2. 침입차단 시스템 로그분석

(1)

NCSC-TR050016

(2)

- 1 -

방화벽 관리 및 침입기록 분석 방법

1. 들어가며

방화벽은 내부와 외부 네트워크의 경계에 설치되기 때문에 들어오는(또는 나 가는) 트래픽을 관찰하기 가장 좋은 위치에 있다. 따라서 방화벽은 공격을 가장 처음으로 막는 중요한 방어막의 역할을 할 뿐만 아니라 트래픽을 모니 터링하여 초기 단계의 공격을 탐지해 낼 수 있는 능력까지 가지고 있다. 공 격자가 로그 파일을 지우지 않았다면, 방화벽 로그는 공격 시도가 일어난 뒤 에 공격 성공 또는 실패를 분석하는데 도움을 준다. 그러므로 대부분의 경계 보호장치(방화벽, 스크리닝 라우터, 애플리케이션 게이트웨이, 프럭시 서버 등)는 정기적으로 다양한 종류의 로그를 남긴다.

방화벽은 이를 통과하는 수많은 데이터 패킷들의 정보를 로그파일에 기록하 게 된다. 일반적으로 방화벽 로그파일은 공격한 해커가 있는 진원지, 가장 많은 Email을 사용한 직원들, 네트워크 대역폭, 부적절한 웹사이트를 접속하 는 직원들에 대한 것과 같은 다양한 정보를 갖고 있다. 이러한 정보를 갖고 있는 로그파일을 분석하면 네트워크 대역폭, 보안, 내부 직원들의 관리, 알 려지지 않은 웜・바이러스 및 해킹 등 다양한 분야에 중요한 자료로 활용할 수 있다.

하지만 방화벽을 그 활용도 면으로 본다면, 방화벽의 기능이나 방화벽을 통 하여 in/out되는 데이터의 흐름에 대한 모니터링과 분석 등이 체계적으로 활 용 되는 경우는 극히 드물다. 특히 외부로부터의 해커나 바이러스 침투, 불 량사이트 연결 등과 네트워크의 부하량 등을 정밀하게 분석하여 전산망을 더욱 효율 적으로 활용하려는 노력은 저조하다. 따라서 본 글에서는 해킹・

바이러스 공격 분석, 내부 사용자들의 웹 서핑 사이트 추적, 외부 사용자의 해킹 공격 추적 등의 분석 방법을 제공하여 보안 담당자들이 보안상의 문제, 또는 내부 망 부하문제 등을 해결함으로써 네트워크 인프라의 활용도 향상 등 보안성 강화에 도움을 주고자 한다.

(3)

- 2 -

2. 침입차단 시스템 로그분석

방화벽 로그분석을 통해 다음과 같은 효과를 얻을 수 있다.

① 해킹・바이러스 공격 분석

② WEB・FTP・E-Mail 사용도 분석

③ 내부 사용자들의 웹 서핑 사이트 추적

④ 외부 사용자의 해킹 공격 추적

⑤ 네트워크 대역폭 추이 분석

또한, 방화벽의 종류에 따라 로그기록은 조금씩 차이가 있지만, 적어도 다음 과 같은 정보들은 포함되어 있다.

타임스탬프: 이벤트, 행위, 통신이 발생한 날짜와 시간 출발지 주소: 트래픽의 출발지 IP 주소

출발지 도메인 이름: 트래픽 출발지의 도메인 이름 목적지 주소: 트래픽의 목적지 IP 주소

프로토콜: 사용된 IP 프로토콜 또는 서비스 이름 메시지 종류 또는 분류: 전송된 메시지의 종류 포트 주소: 메시지가 전송된 TCP 또는 UDP 포트 소켓 주소: 메시지가 전송된 소켓 주소

다음은 실제 공격을 받아 방화벽에 생성된 로그를 보고 어떤 공격인지 알아 보기로 한다. 또한 본 장에서는 현장에서 자주 발생되는 15가지의 해킹・웜 바이러스들의 사이버 공격으로 인한 로그기록을 분석해 보았다.

