microsoft Windows XP Professional V2002, Service Pack 2,

CPU :Intel Core2 6400 2.13Ghz, RAM : 2GB, HDD: 300GB이다. 노트북1은 O.S.: Microsoft

Windows XP Home Edition V2002, Service Pack 2, CPU : Genuine Intel T2400 1.83Ghz,

RAM : 1GB, HDD: 30GB이다. 노트북2는 Microsoft Windows XP Professional V2002,

Service Pack 3, CPU : Intel pentium 4 2.66GHz, RAM : 448MB, HDD: 160GB이다.

TCP SYN Flooding/DRDoS등 10개의 쓰 드가 순식간에 145,153개의 세션을 형성하여 목표

시스템을 공격하 다. 그 결과 WiBro 목표 시스템이 다운되었다.

41

IP Fragment,공격에서 약 800KB의 공격이 1분정도 지속되자 WiBro 목표 시스템의 처리

속도가 느려지면서 자원이 소모되어 리자의 정상 인 로그인이 불가능한 상태가 되었고, 조

후에 목표 시스템이 Crash 되었다. 이때, 이동 의 노트북은 정지 상태의 PC 시스템보다 자원의

가용성을 빨리 고갈시키며 시스템이 정지 되었다.

ICMP/IGMP Flooding으로 ICMP echo request/igmp-0 메시지를 량으로 송하 다. 소스

IP는 Spoofing 되어 있으며 ICMP Flooding에 한 탐지는 Bad ICMP echo request packet 으로

탐지되며 IGMP는 탐지 되지 않았다.

공격을 당한 목표 시스템은 해당 패킷을 처리하기 해 CPU 자원의 평균 70% 정도를 소모

하 다. 목표 시스템의 경우 커 벨에서 드롭하고 로그는 남기지 않았다.

WiBro DoS 공격 실험에서 [그림 7]처럼 목표 시스템에서 Wireshark Windows XP용 v1.0.4을

통해 패킷을 캡처하고 시스템 자원에 한 패킷을 분석한다. 분석된 패킷은 감사 로깅 시스템에서

감사자료와 함께, 네트워크에 한 불법 인 DoS공격을 역추 할 수 있는 매우 유용한 정보가

된다.

4.2.1 DNS

Time 0.000000 Source 125.152.8.34가 Destination 168.126.63.1에게 DNS Stadard query

AAAA cyad.nate.com을 요청 하 다.

4.2.2 TCP

Time 0.256863 Source 125.152.8.34가 Destination 203.226.255.11에게 TCP ap1x > http

[SYN] Seq=0 Win=65535 Len=0 MSS=1360 요청하 다. 응답으로 [SYN, ACK] Seq=0

Ack=1 Win=5840 Len=0 MSS=1460을 응답하 다.

7. Victim

42

4.2.3 IP Fragmented

[그림 8]처럼 Time 41.253390 Source 125.152.9224가 Destination 125.152.8.34에게 IP

Fragmented IP Protocol (proto=icmp 0x01, off=0 등의 패킷을 연속 으로 보내어 DoS 공격을

하 다.

8. IP Fragmented DoS

재 WCDMA방식의 이동통신단말기는 우리나라 역에 같은 시각을 표 시로 표시하고 있다.

따라서 [그림 9]처럼 DoS공격으로 수집한 패킷의 내용에서의 시간과 컴퓨터에서 하는 시간과

휴 폰의 시간을 놓고 사진을 어서 시간이 일치함을 증명한다.

즉 DoS공격을 당하고 수집한 패킷의 내용에서 분석된 자료는 시간이 일치되고, 공겨의 내용이

일치되어 조작이 되지 않는 무결성을 검증하는 자료가 될 것이다. 이는 법정에서 증거 자료로

채택되어 불법 인 DoS공격에 한 법 인 책임을 단하는 증거자료로서 사용 될 것이다.

9. WCDMA

43

Ⅴ

본 논문은 IEEE 802.16e 국제표 인 WiBro 이동단말 네트워크 시스템에서 해커의 DoS

공격에 한 패킷을 분석하고, 로그 자료와 함께 역추 을 실시한다. 해커의 불법 인 DoS 공격

패킷에 한 무결성 자료를 확보하여 포 식 자료를 생성하는 기반을 마련하 다.

