스머프 공격

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.

1. 개요
2. 역사
- 2.1. 스머프 공격의 등장
- 2.2. 1990년대 후반의 확산과 대응
3. 작동 원리
4. 피해
5. 대응 방안
- 5.1. 시스코 라우터에서의 대응
- 5.2. 추가적인 대응
6. Fraggle 공격
참조

1. 개요

스머프 공격은 1997년 Dan Moschuk(TFreak)에 의해 개발된 서비스 거부 공격의 일종이다. 스머프 공격은 공격자가 가짜 IP 주소를 사용하여 대상 네트워크의 브로드캐스트 주소로 ICMP 에코 요청을 전송하여, 해당 네트워크 내의 모든 호스트가 대상 IP 주소로 ICMP 에코 응답을 보내도록 유도한다. 이로 인해 대상 서버나 네트워크는 과도한 트래픽으로 인해 마비될 수 있다. 스머프 공격에 대응하기 위해 라우터와 호스트를 설정하여 브로드캐스트 주소로 향하는 패킷을 무시하거나, 침입 필터링을 통해 위조된 출발지 주소를 가진 패킷을 차단하는 등의 방법이 사용된다.

더 읽어볼만한 페이지

서비스 거부 공격 - 2011년 재보궐선거 사이버테러 사건
2011년 재보궐선거 사이버테러 사건은 2011년 10월 26일 재보궐선거 당일 중앙선거관리위원회와 박원순 서울시장 후보 웹사이트에 발생한 분산 서비스 거부 공격 사건으로, 한나라당 최구식 의원의 비서 공현민이 공격을 주도하여 관련자들이 처벌받았으며, 정치적 파장을 일으켜 최구식 의원의 사퇴와 한나라당의 쇄신으로 이어졌다.
서비스 거부 공격 - 슬래시닷 효과
슬래시닷 효과는 인기 웹사이트의 언급으로 인해 특정 웹사이트에 갑자기 많은 사용자가 몰려 접속 불능 상태가 되는 현상을 의미하며, 이는 대역폭 초과나 서버 과부하로 발생하고, 콘텐츠 미러링 등의 방법으로 완화한다.

스머프 공격
개요
유형	DDoS 공격
공격 방식	IP 브로드캐스트, ICMP
목표	네트워크 대역폭 고갈
기술적 세부 사항
설명	스머프 공격은 공격자가 소스 IP 주소를 희생자의 주소로 위조한 ICMP (ping) 패킷을 IP 브로드캐스트 네트워크로 전송하여 네트워크를 DDoS에 사용하는 방식이다. 네트워크의 모든 호스트는 핑 요청에 응답하며, 이는 희생자에게 전송된다.
작동 방식	공격자는 희생자의 IP 주소를 소스 주소로 위조한 ICMP 에코 요청 패킷을 브로드캐스트 주소로 보낸다. 라우터는 패킷을 브로드캐스트 주소로 전달하여 네트워크의 모든 호스트가 ICMP 에코 요청을 수신하도록 한다. 기본적으로 네트워크의 모든 호스트는 원래 희생자에게 응답한다. 공격자가 충분한 요청을 보내면 희생자에게는 네트워크 트래픽이 쇄도하여 희생자의 컴퓨터가 응답할 수 없게 된다.
방어
방법	라우터에서 IP 브로드캐스트 전달을 비활성화한다. 호스트에서 브로드캐스트 주소에 대한 응답을 무시하도록 구성한다. 방화벽에서 ICMP 패킷을 필터링한다.
기타
유사 공격	Fraggle 공격 (UDP 기반)

2. 역사

1990년대 말, 수많은 IP 네트워크들이 확인 요청을 받으면 스머프 공격에 가담하게 되었다. 즉, 브로드캐스트 주소로 송신되는 ICMP 요청에 응답하는 형태였다.^[17] 이 공격의 이름은 매우 작지만 수많은 공격자들이 훨씬 더 큰 대적(스머프 참고)을 위협하는 개념에서 지어졌다.^[17] 1997년 댄 모슈크(Dan Moschuk, 별칭 TFreak)가 스머프 공격을 생성하는 원래 도구인 `smurf.c`를 개발하였다.^[2]^[3]^[10] 오늘날 관리자들은 이러한 악용에 면역이 되도록 네트워크를 만들 수 있으므로, 스머프 공격에 취약한 네트워크는 거의 남아 있지 않다.^[11]

2. 1. 스머프 공격의 등장

스머프 공격을 수행하는 최초의 프로그램은 1997년 댄 모스척(Dan Moschuk, 일명 TFreak)에 의해 작성되었으며^[2]^[3]^[10], 당시 프로그램명에서 유래하여 스머프 공격으로 불리게 되었다.