1) 포트스캔 시도

일반적인 유형의 포트스캐닝 탐지는 connect()를 이용하여 스캔한다.

srcip=SRCIP, srcport=any, dstip=DSTIP, dstport=[PORTGROUP], action=any

위의 패턴에서 dstport 항목의 PORTGROUP에 속한 항목이 보통 5개 이상 포함되면 포트스캔 공격이라고 추측할 수 있다. PORTGROUP은 아래와 같다.

(4)

- 3 -

PORTGROUP= {21/tcp, 23/tcp, 79/tcp, 110/tcp, 111/tcp, 135/tcp, 135/udp, 161/udp, 512/tcp, 513/tcp, 514/tcp, 1433/tcp, 1433/udp, 1434/tcp, 1434/udp, 32771/tcp, 32771/udp}

샘플 로그(port scan)

♦ id=firewall time="2004-02-28 19:37:24" fw=firew4 pri=6 proto=21/TCP src=192.168.000.250 dst=158.216.666.1 sent=2592 msg="ALLOW SESSION"

♦ id=firewall time="2004-02-28 19:41:24" fw=firew4 pri=6 proto=135/UDP src=192.168.000.250 dst=158.216.666.1 sent=2592 msg="ALLOW SESSION"

♦ id=firewall time="2004-02-28 19:43:24" fw=firew4 pri=6 proto=161/UDP src=192.168.000.250 dst=158.216.666.1 sent=2592 msg="ALLOW SESSION"

♦ id=firewall time="2004-02-28 19:44:24" fw=firew4 pri=6 proto=513/TCP

2) Service Enumeration 시도

특정한 서비스의 존재여부를 일정한 IP대역에 대하여 탐색하려는 시도를 탐 지하는 패턴으로 다음 패턴과 같이 동일한 SRCIP가 서로 다른 DSTIP의 동 일한 DSTPORT에 대해 접속을 시도하는 경우이며, 5건 이상의 서로 다른 로 그가 발견되는 경우

샘플로그(service enumeration)

(5)

- 4 -

3) MS FrontPage Server Extension Buffer Overflow 시도

MS의 프론트페이지에 포함된 fp30reg.dll에 대해 Buffer Overflow를 일으켜 임의의 명령을 실행하려는 시도로 다음 두 개의 패턴이 순서대로 존재하는 경우이다. 즉 목적지 포트번호가 80, 9999가 연달아 나타난다.

♦ srcip=SRCIP, srcport=any, dstip=DSTIP, dstport=80, action=any

샘플로그 (fpreg30.dll 취약점을 이용한 공격)

♦ id=firewall time="2004-02-28 19:31:26" fw=firew4 pri=6 proto=9999/TCP src=192.168.777.250 dst=158.216.666.1 sent=52 msg="DENY SESSION"

4) MS Messenger Heap Overflow 시도

윈도우 메신저 서비스를 통해 Overflow를 일으킬 수 있는 취약점이 MS03- 043으로 알려져 있으며, 이 취약점을 통한 해킹시도는 아래 두 개의 패턴이 순서대로 존재하는 경우이다.

샘플로그 (MS03-043 취약점을 이용한 공격)

♦ id=firewall time="2004-02-28 13:31:24" fw=firew4 pri=6 roto=135/TCP src=192.168.777.250 dst=158.216.666.1 sent=328 msg="ALLOW SESSION"

♦ id=firewall time="2004-02-28 13:31:32" fw=firew4 pri=6 roto=9191/TCP src=192.168.777.250 dst=158.216.666.1 sent=52 msg="DENY SESSION"

5) LSASS.DLL RPC Buffer Overflow 시도

MS04-011 취약점을 가진 lsasrv.dll에 대해 Buffer Overflow 공격을 시도하 는 것으로 아래의 두 가지 패킷이 연속에서 나타난다. 아래 샘플로그는 Houseofdabus 해킹 공격 로그이다.

