최 우 형 (whchoi@cisco.com) UDP 1434 공격에 대한 방어 요령 Cisco Systems Korea 최 우 형 (whchoi@cisco.com) Network 보안과 대책 Cisco Systems Korea

UDP 1434 공격에 대한 발견과 조치 과정 Internet 외부 구간 PPS 급격히 증가 1월 25일 오후 2시경 부터 대학 캠퍼스 중심으로 도움 요청 K site 방문 결과 PPS가 초당 320,000 packet 발생 외부 인터넷 구간 Load 100% 일부 사이트 F/W down 현상 발생 Internet Router 에서 확인 결과 UDP 1434 를 목적지로 404Byte Packet을 대량 발생 시킴 Netflow Monitoring 결과 목적지를 UDP 1434 로 집중 공격 확인 Internet Router 에서 해당 UDP port filtering ACL을 통한 Router filtering PPS/Load 정상회복  인터넷 구간 불통 : 국내 ISP 복구 불가 지속 Backbone Switch에서 MLS monitoring을 통해 해당 공격 IP들에 대한 추적 개시 해당 PC 점검 결과 SQL-Monitor port 1434 확인 : sqlservr.exe file CPU 완전 점유 SQL buffer overflow + 신종 Worm slammer : 일부 보도상에 웜 때문이라고 판명하고 있지만 실제 404byte의 일정한 Packet을 생성시키는 DDoS 공격으로 인한 Down 으로 판단됨 CERTCC-KR 과 연락 취함 상황 종료 : 대부분의 내부 Backbone 도 정상으로 Load 회복 (사고 발생 후 15~30분 안에 대처가능) Network 보안과 대책 Cisco Systems Korea

UDP 1434 공격에 특징과 epilogue CPU의 증가 보다는 Load 증가가 심화 DDoS 공격의 특징상 대부분 Network 장비의 CPU 점유의 특징을 띄는 데 반하여, 이번 SQL monitor port 공격은 Load 점유가 먼저 발생함 CPU 점유하기 전에 이미 Load가 먼저 100% 도달 interface down으로 인해 CPU점유시간이 없었다는 데 특징이 있음 기존 40byte 이하의 Flow 공격이 아닌 404byte의 비교적 큰 Packet 을 생성 Load를 점유하는 데 중점을 둔 공격 Memory 상주용 Worm으로 발견하기가 어려움 원인을 찾기 위해 해당 Relay host 에 문제가 되는 Program을 찾기가 무척 어려움 Sqlservr.exe 라는 정상적인 SQL 데몬이 공격을 하는 것 처럼 보임 주말에 발생하여 피해는 적었으나, 조치를 취하는 데 시간이 오래 걸림 주말에 발생하여 피해가 그런데로 적었다고 판단이 됨 주말에 발생, PC를 on 시켜 놓은 채 퇴근한 직장인, 학생들이 많아서 해당 사무실에 접근하기가 무척어려웠음 Network 보안과 대책 Cisco Systems Korea

UDP 1434 공격에 특징과 epilogue 향후 대책 및 epilogue 사고시 빠른 대처요령 사고시 적절한 대처요령과 방어에 대한 대책들 등 적절한 절차들에 대한 홍보가 더욱 필요할 듯 여겨짐 장비들에 대한 운영 기술 향상 필요 많은 방화벽과 IDS 들이 결국 DDoS 한번의 공격에 모두 적절한 대응을 하지 못함 주요 Network 장비 (Core Router,Core Switch)에서의 모니터링과 방어 요령 습득 필요 이번 공격에서도 DNS 공격이라는 보도매체에서의 반응은 결국 Network 방어보다는 Server 방어 중심이라는 인식을 가져 올 수 있음 DDoS 공격에 대한 심각성에 대한 공감대 형성 필요 ISP 기관, Server,Network,교육 ,공공기관,기업체 등 전산관리자들에 대한 DDoS 공격의 심각성에 대한 공감대 형성 필요 적절한 교육과 장비 운영등에 대한 향후 지원 방안 모색 필요 www.certcc.or.kr  1월 16일 DDoS 공격 방어 시나리오 문서 www.securitymap.net  network 관리자를 위한 보안 가이드 문서 등 참조 certcc mailing list 적극 참조 필요 Network 보안과 대책 Cisco Systems Korea