1990년대 후반에는 많은 IP 네트워크가 스머프 공격에 참여하게 되었다(즉, 브로드캐스트 주소로 전송된 ICMP 요청에 응답했다). 그 이름은 만화 스머프에 등장하는 가상의 종족처럼, 몸집은 작지만 훨씬 큰 상대를 다수가 공격하여 압도한다는 데서 유래했다. 오늘날에는 네트워크를 이러한 공격으로부터 보호하는 수단이 확립되어 있어, 스머프 공격에 취약한 채로 남아있는 네트워크는 거의 없다^[11]

2. 2. 1990년대 후반의 확산과 대응

1990년대 말, 수많은 IP 네트워크들이 확인 요청을 받으면 스머프 공격에 가담하게 되었다. 즉, 브로드캐스트 주소로 송신되는 ICMP 요청에 응답하는 형태였다.^[17] 이 공격의 이름은 매우 작지만 수많은 공격자들이 훨씬 더 큰 대적(스머프 참고)을 위협하는 개념에서 지어졌다.^[17] 1997년 댄 모슈크(Dan Moschuk, 별칭 TFreak)가 스머프 공격을 생성하는 원래 도구인 `smurf.c`를 개발하였다.^[2]^[3]^[10] 오늘날 관리자들은 이러한 악용에 면역이 되도록 네트워크를 만들 수 있으므로, 스머프 공격에 취약한 네트워크는 거의 남아 있지 않다.^[11]

3. 작동 원리

스머프 공격은 ICMP 에코 요청 및 응답을 이용한다. 공격자는 ICMP 에코 요청 패킷의 발신 주소를 공격 대상의 IP 주소로 위조하고, 대상 주소를 네트워크의 브로드캐스트 주소로 설정한다. 이 요청을 받은 네트워크 내의 모든 호스트들은 위조된 발신 주소, 즉 공격 대상으로 ICMP 에코 응답을 보내게 된다.

하위 섹션에서 스머프 증폭기, 공격 유형, 증폭에 관하여 상세하게 다루고 있으므로, 작동 원리에서는 간략하게 요약된 정보만 제공하였다.

3. 1. 스머프 증폭기

스머프 증폭기는 스머프 공격에 사용될 수 있는 컴퓨터 네트워크이다. 스머프 증폭기는 스머프 공격의 심각성을 악화시키는데, 이는 가짜 발신 IP 주소로 피해자에게 다량의 ICMP 응답을 생성하도록 구성되어 있기 때문이다.^[5]

DDoS에서 증폭은 원래 공격 트래픽이 피해 컴퓨터로 전송되는 동안 (스머프 증폭기의 도움을 받아) 겪는 대역폭 향상 정도이다. 예를 들어, 증폭 계수가 100이면 공격자가 100만달러/s의 자체 대역폭만 사용하여 1억달러/s의 트래픽을 생성할 수 있다는 의미이다.^[5]

스머프 공격의 영향을 완화하기 위한 대처가 취해지지 않는다고 가정할 때, ''n''개의 활성 호스트(ICMP 에코 요청에 응답할 호스트)가 있는 대상 네트워크에서 다음과 같은 일이 발생한다.

ICMP 에코 요청 패킷은 가짜 발신 주소(스머프의 대상)와 대상 주소(꼭두각시, 공격의 명백한 출처)를 갖는다. 두 주소 모두 유니캐스트와 브로드캐스트의 두 가지 형태를 취할 수 있다.

이중 유니캐스트 형태는 일반적인 핑과 유사하다. ICMP 에코 요청이 꼭두각시(단일 호스트)로 전송되고, 꼭두각시는 대상(소스 주소의 단일 호스트)으로 단일 ICMP 에코 응답(스머프)을 다시 보낸다. 이 유형의 공격은 1의 증폭 계수를 갖는다. 즉, 핑당 하나의 스머프만 생성된다.

대상이 유니캐스트 주소이고 대상이 대상 네트워크의 브로드캐스트 주소인 경우, 네트워크의 모든 호스트가 에코 요청을 받게 된다. 이에 따라 각 호스트는 대상에게 응답하므로 대상은 ''n''개의 스머프로 넘쳐난다. 증폭 계수 = ''n''. ''n''이 작으면 호스트가 방해를 받을 수 있지만 마비되지는 않는다. ''n''이 크면 호스트가 중단될 수 있다.

