스머프(Smurf) 공격

1. 스머프(Smurf) 공격 개요
 스머프 공격(Smurf Attack)은 DDoS(Distributed Denial of Service) 공격의 한 형태로, 공격자가 네트워크의 브로드캐스트(Broadcast) 특성과 IP 스푸핑(IP Spoofing)을 악용하여 피해 대상의 네트워크 자원을 과부하 상태로 만드는 공격이다.
다량의 네트워크 트래픽을 발생시켜 타겟 시스템이나 네트워크를 마비시키는 데 목적이 있다.

2. 스머프 공격의 원리
스머프 공격은 네트워크 프로토콜, 특히 ICMP(Internet Control Message Protocol)를 악용한다.
   1) 공격 과정
       ① IP 스푸핑 : 공격자는 피해 대상(타겟)의 IP 주소로 발신자 IP를 위조(spoofing)
       ② ICMP Echo Request 전송 : 공격자는 네트워크 브로드캐스트 주소(예: 192.168.10.255)로

           ICMP Echo Request(핑 요청)를 보내고, 이 요청은 동일 네트워크의 모든 장치들에게 전달
       ③ ICMP Echo Reply 발생 : 네트워크에 있는 모든 장치들이 피해 대상의 IP 주소로 ICMP Echo Reply(핑 응답)를 전송
       ④ 네트워크 과부하 : 피해자는 다수의 장치로부터 발생한 ICMP Echo Reply 트래픽을 처리하지 못해 네트워크 자원 고갈됨
   2) 트래픽 증폭 효과
       - 스머프 공격은 브로드캐스트 주소를 악용하기 때문에, 공격자는 한 번의 요청으로 많은 장치로부터 응답을 받을 수 있어

         증폭된 트래픽이 발생하고, 이는 DDoS 공격으로 이어짐

3. 스머프 공격의 주요 특징
   - 대상 : 네트워크 장비(라우터, 스위치) 및 서버.
   - 프로토콜 : ICMP(Echo Request, Echo Reply).
   - 증폭 비율 : 브로드캐스트 네트워크의 크기에 따라 결정.
   - 피해 : 네트워크 성능 저하, 서비스 중단(DoS), 라우터 및 서버의 리소스 소진

 

4. 스머프 공격의 대응 방법
   1) 네트워크 설계 단계에서의 방어
       ① 브로드캐스트 트래픽 제한:

          - 라우터와 스위치에서 브로드캐스트 트래픽을 차단하거나 제한
          - 특정 ICMP 메시지(특히 Echo Request)를 필터링
       ② 보안 정책 강화
           - 네트워크에 불필요한 ICMP 요청을 허용하지 않도록 방화벽 규칙 설정
             예: ICMP Echo Request 필터링
               iptables -A INPUT -p icmp --icmp-type echo-request -j DROP  
       ③ 멀티캐스트/브로드캐스트 방지
           - 라우터에서 directed broadcast를 비활성화
             Cisco 라우터 예시
               no ip directed-broadcast  
       ④ 스푸핑 방지
          - 라우터에서 uRPF(Unicast Reverse Path Forwarding) 설정으로 스푸핑된 IP 패킷 필터링

 

   2) 공격 발생 시의 대응
       ① 트래픽 모니터링
          - 네트워크 트래픽을 모니터링하여 비정상적인 ICMP 트래픽 탐지
          -  트래픽 분석 도구 사용 : Wireshark, tcpdump
       ② 방화벽 및 IPS/IDS 설정
          - 방화벽에서 ICMP 트래픽 제한
          - IPS(침입 방지 시스템) 및 IDS(침입 탐지 시스템)를 활용해 스머프 공격 탐지 및 차단
       ③ 공격자 소스 추적:
          - 공격자 IP를 추적하고, 인터넷 서비스 제공업체(ISP)와 협력해 차단