UDP 1434 공격 시나리오 1, MS-SQL 취약 port를 통한 권한 취득 CPU IF Load 1, MS-SQL 취약 port를 통한 권한 취득 2,권한 취득 후 Slammer 을 통한 DDoS 공격 시작 Destination port 1434(SQL-Monitor port) CPU IF Load 3, 해당 경로 Network 장비 CPU/Interface Load 급상승 - Packet 처리속도/CPU Power가 부족한 장비 Down CPU IF Load CPU IF Load Network 보안과 대책 Cisco Systems Korea

UDP 1434 공격 방어 시나리오 Netflow를 통한 점검 - 내부/외부 원인 파악 Netflow를 통한 Vlan 파악 CPU IF Load Netflow를 통한 점검 - 내부/외부 원인 파악 CPU IF Load Netflow를 통한 Vlan 파악 MLS entry를 통한 IP 유추 L2 trafce or CAM table을 통한 해당 Port 추적 및 Uplink 단절 CPU IF Load Sniifer를 통한 증거 확보 해당 장비에서 CAM table을 통한 Port 확인 해당 PC의 사용자 및 OS확인 Process 점유율 확인 원인 Tool 제거 Network 보안과 대책 Cisco Systems Korea

UDP 1434 공격 감지 – CPU 점검 Router Resource 점검 A b Router 내부의 CPU 점검 일반 평균 CPU 보다 갑작스럽게 CPU 증가 (MRTG or NMS를 통해 감시) Router#sh processes cpu CPU utilization for five seconds: 99%/6%; one minute: 98%; five minutes: 98% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 1 880 592917 1 0.00% 0.00% 0.00% 0 Load Meter 2 36 49 734 0.08% 0.01% 0.00% 2 Virtual Exec 3 5486412 426632 12859 0.00% 0.10% 0.06% 0 Check heaps 4 0 1 0 0.00% 0.00% 0.00% 0 Chunk Manager Tip : 갑자기 CPU가 높아진다…???? A=B : Router가 주로 Packet forwarding  Packet 유입이 높다 A>B : Cache 사용률이 극히 적다.  Spoof 된 IP가 많을 가능성…. A b Router 내부의 CPU 점검 Router와 외부구간 또는 내부구간 사용률 점검 사용 Tool Cisco IOS command NMS , MRTG ,RDD Network 보안과 대책 Cisco Systems Korea

UDP 1434 공격 감지 – PPS 점검 Router Resource 점검 Router 내부의 CPU 점검 일반 평균 PPS 보다 갑작스런 PPS 폭주 (MRTG or NMS를 통해 감시) Router#sh inter serial 9/0 (sh interface stat  PPS 상태 감시) Serial9/0 is up, line protocol is up Hardware is cxBus Serial Description: ### 시스코라우터 ### Internet address is 100.100.6.1/24 MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec, reliability 255/255, txload 244/255, rxload 250/255 Tip : 특정 Interface 의 Load가 급작스럽게 높아졌다. 특히 Load 보다는 PPS(초당 Packet발생)을 집중적으로 봐야 합니다. flooding 공격 등 traffic 유발 가능성이 높은 공격 의심…. Router 내부의 CPU 점검 Router와 외부구간 또는 내부구간 사용률 점검 사용 Tool Cisco IOS command NMS , MRTG ,RDD Network 보안과 대책 Cisco Systems Korea