(6)

- 5 -

♦ srcip=SRCPORT, srcport=any, dstip=DSTIP, dstport=445, action=any

♦ srcip=SRCPORT, srcport=any, dstip=DSTIP, dstport=4444, action=any

샘플로그 (lsass.dll 취약점을 이용한 공격)

6) IPswitch IMAIL LDAP 원격 공격 시도

IPswitch IMAIL 데몬의 Buffer Overflow 취약점을 통해 임의명령을 실행하는 시도로 다음의 두 개의 패턴이 존재하는 경우 해킹시도로 볼 수 있다. 아래 샘플로그는 THC 해킹 공격 로그이다.

샘플로그 (THC Exploit)

7) Windows XP/2000 Return into Libc 공격 시도

윈도우 RPCSS 서비스에 Buffer Overflow를 일으켜 임의 명령을 실행하려는 시도를 탐지하는 패턴으로 아래와 같이 두 개의 패턴이 순서대로 존재하는 경우이다.

(7)

- 6 -

샘플로그(Ins1der Exploit)

8) Windows Workstation Service WKSSVC Libc 공격 시도

Windows Workstation Service에 Buffer Overflow를 일으켜 임의 명령을 실 행하는 공격으로 아래와 같이 두 개의 패턴이 순서대로 존재하는 경우이며, Snooq Exploit에서 이러한 로그가 발생한다.

♦ srcip=SRCIP, srcport=SRCPORT, dstip=DSTIP, dstport=24876, action=any

♦ srcip=DSTIP, srcport=any, dstip=SRCIP, dstport=SRCPORT, action=any

9) MSMQ Heap Overflow 공격 시도

마이크로소프트 메시지 큐에 Buffer Overflow를 일으키려는 시도를 탐지하는 패턴으로 아래와 같은 패턴이 존재하는 경우이다. DaveK exploit가 여기에 해당된다.

♦ srcip=any, srcport=1356, dstip=any, dstport=2101, action=any

10) ProFTPD ASCII File Remote Root Exploit 공격 시도

ProFTPD가 ASCII 형태의 파일을 전송하는 과정에서 Buffer Overflow를 일으 켜 임의 명령을 실행하려는 공격으로 아래와 같은 두 개의 패턴이 순서대로 존재하는 경우이다.

예) Bkbll Exploit

♦ srcip=DSTIP, srcport=20, dstip=SRCIP, dstport=34568, action=any

(8)

- 7 -

11) Splaris /bin/login Remote Root Exploit 공격 시도

Solaris의 /bin/login에는 Buffer Overflow가 존재하며 다양한 방식의 해킹이 가능하다. 아래 패턴은 morgan exploit으로 이는 telnet 데몬을 이용한 공격 방법이다. 아래와 같은 2개의 패턴이 순서대로 존재할 경우를 의심해 봐야 한다.

샘플로그(Morgan Exploit)

12) WFTPD STAT Command Remote Exploit 공격 시도

윈도우 환경에서 많이 사용되는 WFTPD의 Buffer Overflow 취약점을 이용한 해킹 시도록 아래와 같이 두 개의 패턴이 순서대로 존재하는 경우이다.

샘플로그(OYXin Exploit)

13) Phatbot/Agobot/Gaobot 변종

Phatbot, Agobot, Gaobot. 웜 변종의 활동을 탐지한 것으로 동일한 SRCIPrk 동일한 DSTIP에 대해 PORTGROUP에 포함된 모든 dstport에 대한 접근시도 를 1회 이상 시도한 경우가 위 웜에서 나온 패킷으로 의심해 볼 수 있다.

