최근 대학과 같이 개방돼 있는 네트워크 상에서 ISP와의 연계를 이루는 왠 라우팅 구간에서의 바이러스 및 네트워크를 통한 공격성 패킷 등의 폭주에 따른 네트워크 시스템 과부하가 골칫거리로 자리잡고 있다.
이와 같은 문제 해결을 위해 이미 구축된 라우터에서의 몇몇 공격성 및 바이러스 패킷의 필터링 룰셋과 네트워크 관리자들이 유용하게 이용할 수 있는 스캔 툴 등을 소개한다.
이 글에서 언급될 공격의 유형은 IP 스푸핑(Spoofing), IP 스캐닝, ICMP 브로드캐스팅, DOS 공격, 바이러스에 의한 스캐닝 및 DOS 트래픽 등으로 커맨드는 시스코 IOS다.
1. 라우터에서의 모니터링 방법
라우터상에서 CPU 사용율과 넷플로우의 상태를 통해 네트워크상에서의 순간 트래픽 분포와 라우터 부하율 그리고 이를 통해 현재 라우터의 상태를 확인할 수 있다.
1-1. 라우터 CPU 사용율을 통한 모니터링
라우터 CPU 부하의 변화를 보고 평소 수치보다 갑작스럽게 증가하지 않았는지 살펴본다. 앞의 값(45%)은 메인 CPU의 사용률이고 뒤의 값(40%)은 캐시 사용률이다. 대부분의 경우 프로세스 스위칭보다 캐시를 통한 패스트 스위칭이나 고사양 라우터의 CEF(Cisco Express Forwarding)를 이용한 스위칭을 함으로써 라우터의 스위칭 기능을 극대화하게 된다.
만일 앞의 값이 뒤의 값보다 현저히 많다면 이는 비정상적인 현상으로 라우팅 테이블을 많이 참조해야 하는 IP 스푸핑 공격이나 바이러스에 의한 DOS성 스캐닝 공격일 확률이 높으며 두 값이 동일하다면 패킷 유입이 많아 패킷을 포워딩하는 것이다. 라우터 CPU의 변동 사항은 MRTG1을 사용하면 더욱 효과적이다.
1-2. 라우터상의 넷플로우를 통한 패킷 모니터링
넷플로우를 통한 라우터상의 패킷 모니터링은 CEF 스위칭을 지원하는 라우터에서만 가능하다.
위의 결과 중 두 번째 줄의 패킷 사이즈에 따른 통계치를 백분율로 표시한 것으로 요사이 문제가 되는 나치(Nachi) 바이러스 및 기타 웜 바이러스들은 60~96바이트 이하의 패킷을 과도하게 유발해 이 수치를 급격히 증가시킨다. 참고로 슬래머 웜의 경우 404바이트다.
CEF와 넷플로우를 라우터상에 인에이블 시키는 방법은 다음과 같다.
이를 통해 현재 라우터 상에서 문제가 되는 패킷들의 넥스트 홉(Next-Hop) 라우팅 경로 및 비정상 패킷을 유포하는 시스템의 IP를 추출할 수 있다. 위의 예에서는 넷플로우를 통해 블래스터 바이러스에 감염된 소스가 TCP(0x06) 135번 포트(0X0087)를 스캐닝하는 것을 보여준다.