UDP 1434 공격 방어 - Router Internet Router 에서의 Monitoring과 방어 sh ip cac fl | inc 059A Fa8/0 203.252.225.220 Null 100.200.71.224 11 0ECB 059A 1 Fa8/0 211.60.198.51 Null 100.200.13.201 11 0510 059A 1 Fa8/0 203.234.70.37 Null 100.200.175.105 11 0E0F 059A 1 Fa8/0 210.125.243.69 Null 100.200.165.161 11 100B 059A 1 Fa8/0 211.168.174.136 Null 100.200.231.17 11 040D 059A 1 Fa8/0 61.41.80.79 Null 100.200.55.15 11 0486 059A 1 Fa8/0 211.60.198.51 Null 100.200.37.148 11 0510 059A 1 Fa8/0 210.97.134.15 Null 100.200.184.124 11 12C0 059A 1 Fa8/0 61.37.23.70 Null 100.200.103.188 11 0593 059A 1 Fa8/0 166.104.246.137 Null 100.200.127.82 11 0481 059A 1 Fa8/0 61.37.23.70 Null 100.200.82.23 11 0593 059A 1 Fa8/0 211.181.7.142 Null 100.200.106.188 11 079F 059A 1 Fa8/0 166.104.224.50 Null 100.200.155.216 11 054D 059A 1 Fa8/0 210.119.174.14 Null 100.200.196.116 11 0E46 059A 1 Fa8/0 203.252.225.220 Null 100.200.51.246 11 0ECB 059A 1 Fa8/0 210.93.98.17 Null 100.200.11.153 11 0BCE 059A 1 내부 Interface 외부 Interface 해당 Interface에 Netflow Enable Router(config)#interface e0 or serial 0 Router(config-if)#ip route-cache flow Monitoring 좌측의 표와 같이 show ip cache flow를 실행 분석과 점검 전문가가 아니더라도 동일한 Port 또는 동일한 address 를 향해 집중적인 공격을 하는 것을 쉽게 볼 수가 있음 이 때 주의 할 점은 059A 라고 표현 되는 16진수 표기이다. 이것을 10진수로 변환해 보면 이번 공격에 사용된 1434 port 이며 11 이라고 표현된 것도 10진수로 변환해 보면 UDP라는 것을 쉽게 알 수가 있다. Network 보안과 대책 Cisco Systems Korea

목적지 주소 : any 목적지 port : udp 1434 UDP 1434 공격 방어 - Router Internet Router 에서의 Monitoring과 방어 sh ip cac fl | inc 059A Fa8/0 203.252.225.220 Null 100.200.71.224 11 0ECB 059A 1 Fa8/0 211.60.198.51 Null 100.200.13.201 11 0510 059A 1 Fa8/0 203.234.70.37 Null 100.200.175.105 11 0E0F 059A 1 Fa8/0 210.125.243.69 Null 100.200.165.161 11 100B 059A 1 Fa8/0 211.168.174.136 Null 100.200.231.17 11 040D 059A 1 Fa8/0 61.41.80.79 Null 100.200.55.15 11 0486 059A 1 Fa8/0 211.60.198.51 Null 100.200.37.148 11 0510 059A 1 Fa8/0 210.97.134.15 Null 100.200.184.124 11 12C0 059A 1 Fa8/0 61.37.23.70 Null 100.200.103.188 11 0593 059A 1 Fa8/0 166.104.246.137 Null 100.200.127.82 11 0481 059A 1 Fa8/0 61.37.23.70 Null 100.200.82.23 11 0593 059A 1 Fa8/0 211.181.7.142 Null 100.200.106.188 11 079F 059A 1 Fa8/0 166.104.224.50 Null 100.200.155.216 11 054D 059A 1 Fa8/0 210.119.174.14 Null 100.200.196.116 11 0E46 059A 1 Fa8/0 203.252.225.220 Null 100.200.51.246 11 0ECB 059A 1 Fa8/0 210.93.98.17 Null 100.200.11.153 11 0BCE 059A 1 목적지 주소 : any 목적지 port : udp 1434 내부 Interface 외부 Interface 방어 시나리오 목적지가 UDP 1434 port를 향해 집중적으로 이뤄지고 있다는 것을 파악 UPD 1434 filtering Router(config)#access-list 100 deny udp any any eq 1434 access-list 100 permit ip any any Router(config-if)#ip access-group 100 out Router#sh ip access-lists deny udp any any eq 1434 (62457 matches) permit ip any any (46932263 matches) Network 보안과 대책 Cisco Systems Korea