(9)

- 8 -

♦ srcip=SRCIP, srcport=any, dstip=DSTIP, dstport=[PORTGROUP], action=any

PORTGROUP= {80/tcp, 135/tcp, 139/tcp, 445/tcp, 3127/tcp, 6129/tcp}

샘플로그

다음은 Phatbot, Agobot, Gaobot. 웜 변종들이 특히 해당 호스트가 웜에 감 염된 후 웜 제작자 등의 명령을 전달 받는 활동을 탐지하는 것으로 패턴은 아래와 같다.

♦ id=firewall time="2004-02-28 13:31:24"5 fw=firew4 pri=6 proto=4387/TCP src=192.168.777.250 dst=158.216.666.1 sent=328msg="ALLOW SESSION"

14) Dameware Probe

악성프로그램인 Dameware가 감염대상을 스캐닝하는 시도를 탐지한 것으로 아래와 같은 패턴을 적용하여 탐지한다.

♦ srcip=any, srcport=220, dstip=any, dstport=21, action=any

샘플로그(Dameware)

(10)

- 9 -

15) Doomjuice 웜

악성 프로그램인 Doomejuice가 감염대상을 찾는 시도를 탐지한 것으로 동 일한 SRCIP가 동일한 DSTIP에 대해 PORTGROUP에 포함된 모든 dstport에 대한 접근시도를 1회 이상 시도할 때 탐지하며, PORTGROUP의 포트가 로 그에 나타나는 순서와는 무관하다.

♦ srcip=SRCIP, srcport=any, dstip=DSTIP, dstport=[PORTGROUP], action=any

PORTGROUP= {3127/tcp, 3128/tcp, NOT 1080/tcp}

샘플로그 (Doomejuice worm)

♦ id=firewall time="2004-02-28 13:31:24" fw=firew4 pri=6 proto=3127/TCP src=192.168.777.250 dst=158.216.666.1 sent=328msg="ALLOW SESSION"

본 패턴은 "Deadhat.B Worm Activity" 패턴과 일부 중복되므로 위 패턴 설명 과 같이 1080/tcp가 관련로그에 포함되지 않은 경우에만 본 패턴으로 탐지 한다.

샘플로그 (Dameware.B worm)

♦ id=firewall time="2004-02-28 13:31:25" fw=firew4 pri=6 proto=1080/TCP src=192.168.777.250 dst=158.216.666.1 sent=328msg="ALLOW SESSION"

(11)

- 10 -

3 기타 웜・바이러스 사용 포트

이름 Listen 포트 사용 포트 전파 수단

LovGate.Z 6000 445 Mail, 공유폴더, 취약한 password, P2P

Bagle.Z 1234(relay) - Mail

Bagle.Y 1234(relay) - Mail

Revacc Reverse Telnet -

Mail, mms.exe(45,056) 생성 (C:\(WINDIR)\system, C:\(WINDIR)\system32)

LovGate.Y 6000 445 Mail, 공유폴더, 취약한 password, P2P

Sdbot.RZ - 80, 135,

445, 6667

보안패치 미 실시장비, 취약한password:

MS03-001(445), MS03-007(80), MS03- 026(135) / 6667번 포트는 특정 IRC서버 에 대한 접속시도

Korgo.P - 445, 80

보안패치 미 실시장비: MS04-011(445)/

6667번 포트는 특정 웹서버에 대한 접속 시도 및 악성코드 다운로드/실행

Sdbot.FO - 445, 6667

6667번 포트는 특정 IRC서버에 대한 접속 시도

Peep2 Reverse Telnet -

Mail, Explorer.exe(81,920), Service.exe(45,056) 생성 (C:\(WINDIR)\system, C:\(WINDIR)\system32)

Rbot.AF - 80, 135,

445, 6667

MS03-001(445), MS03-007(80), MS03- 026(135), MS04-011(445) / 6667번 포 트는 특정 IRC서버에 대한 접속시도

