[정보보안기사]220625 필기 - 네트워크 보안(20-30)

📌 패킷 필터링 규칙

 

✅ 기본 패킷 필터링 규칙 요소

• 출발지(Source IP / Port)
• 목적지(Destination IP / Port)
• 프로토콜(Protocol)
• 액션(Action: allow/deny/drop)
• 조건(옵션) → 패킷 크기, 플래그, 상태 등을 포함

any   any   any   length > 512   deny
#작성예시

응용계층 프로토콜	TCP 연결	표준 포트
HTTP	-	80
FTP	제어 연결	21
	데이터 연결	20

 

📌 UDP flooding 공격

 

UDP Flooding의 공격원리

• 피해 대상이 크게 2종류(공격자가 스푸핑하는 IP주소, 패킷 전송 목적지)
• 비연결형 프로토콜로 동작원리는 다음과 같음

수신 측 동작

• 해당 포트가 열려 있으면: 응용 프로그램이 데이터 처리
• 해당 포트가 닫혀 있으면: ICMP Port Unreachable 메시지로 응답

1. 무작위 UDP 포트나 특정 포트로 대량의 UDP 패킷을 보내면
2. 목적지 포트 열려 있음 → 응용 프로그램이 CPU/메모리를 사용해 처리
3. 포트 닫혀 있음 → OS가 ICMP 메시지를 생성해 응답
4. 위조된 출발지 서버: 자신이 보낸 적 없는 ICMP 응답을 대량으로 받게 됨 → 2차 피해 발생

→ 즉, 패킷을 받을 때마다 ICMP 응답을 만들어야 하므로 시스템 리소스와 네트워크 대역폭이 빠르게 소모됨

 

 

2번이 답이되는 이유 : “임계치 기반 차단”을 UDP Flooding 대응책으로는 부적절하다고 보는 경우가 있음.

공격자가 트래픽을 조금만 더 올리면 임계치를 쉽게 초과시키고,

결국 정상 트래픽까지 같이 차단되는 자기차단(Self-DoS) 상황이 발생하기 때문

✅ 이론적인 대응 방법이지만, “효과적이지 못하다 / 실무에서는 쓰기 어렵다”