UDP 1434 공격 방어 – Catalyst Switch sh mls statistics entry ip Last Used Destination IP Source IP Prot DstPrt SrcPrt Stat-Pkts Stat-Bytes ---------------- --------------- ----- ------ ------ ---------- --------------- 156.57.119.214 100.200.99.102 UDP 1434 20807 1 404 42.31.129.162 100.200.62.20 UDP 1434 3916 1 404 8.27.153.92 100.200.59.96 UDP 1434 5506 1 404 18.82.158.174 100.200.99.245 UDP 1434 1860 1 404 145.178.189.122 100.200.16.221 UDP 1434 2369 1 404 156.210.83.230 100.200.151.242 UDP 1434 1780 1 404 150.119.213.91 100.200.62.192 UDP 1434 1935 1 404 141.182.2.224 100.200.82.138 UDP 1434 2965 1 404 110.204.13.7 100.200.151.242 UDP 1434 1780 1 404 78.16.88.23 100.200.99.102 UDP 1434 20807 1 404 143.63.74.197 100.200.151.242 UDP 1434 1780 1 404 147.188.97.125 100.200.80.27 UDP 1434 1407 1 404 111.218.12.203 100.200.67.19 UDP 1434 50254 1 404 Cisco Catalyst Switch에서 MLS를 보기 위한 방법 Switch 에서 Monitoring 하는 것은 Router에서 보다 더욱 더 중요 할 수 있다. 내부 원인 제공자를 추적하는 데 가장 핵심적인 역할을 하기 때문에 반드시 장비제조사 또는 장비설치사로 부터 방법을 통보 받아야 한다. MLS flow status enable Set mls flow full  명령어 한 줄로 간단히 모니터링 가능 Monitoring Show mls statistics entry ip 좌측 결과에서 처럼 라우터에서 보다도 훨씬 자세하고 보기 쉽게 표현이 되며 Layer 2에서의 움직임 까지 파악이 되므로 추적하는 데 상당히 강력한 Tool로써 제공이 된다. 이번 SQL 공격의 특징을 여기서 볼 수 있는데 특이하게도 40Byte이하의 공격이 아닌 404 byte의 커다란 Packet 공격인 것을 볼 수 있다. Network 보안과 대책 Cisco Systems Korea

UDP 1434 공격 방어 – Catalyst Switch 라우터에서 처럼 ACL을 통한 방어 가능 라우터 ACL 방어 요령 참조 Switch에서 해당 IP Address 의 MAC Filtering 해당 IP address의 MAC 알아 내기 도스 창에서 nbtstat –A ipaddress 또는 기타 툴들을 이용하여 MAC을 알아낸다. 해당 MAC filtering Switch(enable)#set cam static filter macadd 연결된 물리적 port 알아내기 Show cam macaddress vlan # 해당 연결된 port를 알아 낼 수 있음 또는 cisco Switch의 l2trace 00-00-e8-34- 00-01-e6-27- detail 를 통해 Layer 3 trace가 아닌 Layer 2 trace를 통해 쉽게 Port를 추적가능하다. 해당 MAC,IP,물리적 연결 Port를 알아낸 뒤에는 반드시 해당 PC를 확인하여 ctrl+ALT+del key를 누른 뒤 taskmanager를 통해 현재 해당 PC에서 가장 많은 Process를 사용하고 있는 Program이 무엇인지를 확인 Process를 정지 시킨 후 해당 파일을 복사하여, 백신업체 또는 CERTCC, 전문기관등에 의뢰하여 원인을 파악하는 것이 중요하다. 이번 SQL monitor port 1434 의 공격에서는 Process 사용율이 sqlservr.exe가 90% 이상 점유하고 있었으며, 이 프로그램은 정상적 프로그램이어서 Worm을 확인하기가 무척 어려웠음 Network 보안과 대책 Cisco Systems Korea