대상이 브로드캐스트 주소이고 꼭두각시가 유니캐스트 주소인 경우, 네트워크의 각 호스트는 핑당 하나의 스머프를 받게 되므로, 각 호스트당 1의 증폭 계수를 갖지만, 네트워크의 증폭 계수는 ''n''이다. 일반적으로, 네트워크는 ''n''이 너무 크지 않으면 이러한 형태의 공격에 대처할 수 있다.

원래 패킷의 소스 및 대상 주소가 모두 대상 네트워크의 브로드캐스트 주소로 설정되면 상황이 빠르게 통제 불능 상태가 된다. 모든 호스트는 에코 요청을 받지만, 그에 대한 모든 응답은 다시 모든 호스트로 브로드캐스트된다. 각 호스트는 초기 핑을 받고, 응답을 브로드캐스트하고, 모든 ''n-1''개의 호스트로부터 응답을 받는다. 단일 호스트의 증폭 계수는 ''n''이지만, 네트워크의 증폭 계수는 ''n²''이다.

ICMP 에코 요청은 일반적으로 초당 한 번 전송된다. 응답에는 요청의 내용이 포함되어야 한다. 일반적으로 몇 바이트이다. 100개의 호스트가 있는 네트워크로 단일 (이중 브로드캐스트) 핑을 보내면 네트워크에서 10000개의 패킷을 처리하게 된다. 핑의 페이로드가 15000 바이트(또는 이더넷에서 10개의 전체 패킷)로 증가하면 해당 핑으로 인해 네트워크는 초당 100000개의 큰 패킷을 처리해야 한다. 초당 더 많은 패킷을 보내면 공격이 지속되는 동안 네트워크의 모든 호스트가 연결할 수 없게 된다.

3. 2. 증폭

'''스머프 증폭기'''는 스머프 공격에 사용될 수 있는 컴퓨터 네트워크이다. 스머프 증폭기는 가짜 발신 IP 주소로 피해자에게 다량의 ICMP 응답을 생성하도록 구성되어 있어 스머프 공격의 심각성을 악화시킨다.^[5]

DDoS에서 증폭은 원래 공격 트래픽이 피해 컴퓨터로 전송되는 동안 (스머프 증폭기의 도움을 받아) 겪는 대역폭 향상 정도이다. 예를 들어, 증폭 계수가 100이면 공격자가 1Mb/s의 자체 대역폭만 사용하여 100Mb/s의 트래픽을 생성할 수 있다는 의미이다.^[5]

스머프 공격의 영향을 완화하기 위한 대처가 취해지지 않는다고 가정할 때, ''n''개의 활성 호스트(ICMP 에코 요청에 응답할 호스트)가 있는 대상 네트워크에서 다음과 같은 일이 발생한다. ICMP 에코 요청 패킷은 가짜 발신 주소(스머프의 대상)와 대상 주소(꼭두각시, 공격의 명백한 출처)를 가지며, 두 주소 모두 유니캐스트와 브로드캐스트의 두 가지 형태를 취할 수 있다.

이중 유니캐스트 형태: 일반적인 핑과 유사하다. ICMP 에코 요청이 꼭두각시(단일 호스트)로 전송되고, 꼭두각시는 대상(소스 주소의 단일 호스트)으로 단일 ICMP 에코 응답(스머프)을 다시 보낸다. 이 유형의 공격은 증폭 계수가 1이다. (핑당 하나의 스머프만 생성)

대상이 유니캐스트 주소이고 대상이 대상 네트워크의 브로드캐스트 주소인 경우: 네트워크의 모든 호스트가 에코 요청을 받게 된다. 이에 따라 각 호스트는 대상에게 응답하므로 대상은 ''n''개의 스머프로 넘쳐난다. 증폭 계수 = ''n''. ''n''이 작으면 호스트가 방해를 받을 수 있지만 마비되지는 않으며, ''n''이 크면 호스트가 중단될 수 있다.

대상이 브로드캐스트 주소이고 꼭두각시가 유니캐스트 주소인 경우: 네트워크의 각 호스트는 핑당 하나의 스머프를 받게 되므로, 각 호스트당 증폭 계수는 1이지만 네트워크의 증폭 계수는 ''n''이다. 일반적으로, 네트워크는 ''n''이 너무 크지 않으면 이러한 형태의 공격에 대처할 수 있다.

