맨위로가기

유니캐스트 플러드

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
목차

1. 개요

유니캐스트 플러드는 네트워크에서 특정 목적지로 전송되어야 할 프레임이 스위치의 주소 테이블 부족, 잘못된 네트워크 구성 등으로 인해 모든 포트로 전송되는 현상을 의미한다. 유니캐스트 플러딩은 네트워크 성능 저하, 패킷 손실, 보안 취약점 발생 등의 문제를 야기하며, 스위치 설정 변경, 호스트 격리, 네트워크 장비 교체 등의 방법으로 해결하거나 완화할 수 있다.

더 읽어볼만한 페이지

  • 인터넷 구조 - 네트워크 접속 지점
    네트워크 접속 지점(NAP)은 미국에서 ISP를 연결하기 위한 인터넷 연결점 중 하나이며, 미국 과학재단이 지원하여 설립되었고, 현재는 공용 교환 설비를 제공하지만 인터넷 트래픽의 대부분은 NAP를 거치지 않고 처리된다.
  • 인터넷 구조 - 사물인터넷
    사물 인터넷은 센서와 액추에이터를 통해 주변 환경을 감지하고 제어하는 사물들이 인터넷으로 연결되어 정보를 교환하는 네트워크 시스템으로, 효율성과 편의성을 증대시키지만 개인정보 보호 및 보안과 같은 과제도 안고 있다.
유니캐스트 플러드
유니캐스트 플러딩
"유니캐스트 플러딩 공격은 스위치 MAC 테이블의 오버플로를 발생시켜 스위치가 모든 패킷을 브로드캐스트하도록 만듭니다. 이로 인해 네트워크 성능이 저하됩니다."
정의스위치에서 MAC 주소를 알 수 없는 유니캐스트 트래픽을 모든 포트로 전달하는 것
원리
스위치 동작스위치는 MAC 주소 테이블을 사용하여 패킷을 올바른 포트로 전달
목적지 MAC 주소가 테이블에 없으면 스위치는 패킷을 모든 포트로 플러딩
공격 목표스위치의 MAC 주소 테이블을 가득 채워 스위치가 모든 패킷을 플러딩하도록 유도
공격 방법공격자는 스위치에 존재하지 않는 많은 MAC 주소를 가진 패킷을 보냄
스위치는 이러한 주소를 배우려고 시도하여 테이블이 빠르게 가득 참
결과
스위치 성능 저하스위치가 모든 트래픽을 플러딩하게 되면 네트워크 성능이 저하됨
네트워크 감청 가능성공격자가 다른 사용자의 트래픽을 감청할 수 있게 됨
예방
포트 보안스위치 포트에서 허용되는 MAC 주소 수를 제한
VLAN 제한VLAN을 사용하여 브로드캐스트 트래픽의 범위를 제한
트래픽 모니터링비정상적인 트래픽 패턴을 감지하고 대응

2. 배경

'''유니캐스트'''는 네트워크 내의 한 노드에서 다른 노드로 일대일 전송을 의미한다. 일반적으로 유니캐스트는 프레임이 여러 호스트가 아닌 의도된 수신자에게만 전달되기 때문에 더 안전한 것으로 간주된다.

한 네트워크 노드에서 다른 노드로의 유니캐스트 프레임 전송


스위치가 자신의 포워딩 테이블에 없는 대상 주소를 가진 유니캐스트 프레임을 수신하면, 해당 프레임은 브로드캐스트 프레임처럼 처리되어 프레임을 수신한 네트워크 세그먼트를 제외한, 연결된 모든 네트워크 세그먼트로 전송된다.

브로드캐스트 프레임 전송

3. 원인

유니캐스트 플러딩은 다음과 같은 다양한 원인으로 발생할 수 있다.


  • 스위치 학습 과정 문제: 스위치가 특정 장치의 MAC 주소를 학습하기 전에 일시적으로 발생한다.
  • 주소 테이블 용량 부족: 스위치의 주소 테이블이 가득 차서 새로운 MAC 주소를 저장할 수 없을 때 발생한다.
  • ARP 타이머 불일치: 호스트의 ARP 타이머가 스위치의 주소 캐시 보관 시간보다 길 때 발생한다.
  • 잘못된 네트워크 구성: 네트워크 경로 설정 오류로 인해 발생한다.
  • 스패닝 트리 프로토콜 (STP) 토폴로지 변경: STP/RSTP 환경에서 네트워크 토폴로지 변경 시 발생한다.