Gaobot.AQS - 80, 135,

445, 6667

MS03-007(80), MS03-026(135), MS04- 011(445) / 6667번 포트는 특정 IRC서버 에 대한 접속시도

Korgo.F 113, 3067,

Random 445, 6667

(12)

- 11 - 이름 Listen 포트 사용 포트 전파 수단

Peep Reverse Telne -

Mail, Explorer.exe(81,920) 생성 (C:\(WINDIR)\system,

C:\(WINDIR)\system32), systray.exe 생성(C:\(WINDIR))

Korgo.B 113,2041,3067 445, 6667

Korgo.A 113,2041,3067 445, 6667

Gaobot.ALU - 80, 135,

445

보안패치 미 실시장비, 취약한 password:

MS03-007(80), MS03-026(135), MS03- 049(445), MS04-011(445)

Bobax.D Bobax.C Bobax.B Bobax.A

HTTP(Random),

SMTP(Random) 5000 보안패치 미 실시장비: MS04-011(445)/

5000번 포트는 XP장비를 찾기 위한 스캔

Kibuv.B 7955(FTP),420

80,135,44 5,2745,55 54,6667(I

RC)

보안패치 미 실시장비: MS03-007(80), MS01-059(135), MS03-026(135), MS04-011(445), Bagle/Win32.Weird 감 염장비

Kibuv.A 9604(FTP),420,

Random(Shell) 135,445 보안패치 미 실시장비: MS03-026(135), MS04-011(445)

Dabber.A 69,8967(temp),9

898(Shell) 5554,9898 새서가 생성한 FTP서버

Gaobot.AJD -

80,135,44 5,1080,14 34(U),300 0-5000

보안패치 미 실시장비, 취약한

password,Bagle/MyDoom/Optix 감염장비

Sasser.F 5554(FTP),9996

(Shell) 445, 9996

Sasser.E 1023(FTP),1022

(Shell) 445, 1022 Sasser.D 5554(FTP),9996 445, 9996

보안패치 미 실시장비(LSASS, MS04-11), 128 쓰레드 생성

(13)

- 12 - 이름 Listen 포트 사용 포트 전파 수단

Sasser.C Sasser.B Sasser.A

(Shell)

Cycle.A 69(TFTP),RRan

dom(Shell) 445 보안패치 미 실시장비(LSASS, MS04-11)

Welchia.C - 80,135,13

9,445

보안패치 미 실시장비(MS/03-

007,026,039), '04.6.1 이후 활동중지

Netsky.* - - Mail, 특정 사이트에 a.php 접근

Bagle.* 2745, 2556, 81,

2535, 6777 - Mail, P2P

MyDoom 3127,3198 - Mail,P2P

Doomjuice - 3127 MyDoom 감염장비

Lovegate 10168,20168 - Mail

Nimda.A 69 80,137-

139,445 Mail, 공유폴더, 보안패치 미 실시IIS

Code_Red - 80 보안패치 미 실시장비(인덱스 서비스 .ida

취약점, MS01-33)

4. 방화벽 로그 분석 도구

Firelogd : 리눅스 방화벽 로그를 모니터링하는 데몬

Fwanalog : Unix와 Linux에서 방화벽 로그를 파싱하고 요약하는 쉘 스크립트

XP Firewall Reporter: 윈도우 XP에 내장된 개인용 방화벽에서 생성한 파일을 분석하는 상업용 소프트웨어

ZoneLog Analyzer : ZoneAlam 방화벽 로그를 데이터 베이스 형태로 변환

Web Trends :Check Point, Cisco, MS ISA Server

(14)

- 13 -

5. 침입차단시스템 체크 리스트

점검 항목 상세 내용

사이트의 특성에 맞게 구성되었는가?(Single, HA, FLB 등) 구성방식

FWLB 구성으로 안정성을 제고하고 네트워크 트래픽을 적절히 분산하는가?

관리자선정 1 차 관리자, 2 차 관리자가 선정되었는가?