원래 패킷의 소스 및 대상 주소가 모두 대상 네트워크의 브로드캐스트 주소로 설정된 경우: 상황이 빠르게 통제 불능 상태가 된다. 모든 호스트는 에코 요청을 받지만, 그에 대한 모든 응답은 다시 모든 호스트로 브로드캐스트된다. 각 호스트는 초기 핑을 받고, 응답을 브로드캐스트하고, 모든 ''n-1''개의 호스트로부터 응답을 받는다. 단일 호스트의 증폭 계수는 ''n''이지만, 네트워크의 증폭 계수는 ''n²''이다.

ICMP 에코 요청은 일반적으로 초당 한 번 전송된다. 응답에는 요청의 내용이 포함되어야 하며, 일반적으로 몇 바이트이다. 100개의 호스트가 있는 네트워크로 단일 (이중 브로드캐스트) 핑을 보내면 네트워크에서 10,000개의 패킷을 처리하게 된다. 핑의 페이로드가 15,000 바이트(이더넷에서 10개의 전체 패킷)로 증가하면 해당 핑으로 인해 네트워크는 초당 100,000개의 큰 패킷을 처리해야 한다. 초당 더 많은 패킷을 보내면 공격이 지속되는 동안 네트워크의 모든 호스트가 연결할 수 없게 된다.

3. 3. 공격 유형

스머프 공격은 가짜 발신 IP 주소를 가진 대량의 ICMP 패킷을 사용하여 대상 네트워크를 마비시키는 분산 서비스 거부(DDoS) 공격의 한 유형이다. 이 공격은 스머프 증폭기라는 특수한 컴퓨터 네트워크를 활용하여 그 효과를 증폭시킨다.^[5]
스머프 증폭기의 작동 원리:스머프 증폭기는 공격자가 보낸 ICMP 요청 패킷을 네트워크 내의 여러 호스트에게 전달하고, 각 호스트는 ICMP 응답을 위조된 발신 IP 주소(공격 대상)로 보내도록 구성되어 있다. 이러한 증폭 과정을 통해 공격자는 적은 대역폭으로도 대상 시스템에 막대한 트래픽을 발생시킬 수 있다. 예를 들어, 증폭 계수가 100이라면 공격자는 1 Mb/s의 대역폭만으로 100 Mb/s의 트래픽을 생성할 수 있다.^[5]
스머프 공격의 유형:스머프 공격은 ICMP 에코 요청 패킷의 발신 주소와 대상 주소의 형태에 따라 다음과 같이 분류할 수 있다.

유형	발신 주소	대상 주소	증폭 계수	설명
이중 유니캐스트	유니캐스트	유니캐스트	1	일반적인 핑과 유사하며, 핑당 하나의 스머프(ICMP 에코 응답)만 생성된다.
대상 유니캐스트, 대상 브로드캐스트	유니캐스트	브로드캐스트	n (네트워크 내 활성 호스트 수)	네트워크의 모든 호스트가 에코 요청을 받고 대상에게 응답하므로 대상은 n개의 스머프로 넘쳐난다.
대상 브로드캐스트, 꼭두각시 유니캐스트	브로드캐스트	유니캐스트	각 호스트당 1, 네트워크 전체 n	네트워크의 각 호스트는 핑당 하나의 스머프를 받는다.
이중 브로드캐스트	브로드캐스트	브로드캐스트	각 호스트당 n, 네트워크 전체 n²	모든 호스트가 에코 요청을 받고, 모든 응답이 다시 모든 호스트로 브로드캐스트되어 상황이 빠르게 통제 불능 상태가 된다.

이중 브로드캐스트 공격의 위험성:이중 브로드캐스트 공격은 특히 심각한데, 네트워크 내의 모든 호스트가 서로에게 응답을 보내면서 증폭 계수가 기하급수적으로 증가하기 때문이다. 예를 들어, 100개의 호스트가 있는 네트워크에서 단일 이중 브로드캐스트 핑은 10,000개의 패킷을 처리하게 만들 수 있다. 핑의 페이로드가 커지면 네트워크는 초당 수십만 개의 패킷을 처리해야 할 수도 있으며, 이는 네트워크 전체를 마비시킬 수 있다.
프래글 공격 (Fraggle Attack):UDP를 이용하는 스머프 공격의 변종이다. 공격자는 대량의 UDP 트래픽을 IP 브로드캐스트 주소의 포트 7(Echo) 및 19(CHARGEN)로 전송하고, 그 송신원 주소를 표적 IP 주소로 위장한다.^[14] 이는 스머프 공격과 매우 유사하게 작동하여 네트워크 상의 많은 컴퓨터가 표적 IP 주소로 트래픽을 다시 보내 트래픽을 넘치게 한다.^[14]

4. 피해

스머프 공격은 서버와 네트워크를 마비시킬 수 있다. 통신 네트워크의 대역폭이 소모되어 통신 네트워크가 마비될 수 있다.^[6]

5. 대응 방안

스머프 공격에 대한 대응책은 크게 두 가지로 나눌 수 있다.