라우터와 같이 스위치 이외의 장치도 유니캐스트 플러드를 유발할 수 있다. 브리지 인터페이스는 있지만 브리지 캐시에 대상 프레임의 주소가 없는 라우터는 프레임을 모든 브리지 구성원으로 플러딩한다.[11]

3. 1. 스위치 학습 과정의 문제

트랜스패어런트 브리징의 학습 과정에서, 스위치가 유니캐스트 프레임을 특정 장치로 전달하려면 먼저 해당 장치로부터 프레임을 수신해야 한다. 이러한 전송이 있기 전에는 유니캐스트 플러딩을 통해 전송이 목적지에 도달하도록 보장한다. 일반적으로 수신 측은 학습 과정을 완료하는 응답을 생성하므로, 이 현상은 짧은 시간 동안만 지속된다.

이 과정은 장치가 처음에 네트워크에 연결되거나, 한 포트에서 다른 포트로 이동될 때, 또는 장치가 일정 시간(대부분 5분) 동안 활동이 없어 전달 테이블에서 제거될 때 발생한다.[10] 스위치는 네트워크 노드가 이동하거나 연결 해제될 때 이를 즉시 인지하지 못할 수 있으므로, 시간 제한이 필요하다.

주소 캐시에 공간이 부족한 스위치는 프레임을 모든 포트로 플러딩한다. 이는 호스트가 많은 네트워크에서 흔히 발생하는 문제이며, 주소 테이블을 인위적으로 플러딩하는 MAC 플러딩은 덜 일반적이다.[1]

또 다른 일반적인 원인은 호스트의 ARP 타이머가 스위치의 주소 캐시 보관 시간보다 길어, 스위치가 호스트에 연결된 포트의 MAC 주소를 알 수 없게 되는 경우이다.[2] 이는 스위치를 해당 네트워크 노드의 ARP 캐시 시간 초과보다 더 긴 FIB 시간 초과로 구성하여 방지할 수 있다.

네트워크 기능이 잘못 구성된 경우에도 유니캐스트 플러딩이 발생할 수 있다. 예를 들어, 호스트 A에서 B로 가는 두 개의 레이어 2 경로가 있고, 호스트 A가 경로 1을 통해 호스트 B와 통신하지만 호스트 B가 경로 2를 통해 호스트 A에 응답하는 경우, 경로 1의 중간 스위치는 호스트 B의 대상 MAC 주소를 학습하지 못하고, 경로 2의 중간 스위치는 호스트 A의 대상 MAC 주소를 학습하지 못한다.[3]

마지막으로, 신속한 스패닝 트리에 참여하는 네트워크 포트에서 링크 상태가 변경되면, 해당 스위치의 주소 캐시가 초기화되어 스위치가 주소를 다시 학습할 때까지 모든 후속 프레임이 모든 포트로 플러딩된다.[4]

3. 2. 주소 테이블 용량 부족

스위치의 주소 테이블(MAC 주소 테이블)이 가득 차면 새로운 장치의 주소를 저장할 수 없게 된다. 이때, 해당 장치로 향하는 트래픽은 모든 포트로 플러딩된다. 이러한 현상은 특히 호스트 수가 많은 네트워크에서 자주 발생한다.[1]

MAC 플러딩 공격은 의도적으로 주소 테이블을 가득 채워 유니캐스트 플러딩을 유발하는 공격이다.[1]

3. 3. ARP 타이머 불일치

호스트의 ARP 타이머가 스위치의 주소 캐시 보관 시간보다 길면, 스위치는 호스트에 연결된 포트의 MAC 주소를 알 수 없게 된다.[10] 스위치가 호스트의 MAC 주소를 잊기 전에 대상 포트를 잊는 것이다.[2]

이러한 현상은 스위치의 FIB(Forwarding Information Base) 시간 초과를 해당 네트워크 노드의 ARP 캐시 시간 초과보다 더 길게 구성하여 방지할 수 있다. 노드가 ARP 캐시 항목 만료 후 호스트로 프레임을 전송해야 할 경우, 먼저 ARP 브로드캐스트 프레임을 전송해야 한다. 그러면 스위치는 이 프레임을 모든 포트로 전달하여 호스트의 현재 MAC 주소를 찾는다.[2]