안전한 방식으로 관리되고 있는가?(ESM, telnet, ssh, http(s)) 관리방식

NMS/ESM 장비와의 연동을 통하여 효과적으로 관리되고 있는가?

관리 접근 제한

방화벽 관리는 Console 에서만 수행하고, 콘솔에 접근할 수 있는 사람은 담당자로 제한되어 있는가?

성능 관리 방화벽의 CPU 부하량 및 용량 부족 시 경고 등 방화벽 자체에 대한 상태 모니터링을 하는가?

계정 관리 방화벽 사용자의 ID/Password 는 일반 보안사항을 준수하는가?

방화벽 Rule 에 대하여 문서화되어 관리되고 있는가? (구성도, 접속요구목록, 포트별, 서비스 내역별 등)

문서화

보안 Rule 의 적용에 대한 히스토리가 관리되고 있는가?

IP Address, 사용 서비스, 사용자, 시간대 등 별로 구분하여 Rule 을 명확하게 구성하는가?

보안 Rule 은 보안성과 시스템 Performance 를 고려하여 적절한 순서로 적용되어 있는가?

Rule 구성

중복된 Rule 이나 사용기간이 경과한 룰이 제거되었는가?

IP 그룹화 IP 를 그룹화하여 관리하는가?

방화벽 보호를 위한 룰

관리를 위한 접속 이외의 방화벽으로의 모든 패킷을 차단했는가?

Inbound 필터링 룰 서비스 사용자의 Inbound 접근에 대한 적절한 필터링을 수행하는가?

Outbound 필터링 룰 내부 사용자의 Outbound 접근에 대한 적절한 필터링을 수행하는가?

ftp, ssh, telnet 등 외부로부터의 원격접속을 차단했는가?

ICMP, finger 등 외부에 정보유출에 사용되는 서비스를 차단했는가?

Source Routing 패킷을 차단했는가?

불필요한 서비스 차단 룰

불필요한 Broadcast(Netbios, IDENT 등)를 차단했는가?

허용된 서비스에 대한 목록이 관리되는가?

허용된 서비스 통제

서비스가 허용된 그룹에게만 허용되었는가?

공격성(DoS 포함) Trinoo 등 Ddos 공격에 대해 탐지 및 차단 룰을 운영하는가?

(15)

- 14 -

점검 항목 상세 내용

SYN flooding 등의 Dos 공격에 대해 탐지 및 차단 룰을 운영하는가?

패턴 차단 룰

Nimda 등의 웜에 대한 공격에 대해 탐지 및 차단 룰을 운영하는가?

탐지성 패턴 차단 룰 port scanning 에 대해 탐지 및 차단 룰을 운영하는가?

방화벽 우회 방화벽을 bypass 하는 침입에 대한 룰을 운영하고 있는가?

Rule Update Rule update 는 정기적으로 수행되는가?

로그 설정

실시간으로 접속 시도에 대해 일자, 시간, Source Address, Destination Address, 사용 서비스 등을 포함하는 로그를 남기는가?

로그 분석 로그에 대한 주기적 분석을 수행하는가?

실시간 모니터링을 하고 있는가?

방화벽의 장애 시 즉각 관리자에게 연락이 되는가?

장애모니터링

Rule 에 의해 명시적으로 허용되지 않은 모든 접속 시도를 차단하며 적절한 로그와 경보를 발생시키는가?

침입성

로그모니터링(통계) 발견된 침입 시도에 대한 통계를 모니터링 하는가?

불필요한 S/W 설치 방화벽 이외의 S/W 를 설치되지 않았는가?

서비스 관리

운영체제 수준에서의 보안사항은 준수되고 있는가(불필요한 서비스 제거 등)

잠금 설정

일정시간 관리자의 작업이 이루어지지 않을 경우 비인가된 다른 사람에게 노출되지 않도록 매니저 잠금 기능이 설정되어 있는가?