개별 호스트와 라우터를 설정하여 ICMP 요청 및 브로드캐스트에 응답하지 않도록 한다.
라우터가 브로드캐스트 주소로 향하는 패킷을 전달하지 않도록 설정한다. 1999년까지는 라우터가 기본적으로 이러한 패킷을 전달하도록 표준에서 요구했지만, 그 이후 표준이 변경되어 이러한 패킷을 전달하지 않도록 바뀌었다.^[12]

또한, 침입 필터링을 구현하여 위조된 출발지 주소를 가진 공격 패킷을 거부하는 것도 중요하다.^[13]

5. 1. 시스코 라우터에서의 대응

시스코 라우터에서 브로드캐스트 주소로 패킷을 전달하지 않도록 설정하는 방법은 다음과 같다.^[7]

```

Router(config-if)# no ip directed-broadcast

```

위 설정은 네트워크가 스머프 공격의 대상이 되는 것을 보호하지는 않으며, 단지 스머프 공격에 참여하는 것을 방지할 뿐이다.^[7]

5. 2. 추가적인 대응

스머프 공격에 대한 대응책은 크게 두 가지로 나눌 수 있다.

호스트와 라우터를 구성하여 대상 주소가 브로드캐스트 주소인 패킷을 무시하도록 한다.
라우터가 브로드캐스트 주소로 향하는 패킷을 전달하지 않도록 구성한다. 1999년까지는 라우터가 기본적으로 이러한 패킷을 전달하도록 표준에서 요구했지만, 그 이후 표준이 변경되어 이러한 패킷을 전달하지 않도록 바뀌었다.^[12]

또한, 침입 필터링을 구현하여 위조된 출발지 주소를 가진 공격 패킷을 거부하는 것도 중요하다.^[13]

이러한 대응책을 통해 개별 호스트와 라우터는 ICMP 요청 및 브로드캐스트에 응답하지 않도록 설정할 수 있으며, 라우터는 브로드캐스트 주소로 향하는 패킷을 전달하지 않도록 설정하여 스머프 공격을 방지할 수 있다.

6. Fraggle 공격

프래글 공격(인형극 TV 시리즈 ''프래글 락''의 생물을 따서 명명됨)은 공격자가 많은 양의 UDP 트래픽을 7(에코) 및 19(CHARGEN) 포트로 보내는 스머프 공격의 변형이다. 네트워크의 많은 컴퓨터가 이 트래픽에 응답하여 피해자의 스푸핑된 소스 IP로 트래픽을 다시 보내어 트래픽을 넘치게 한다는 점에서 스머프 공격과 유사하게 작동한다.^[8]

이 공격의 소스 코드는 TFreak에 의해 공개되었다.^[9]

참조

_[1] 논문 Danger Theory Based Risk Evaluation Model for Smurf Attacks https://www.scientif[...] 2011
_[2] 웹사이트 Tfreak http://hackepedia.or[...] Hackepedia 2013-03-28
_[3] 웹사이트 What is a Smurf DDoS attack? https://www.cloudns.[...] 2021-09-09
_[4] 웹사이트 netscan.org (Web Archive) https://web.archive.[...] 1999-01-25
_[5] 서적 Second International Conference on Internet Monitoring and Protection (ICIMP 2007) IEEE Xplore 2020-12-30
_[6] 논문 The Impact of Smurf Attack on Web Server in Communication Network and its Preventions https://journal.mult[...] 2023-07-30
_[7] 웹사이트 A Cisco Guide to Defending Against Distributed Denial of Service Attacks https://www.cisco.co[...] 2019-09-26
_[8] 웹사이트 Fraggle attack https://security.rad[...] 2016-03-23
_[9] 서적 Maximum Security https://books.google[...] Sams Publishing 2003
_[10] 웹사이트 Tfreak http://hackepedia.or[...]
_[11] 웹사이트 netscan.org (Web Archive) https://web.archive.[...] 1999-01-25
_[12] 간행물 Changing the Default for Directed Broadcasts in Routers IETF
_[13] 간행물 Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing IETF
_[14] 웹사이트 Fraggle attack https://security.rad[...] 2019-02-26
_[15] 서적 Maximum Security https://books.google[...] Google books
_[16] 웹사이트 Tfreak http://hackepedia.or[...]
_[17] 웹사이트 netscan.org (Web Archive) https://web.archive.[...] 1999-01-25

본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com