WiBro 네트워크 환경에서 WiBro Modem을 통한 이동단말을 Attacker와 Victim 시스템으로

설정한다. 패킷 분석 툴인 Cain & Abel과 Wireshark, e-Watch Lite를 설치하고, 해커의 DoS

공격은 hGod.exe와 DoS 5.5 final 툴을 이용한 공격을 통해, DNS, TCP, HTTP, IP, ICMP

패킷을 분석하 다. Victim 시스템 패킷 분석 내용과 네트워크의 로그 감사기록과 이동통신

시스템의 시간의 일치함을 증명하여 무결성을 확보한다. 이 자료는 포 식 자료로 생성되어

법정에서의 증거로 채택될 수 있도록 한다.

한 침해 사고가 발생하 을 경우에, 역추 과 함께 보안 감사 자료로써, 모바일 포 식

자료나, 이동단말 포 식 자료를 생성하여, WiBro 네트워크 시스템에서의 이동단말에 한

안정성과 보안성을 강화 할 수 있다.

향후 연구에서는 WiBro IPv6 환경에서의 이동단말에 한 무결성 검증과 실시간 역추

네트워크 포 식 자료 생성에 한 연구가 필요하다.

44

[1] Jone Bellardo, Stefan Savage, "802.11 Denail-of Service Attacks: real vulnerabilities and

practical solution", Usenix Security Symposium, 2003.

[2] M.Bernaschi, F. Ferreri, L. Valcamonnici, "Access point vulnerabilities to DoS attack in

802.11 network"' Wireless Network, 9 October 2006.

[3] Tim Grance, Suznne Chvalier, Karen Kent, Hung Dang, "Guide to Computer and network

Data Analysis: Applying Forensic techniques to incident response," NIST, August 2005.

[4] Mark Reith, Clint Carr, Gregg Gunsch, "An Examination of Digital Forensic Model",

International Journal of Digital Evidence, 1(3), 2002.

[5] Orin S. Kerr, "Digital Evidence and the New criminal procedure"' Columbia Law review,

Vol.105. 2005.

[6] Philip Turner, 'Applying a forensic approach to incident response, network investigation

and system administration using Digital Evidence Bags", Digital Investigation 4,

pp.30-35, 2007.

[7] IEEE 802.16e, http://standards.ieee.org/getieee802/download/802.16e-2005.pdf

[8] Bsing, M. E., Null. J., & Fprcht, K, "computer forensic ; The modern crime fighting

tool"' journal of Computer information System, 46(2), 115-119. 2005.

[9] Ieong R. S. C. "Freeware Live Forensic tools evaluation and operation tips"' 4th

Australian Digital Forensic Conference, 2006.

[10] Kanellis, P., Kiountouzis, E., Kolotronis, N., Marrakos, D. (Eds.), "Digital crime and forensic

science in cyberspace", Journal of digital forensic practice. Hershey: Idea Group. 2006.

[11] Williamson, B, "Forensic Analysis of the Contents of Nokia Mobile Phones", School of

Computer and Information Science Edith Cowan University Perth, 2005.

[12] D. Schnackenberg, K. Djahandary, and D Strene, “Cooperative Intrusion Traceback and

Response Architecture(CITRA),”Proceedings of the 2nd DARPA Information

Survivability Conference and Exposition(DISCEXII), June 2001.

45

著 紹介

박 대 우(Dae-Woo Park) 정회원

1987년 02월: 서울시립 학교 경 학과 경 학사

1995년 01월: 숭실 학교 컴퓨터학과 컴퓨터 공

1998년 08월: 숭실 학교 컴퓨터학과 공학석사

2004년 02월: 숭실 학교 컴퓨터학과 공학박사

2000년 11월: (주)매직캐슬 정보통신 부사장/연구소장

2002년 02월: 숭실 학교 정보보안학과, 컴퓨터학과 시간강사, 겸임조교수

2005년 02월: (주)지우솔루션 연구소장

2006년 08월: 정보보호진흥원(KISA) 선임연구원

2007년 03월: 호서 학교 벤처 문 학원 IT응용기술학과 조교수

< 심분야> 정보보호, 유비쿼터스 네트워크 보안, 보안 시스템, CERT/CC,

Forensic, VoIP 보안, 이동통신 WiBro 보안, IT-Convergence