3. 4. 잘못된 네트워크 구성

호스트 A에서 B로 가는 경로가 두 개 이상이고, 호스트 A가 경로 1을 사용하여 호스트 B와 통신하지만, 호스트 B가 경로 2를 사용하여 호스트 A에 응답하는 경우가 있을 수 있다. 이러한 경우, 경로 1의 중간 스위치들은 호스트 B의 MAC 주소를 학습하지 못하고, 경로 2의 중간 스위치들은 호스트 A의 MAC 주소를 학습하지 못한다. 이로 인해 유니캐스트 플러딩이 발생한다.[12][3]

3. 5. 스패닝 트리 프로토콜 (STP) 토폴로지 변경

STP 또는 RSTP 환경에서 네트워크 포트의 링크 상태가 변경되면, 해당 스위치의 주소 캐시가 초기화된다. 이로 인해 스위치가 주소를 다시 학습할 때까지 모든 후속 프레임이 모든 포트로 플러딩된다.[13][4]

4. 해결 방법

유니캐스트 플러딩 문제를 해결하거나 완화하기 위한 다양한 방법이 존재한다. 로우 엔드 스위치는 주소 테이블 용량이 작아 유니캐스트 플러딩이 발생하기 쉬우므로, 더 큰 주소 테이블을 가진 하이 엔드 스위치로 교체하면 문제를 해결할 수 있다.[14]

4. 1. 스위치 설정 변경

Cisco 스위치에서는 `switchport block unicast` 명령어를 사용하여 특정 포트에서 유니캐스트 플러딩을 차단할 수 있다.[14] 이 기능은 기본적으로 활성화되어 있지 않으므로, 관리자가 직접 설정해야 한다.[5][6] 일반적인 호스트 ARP 캐시 시간 초과보다 클라이언트 액세스 포트에서 테이블 항목을 유지하도록 시간 초과 및 보안 기능을 구성한 후 이 명령을 사용한다.

다른 방법으로는 레이어 2에서 호스트를 격리하는 것이 있다. 이는 라우터로 향하지 않는 내부 LAN 통신을 차단한다. 'switchport protected' 명령어 또는 더 강력한 교차 스위치 솔루션인 사설 VLAN을 사용할 수 있다.[16] ''보호 포트''로 구성된 포트는 다른 보호 포트와 통신할 수 없다.[7][8] 사설 VLAN은 VLAN의 구성원이 지정된 업링크를 통해서만 통신할 수 있도록 하는 포트 격리를 구현하며, VLAN의 다른 구성원과는 통신할 수 없다.[9]

4. 2. 호스트 격리 (Host Isolation)

Cisco 스위치는 유니캐스트 플러드를 차단하는 기능을 제공하지만, 기본적으로 활성화되어 있지 않다. 일반적인 호스트 ARP 캐시 시간 초과보다 클라이언트 액세스 포트에서 테이블 항목을 유지하도록 시간 초과 및 보안 기능을 구성한 후, 다음 명령을 사용하여 해당 포트에서 유니캐스트 플러드를 줄일 수 있다.[14][5][6]

`Switch(config-if)# switchport block unicast`

레이어 2에서 호스트를 격리하는 다른 기술로는 '보호 포트'와 사설 VLAN이 있다. '보호 포트'로 구성된 포트[7]는 다른 보호 포트와 통신할 수 없다.[8] 사설 VLAN은 VLAN의 구성원이 지정된 업링크를 통해서만 통신할 수 있도록 하는 포트 격리를 구현하며, VLAN의 다른 구성원과는 통신할 수 없다.[9] 로우 엔드 스위치[15]에서 사용할 수 있는 편리한 도구는 다음과 같다.

