python2 torshammer.py -t 10.200.181.6 -p 80 -r 256
-r 옵션은 작업 스레드의 수를 지정하는 옵션이다.
죽어가고 있는 centOS (희생자)
80번 웹 서버의 세션 연결 상태가 너무 많음. DoS 공격 진행중인겨
와이어샤크를 확인하면, 출발지 포트는 모두 다르며.. 작은 크기의 패킷을 지속적으로 전송하여 세션을 유지하는 것을 확인 가능함.
같은 출발지 포트, Seq 개수가 찔끔찔끔 증가하는 것을 확인할 수 있다.
패킷 데이터를 1Byte 크기만큼 보내고 처리하는 것.
정상 연결 세션이 들어올 경우 처리하기가 어렵다.
하나만 집어서 보자면, Content Length가 10000으로 설정되어 있는 것 확인할 수 있다.
이래놓고 1byte씩 보내는 것임.
그럼 요청을 받는 친구는 아.. 아직 올 데이터가 남아있구나, 하고 연결 세션을 유지한다.
+) TCP Follow Stream해서 보면 동일 스트림에서 더 잘 확인할 수 있다. 키워드는 역시 content-length
TorHammer 공격 대응방안
1. Content-Length 확인 및 임계치 설정
- Content-Lemgth 및 실제 Packet Size를 임계치로 설정하여 차단
- Content-Length가 설정한 크기보다 큰 POST 패킷이 지정된 시간동안 지정한 크기 이하의 패킷이 n개 이상 확인될 경우 차단하도록 설정
2. Session Timeout 설정
- 일정시간 이상동안 연결을 유지하고 있는 요청을 차단하는 설정 적용.
'보안 > 인프라' 카테고리의 다른 글
| TCP 통신 기반 DoS 공격 실습 (0) | 2022.07.08 |
|---|---|
| Slow-Rate: Slowloris 공격 실습 (0) | 2022.07.08 |
| PPS based Flooding (TCP Flag) (0) | 2022.07.08 |
| ARP Spoofing 실습 (0) | 2022.07.08 |
| arp table초기화 (0) | 2022.07.08 |
