it-swarm-korea.com

UDP 트래픽이 많거나 적습니까?

TCP 특히 네트워크 보안의 맥락에서 네트워크에 나쁜 트래픽이있는 것에 비해) 네트워크에 높은 UDP 트래픽이 집중되어 있어야합니까?

조직의 네트워크 프로토콜 사용 내역을보고 있는데 UDP가 TCP보다 높다는 것을 알았습니다. UDP는 연결이 없으며 멀티 플레이어 게임, VoIP, 미디어 스트리밍 등으로 인해 발생할 수 있음을 이해합니다. 그러나 내 조직에는 위의 내용이없는 것 같습니다.

높은 UDP 집중으로 네트워크가 DDoS, 프로빙 등과 같은 공격에 취약 할 수 있습니까?

의견은 높이 평가되었습니다. 미리 감사드립니다.

7
Fred1234

트래픽이 악의적인지 여부를 정의하는 데 도움이되는 접근 방식입니다.

1 단계, 트래픽 캡처

도구 선택 : 적절한 작업을 수행하려면 원시 패킷 출력이 필요하므로 선택한 도구를 사용하십시오 (wireshark/tcpdump는 두 가지 예입니다). 개인적으로 나는 tcpdump를 사용하고 필요한 경우 트래픽 캡처를 wireshark에로드하여 멋진 그래픽 세계를 볼 수 있습니다.

Config : 전체 패킷을 캡처하도록 도구를 구성해야합니다. 기본적으로 tcpdump는 68 바이트의 데이터 만 캡처합니다. 또한 -x 플래그를 사용하여 16 진 출력을 캡처합니다. 그렇게하면 개별 비트를 검사 할 수있게됩니다 (악한 패킷에 대해 심도 깊은 다이빙을 수행 할 때 매우 중요 함).

UDP 트래픽에 관심이있는 경우 패킷 캡처를 UDP 전용 트래픽으로 제한 할 수 있습니다. 이는 IP 헤더의 9 번째 오프셋에서 17 (UDP 용) 값을 일치시켜 수행됩니다. 또는 udp flag 옵션을 호출하여이를 위해 tcpdump 내장 매크로를 사용할 수 있습니다.

Execute : tcpdump의 예제 명령 줄은 tcpdump udp -s 0 -x -w /udp_traffic

이것은 UDP 트래픽에 대해서만 16 진 출력으로 전체 IP 프레임을 캡처하고이를 udp_traffic이라는 파일에 기록합니다.

확인 : 이것이 작동하는지 확인하려면 tcpdump -r /udp_traffic 다음과 같은 내용이 표시됩니다.

09:06:16.982995 IP 192.168.188.128.63793 > 192.168.188.1.42313: UDP, length 0
09:06:16.986062 IP 192.168.188.128.63793 > 192.168.188.1.623: UDP, length 0
09:06:16.986274 IP 192.168.188.128.63793 > 192.168.188.1.30303: UDP, length 0

2 단계 분석.

여기에있는 두 가지 실제 옵션은 IDS/IPS 솔루션을 사용하여 트래픽을 재생하여 이것이 발생하는 경고를 확인한 다음 각 경고를 추적하여 오 탐지 여부를 이해합니다. 이 방법은보다 과학적이며 알려진 잘못된 트래픽을 기반으로합니다. IDS/IPS가 이미 네트워크에 맞게 조정되었고 트래픽이 알려진 규칙과 일치하는 경우 더 빠릅니다.

또는 트래픽을 검토하기 위해 실행중인 네트워크 및 서비스에 대한 지식을 사용하여 더 직감적 인 접근 방식을 사용할 수 있습니다. 이것은 과학보다는 예술이지만 장점이 있습니다. 사람들의 직감은 복제 할 코드 조각을 프로그래밍 할 수 없으며 네트워크가 튀어 나올 것이라는 것을 안다면 느낄 수 있습니다.

두 가지 접근 방식으로 인해 다음 그룹으로 트래픽이 분류됩니다.

트래픽 유형 :

  • 포트 별 분류
  • 소스 별 분류
  • 목적지 별 분류
  • 포트 별 분류

이를 통해 관리하기 쉬운 청크에서 대량의 트래픽을 처리하고 패턴을 찾을 수 있습니다.

이전의 예에서-

09:06:16.982995 IP 192.168.188.128.63793 > 192.168.188.1.42313: UDP, length 0
09:06:16.986062 IP 192.168.188.128.63793 > 192.168.188.1.623: UDP, length 0
09:06:16.986274 IP 192.168.188.128.63793 > 192.168.188.1.30303: UDP, length 0

패킷이 모두 192.168.188.128 네트워크와 포트 63793에서 다양한 포트의 192.168.188.1로 향하고 있음을 알 수 있습니다. 이것은 전형적인 스캔 트래픽이며,이 경우 udp 포트에 대한 nmap 스캔입니다.