UDP 1434 공격 방어 후 …… Network 장비에서 조치 후 증상 Destination IP Source IP Prot DstPrt SrcPrt Stat-Pkts Stat-Bytes ---------------- --------------- ----- ------ ------ ---------- --------------- 4.218.3.82 100.200.151.242 UDP 1434 1780 0 0 144.88.136.206 100.200.82.145 UDP 1434 1239 0 0 97.163.190.229 100.200.99.90 UDP 1434 2488 0 0 45.138.70.26 100.200.92.171 UDP 1434 3242 0 0 112.82.47.202 100.200.80.207 UDP 1434 2872 0 0 88.12.233.225 100.200.99.245 UDP 1434 1860 0 0 32.210.69.94 100.200.82.145 UDP 1434 1239 0 0 21.108.83.6 100.200.151.242 UDP 1434 1780 0 0 26.86.120.54 100.200.62.20 UDP 1434 3916 0 0 157.85.139.144 100.200.92.171 UDP 1434 3242 0 0 72.116.74.61 100.200.80.207 UDP 1434 2872 0 0 153.179.249.96 100.200.151.242 UDP 1434 1780 0 0 46.77.22.107 100.200.67.19 UDP 1434 50254 0 0 138.9.4.219 100.200.62.20 UDP 1434 3916 0 0 169.116.29.24 100.200.11.23 UDP 1434 3372 0 0 Network 장비에서 조치 후 증상 좌측 내용은 Router와 Core Switch에서 해당 Port filtering 후 나타난 증상이다. Filtering 이전에 404byte로 계속해서 발생시키던 Flow가 0byte로 나타난 것을 볼 수 있다. 하지만 궁극적으로 원인을 해결하기 위해서는 원인을 발생시키는 PC에서 Process 정지 및 보안 Patch, 백신 프로그램을 통한 점검과 전문기관에 의뢰하는 등의 조치가 반드시 뒤따라야 할 것이다. Network 보안과 대책 Cisco Systems Korea

UDP 1434 공격 사전 방어 QoS : Rate Limit 기능을 통한 방어 요령 access-list 150 remark CAR-UDP ACL access-list 150 permit udp any any  UDP 폭풍 공격 방어 access-list 160 remark CAR-ICMP ACL access-list 160 permit icmp any any echo  ICMP 공격 방어 access-list 160 permit icmp any any echo-reply access-list 170 permit tcp any any sync  TCP sync 공격 방어 Interface ethernet 1/0  rate-limit input access-group 150 2000000 250000 250000 conform-action transmit exceed-action drop UDP flooding이 2M이상 이면 drop  rate-limit input access-group 160 256000 8000 8000 conform-action transmit exceed-action drop  ping packet이 256k 이상이면 drop rate-limit input access-group 170 64000 8000 8000  실제 application or 속도에 따라 Tunning conform-action transmit exceed-action drop  sync 가 64K 이상이면 drop 여기에서 수치 계산에 대한 문의가 많은 데 Cisco 에서는 다음과 같이 권장 …. access-group 160 256000 8000(256000/8*1.5) 8000(256000/8*2.0) : Site 특성상 값은 조금씩 달라 질 수 있음 Network 보안과 대책 Cisco Systems Korea

참조 Site www.certcc.or.kr Mailing list 기술문서 : 트래픽 분석을 통한 서비스거부공격 추적 기술문서 : 트래픽 분석을 통한 서비스거부공격 추적 www.securitymap.net 문서 : 네트워크 관리자를 위한 보안가이드 v 1.0 (본 요약 문서 Full version) SQL 취약점 관련 URL Buffer Overruns in SQL Server 2000 Resolution Service Could Enable Code Execution (Q323875) Microsoft SQL Server 2000 Resolution Service Heap Overflow Vulnerability 본 문서 내용 중 문의 사항 whchoi@cisco.com Network 보안과 대책 Cisco Systems Korea