[Linux/Ubuntu22.04] iptables ICMP Flooding 룰 정책

VMware를 통해 Server1을 Attacker로, Server 2를 Victim으로 정하였다.

 

Server1 

Hping3 설치를 통한 공격

2023.07.17 - [정보보안/정보보안 실습] - [Linux/Ubuntu22.03] Hping3 다운로드

[Linux/Ubuntu22.03] Hping3 다운로드

hping3 --icmp --icmptype 8 --rate 11 <target_ip>

ICMP Echo Request (Type 8): 네트워크 장치에게 응답을 요청하는 메시지, 일반적으로 핑(Ping)으로 알려져 있으며, 응답이 있는 경우 ICMP Echo Reply

 

→ ICMP Type 자세히보기

1. CMP Echo Reply (Type 0): ICMP Echo Request 메시지에 대한 응답으로, 목적지 호스트가 ICMP Echo Request를 받으면 이 메시지로 응답
2. ICMP Destination Unreachable (Type 3): 목적지 호스트나 네트워크에 도달할 수 없는 상태일 때 발송예를 들어, 포트가 닫혀 있거나 라우팅 문제가 있는 경우 해당 메시지를 수신
3. ICMP Redirect (Type 5): ICMP Redirect 메시지는 수신 호스트에게 경로 변경을 알리는 데 사용,라우터는 수신 호스트에게 경로의 변경이 필요하다는 정보를 전송하고, 이후 패킷 전송이 직접 라우팅되는 것보다 더 효율적인 경로로 전송
4. ICMP Time Exceeded (Type 11): 패킷이 네트워크 상에서 TTL(Time To Live) 값이나 패킷 조각화 문제로 인해 폐기되었음을 나타냄, 네트워크 문제를 진단하거나 패킷 라우팅을 추적하는 데 도움
5. ICMP Parameter Problem (Type 12): IP 헤더의 문제나 ICMP 패킷 자체의 문제를 나타냄,예를 들어, 잘못된 IP 주소 또는 잘못된 ICMP 페이로드가 포함된 경우 해당 메시지가 생성될 수 있음

Server2

iptables를 통한 패킷 탐지 및 로깅

sudo iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 10/second -j LOG --log-prefix "ICMP Echo Request: "
sudo iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

리퀘스트 요청을 초당 10번으로 제한하고, 로그를 기록 이후 패킷을 드롭함

 

1. sudo tail -f /var/log/syslog 확인

로그에 잘 기록 된 것을 확인 할 수 있다.

2. 패킷 드롭 확인 wireShark

2023.07.18 - [정보보안/정보보안 실습] - [Linux/Ubuntu22.03] wireshark 다운로드 및 실행

[Linux/Ubuntu22.03] wireshark 다운로드 및 실행

피해자의 서버에서 와이어샤크통해 패킷이 드랍되는 것도 확인할 수 있다.