`Switch (config-if) # switchport protected`

'switchport protected'보다 더 강력한 교차 스위치 솔루션은 사설 VLAN을 사용하는 것이다.[16]

4. 3. 네트워크 장비 교체

로우엔드 스위치는 주소 테이블 용량이 작아 유니캐스트 플러딩이 발생하기 쉽다. 이러한 문제는 더 큰 주소 테이블을 가진 하이엔드 스위치로 교체하면 해결할 수 있다. Cisco 스위치에서는 유니캐스트 플러드를 차단하는 기능을 제공하지만, 기본적으로 활성화되어 있지는 않다. 일반적인 호스트 ARP 캐시 시간 초과보다 클라이언트 액세스 포트에서 테이블 항목을 유지하도록 시간 초과 및 보안 기능을 구성한 후, 다음 명령을 사용하여 해당 포트에서 유니캐스트 플러드를 차단할 수 있다.[14]

'''Switch (config-if) # switchport block unicast'''

다른 방법으로는 레이어 2에서 호스트를 격리하는 것이 있으며, 이는 라우터로 향하지 않는 내부 LAN 통신을 차단한다.

5. 네트워크에 미치는 영향

유니캐스트 플러딩은 네트워크 성능 저하를 야기한다.[1] 주소 테이블 소진으로 인한 데이터 손실 및 보안 취약점은 MAC 플러딩 문서를 참고할 수 있다.

5. 1. 성능 저하 및 패킷 손실

네트워크에 유니캐스트 플러딩이 발생하면 네트워크 성능이 저하될 수 있다. 다음은 브리지 주소 캐시 크기를 조정하기 전후의 브리지 그래프이다:[1]

유니캐스트 플러딩 패킷 유실


프레임의 80%는 목적지 주소에서 수신되지 않고 플러딩되었고, 20%는 유효한 트래픽이었다. 대용량 네트워크에서는 플러딩된 트래픽으로 인해 포트가 포화 상태가 되어 패킷 손실 및 높은 지연 시간이 발생할 수 있다.

5. 2. 보안 취약점

유니캐스트 플러딩은 네트워크 성능 저하 외에도 다음과 같은 보안 취약점을 야기할 수 있다.

  • 데이터 유출: 유니캐스트 플러딩은 의도하지 않은 포트로 트래픽을 전송하므로, 패킷 스니퍼를 통해 데이터를 가로챌 위험이 있다.[1]
  • MAC 플러딩 공격: 유니캐스트 플러딩은 MAC 플러딩 공격에 취약하게 만들 수 있다.[1] 최종 사용자가 패킷 스니퍼를 실행하면 플러드된 프레임을 캡처하여 내용을 볼 수 있다.[1]

참조

[1] 웹사이트 Fix for unicast flooding https://forums.FreeB[...] 2012-01-27
[2] 웹사이트 Unicast Flooding http://mailman.nanog[...] 2009-06-17
[3] 웹사이트 Elimination of Asymmetric Forwarding and Unicast Flooding http://www.cisco.com[...] Cisco Systems Inc. 2012-01-27
[4] 웹사이트 Troubleshooting Unicast Flooding Due to Topology http://www.ciscopres[...] Cisco Press 2004-09-10
[5] 웹사이트 Blocking Unknown Unicast Flooding http://packetlife.ne[...] PacketLife.net 2010-06-04
[6] 웹사이트 Port Unicast and Multicast Flood Blocking https://www.cisco.co[...] 2024-07-09
[7] 웹사이트 Configuring Protected Port https://www.cisco.co[...] 2024-08-10
[8] 웹사이트 Private VLANs Revisited http://blog.ine.com/[...] 2008-07-14
[9] 웹사이트 Configuring Private VLANs http://www.cisco.com[...] Cisco 2012-04-07
[10] 웹인용 Unicast Flooding http://mailman.nanog[...] 2009-06-17
[11] 웹인용 Fix for unicast flooding http://forums.freebs[...] 2012-01-27
[12] 웹인용 Elimination of Asymmetric Forwarding and Unicast Flooding http://www.cisco.com[...] Cisco Systems Inc. 2012-01-27
[13] 웹인용 Troubleshooting Unicast Flooding Due to Topology http://www.ciscopres[...] Cisco Press 2004-09-10
[14] 웹인용 Blocking Unknown Unicast Flooding http://packetlife.ne[...] PacketLife.net 2010-06-04
[15] 웹인용 Private VLANs Revisited http://blog.ine.com/[...] 2008-07-14
[16] 웹인용 Configuring Private VLANs http://www.cisco.com[...] Cisco 2012-04-07


본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com