6. 맺으며

유명한 보안 전문가가 말한 “Security is management”라는 말에서 보듯이 방화벽 또한 그 관리가 생명이다. 방화벽 관리자는 매일 로그를 분석하고 밝 혀 평소와 다른 패킷에 대한 원인과 그 이유를 밝혀 신종 해킹수법, 또는 신 종 웜・바이러스 인지 판단해야 하며, 또한 차단규칙을 업데이트하여야 한다.

(16)

- 15 -

따라서, 방화벽 관리자는 아래의 의문점들에 대한 적절한 해답이 제시된다면 더욱 효율적으로 기업 또는 공공 전산망 등을 관리할 수 있으며 보안공격에 대해 더욱 효과적으로 대응할 수 있을 것이다.

① 외부에서 해커의 침입 흔적은 없었는가?

② 바이러스에 감염된 불특정 다수의 클라이언트들로부터 공격 받지는 않는가?

③ 내부 직원들이 불건전하거나 업무와 상관없는 일에 인터넷망을 사용하고 있는가?

④ 사내 네트워크 대역폭이 적절한 목적으로 효율적으로 사용되고 있는가?

⑤ HTTP, SMTP, FTP, TELNET 등의 애플리케이션별 네트워크 사용량은 어떤가?

또한, 위의 ①~⑤에 답하기 위해서는 아래 11개 항목을 체크해 보아야 한다.

이 11개의 항목에 대해 매일 패킷의 변화추이를 모니터링하여 통계화 해야 한다. 나아가 더 적극적인 방법으로는 방화벽에 대한 일일 보고서를 작성하여 매일 그 변화추이를 비교해야 한다.

① 방화벽에서 차단한 Top 5 IP 주소. 이 IP 주소는 자신의 네트워크를 스캔했는지 의심해 봐야 한다.

② 자신의 웹사이트를 방문한 Top 10 IP 주소

③ 내부 직원들이 방문한 Top 10 웹사이트

④ 0~5번 포트에 연결을 시도한 패킷. 이 포트들은 OS 핑거프린팅 공격에 사용되는 포트이다.

⑤ 0.0.0.0 IP로부터 접속을 시도하는 패킷

⑥ 21/ FTP, 23/Telnet, 110/POP3, and 143/Imap에 접속을 시도하는 패킷으로 이 서비스들은 대부분의 조직은 외부에 서비스를 오픈하지 않는다. 그러므로 이 서비스들에는 취약점을 스캔하는 것으로 의심해 봐야 한다.

⑦ 111/RPC Bind 접속을 시도하는 패킷. 111/RPC Bind를 이용한 자동화된 공격툴이 널리 퍼져있으므로 외부에서 내부로 들어오는 패킷은 물론 좀비에 의해 내부에서 외부로 나가는 모든 패킷을 모니터링 해야 한다.

⑧ ICMP 타입 0과 8번이 탐지될 경우 이는 스머프 공격을 의심해 봐야

(17)

- 16 -

한다. (ICMP types 0: icmp 요청에 대한 icmp 응답, ICMP types 8:

목적지 호스트에 icmp 응답을 요청)

⑨ ICMP 타입 5과 9번을 이용한 리다이렉트와 라우팅 패킷을 모니터링해야 한다. 이는 "Man in the middle"공격과 같이 중간에서 패킷을 가로채 조작할 가능성이 있다. (ICMP types 5: 재지시(Redirect message), ICMP types 9: router advertisement)

⑩ ICMP type 12는 에러 메시지 부분으로 빈번하게 이용되는 공격중 하나 이다. (ICMP types 12: 데이터그램에서의 파라미터 문제)

⑪ 33434~335600 범위의 포트를 스캔하는 경우로 이는 Unix Trace Route 포트 범위로 방화벽을 통과하여 공격을 시도하는 것으로 의심해야 한다.

※ 위에 언급된 IP 주소는 실제 존재하지 않는 IP임.