교통량 :

모양이 마음에 들지 않는 트래픽을 찾으면 16 진 출력을보고 훨씬 더 깊은 수준에서 패킷을 분석 할 수 있습니다. 우리가 가져 가면

09:42:15.206332 IP 192.168.188.128.63793 > 192.168.188.1.52503: UDP, length 0

그리고 우리가 보는 16 진수 출력을보십시오 :

0x0000:  4500 001c 43d7 0000 2a11 5327 c0a8 bc80
0x0010:  c0a8 bc01 f931 cd17 0008 3fc1

관심 지점은 첫 번째 오프셋 (0부터 계산)이며 IPv4의 경우 4를 나타냅니다. 오프셋 9는 11 (16 진수를 10 진수로 변환해야 함)을 나타내므로 프로토콜 17 또는 UDP입니다. 그런 다음 오프셋 12-c0a8 bc80 (192.168.188.128)에 소스 주소가 있고 오프셋 16-c0a8 bc01 (192.168.188.1)에 대상 주소가 있습니다.

3 단계 : 이상한 트래픽 식별 및 검토 :

관심있는 특정 트래픽을 식별 한 경우 리서치 (google)와 심층 패킷 분석의 조합입니다.

느낌을주기 위해 이러한 유형의 UDP 패킷은 나에게 우려를주고 추가 조사를 보증합니다.

10:30:36.313999 IP 192.168.188.128.50056 > 192.168.188.1.26000: UDP, length 2201
        0x0000:  4500 05dc 7d9c 2000 4011 dda1 c0a8 bc80
        0x0010:  c0a8 bc01 c388 6590 08a1 0c07 425a 7454
        0x0020:  3349 3665 5747 6742 4642 4177 7071 4156
        0x0030:  6c5a 7271 7975 5579 5546 6375 4b76 6c4f
        0x0040:  5762 3853 4578 6757 3766 5837 744f 7572
        0x0050:  766e 746b 4339 6c74 6f6c 6156 4264 3072
        0x0060:  566c 6739 7355 4a37 3550 3848 7a70 4d6f
        0x0070:  6f4b 6e77 7762 4b47 6c6c 4f63 3846 7372
        0x0080:  7a7a 4879 7763 6330 4c77 3172 7048 5941
        0x0090:  4177 5676 727a 6f52 4b32 566c 5a6b 5242
        0x00a0:  696b 4976 3470 547a 3467 6f74 644b 376c
        0x00b0:  3468 3443 5676 4758 4535 6857 6b41 657a
        0x00c0:  4779 7731 654d 314a 5976 7265 3974 6e41
        0x00d0:  305a 4358 6f5a 517a 4344 6378 5634 476d
        0x00e0:  7147 6979 3653 6a69 4331 486b 734f 7844
        0x00f0:  4175 6467 7858 636f 5550 386c 6332 5a6c
        0x0100:  3237 3067 5552 514b 6345 4836 7073 516f
        0x0110:  7a52 6631 315a 6365 3563 4f76 4275 4c4a
        0x0120:  6f74 5032 5057 704f 6f5a 4d58 4369 7666
        0x0130:  3847 6733 5555 5036 6e7a 4c6b 3856 4573
        0x0140:  6b59 646b 6b62 6733 5036 6c4c 534c 3248
        0x0150:  4156 3037 656b 7433 3148 6578 6968 547a
        0x0160:  436f 5635 5957 7165 6d66 4565 3563 494d
        0x0170:  6570 7947 4174 5559 4c57 5a59 6d63 3671
        0x0180:  4333 4a4e 7269 4778 5968 6b6b 4155 7a39
        0x0190:  6c53 5772 5573 5644 684f 3456 3237 5267
        0x01a0:  634a 326c 4558 6e5a 6b5a 5255 486f 6436
        0x01b0:  6878 4770 5053 4178 426a 6651 6c53 4e70
        0x01c0:  5970 646b 5539 735a 3254 737a 6964 4a46
        0x01d0:  4b4c 504e 7244 7451 7a41 4945 3233 5951
        0x01e0:  586d 4866 7a54 334c 7947 4145 5041 6a65
        0x01f0:  4850 4665 3168 7446 4639 4172 4731 526e
        0x0200:  324d 5151 4641 737a 4f53 4556 7332 5a38
        0x0210:  614d 735a 3978 444b 4565 5054 7459 5663
        0x0220:  7837 3059 3666 3871 754e 3377 7252 3659
        0x0230:  344c 586c 5232 7265 5a6f 416b 785a 6961
        0x0240:  5156 3973 3267 6279 5738 6272 7663 5463
        0x0250:  6b62 4e70 5a64 4763 4772 4262 4551 5254
        0x0260:  4757 4d76 4e51 414a 3868 5063 7267 304c
        0x0270:  4b78 784c 6b49 5563 7443 5a36 526b 745a
        0x0280:  4c4e 4c68 7175 4a54 3064 626e 4562 5157
        0x0290:  3068 4730 6e47 3650 5468 3467 4e72 4a6b
        0x02a0:  5a51 5771 4a38 5747 4453 6e64 3971 4650
        0x02b0:  4263 7358 6e46 5173 3057 5a57 6f65 7168
        0x02c0:  7a67 5859 6e74 4138 7457 3672 646b 344a
        0x02d0:  5958 5363 7231 6c6c 696e 6a38 704b 6146
        0x02e0:  786d 4f5a 6c57 4d50 4232 3459 7130 6a4d
        0x02f0:  5278 7330 3352 336f 6742 5661 3245 7879
        0x0300:  4e43 444b 4d4b 424f 7441 6a37 6e51 6238
        0x0310:  4e78 5053 6f39 5a64 3632 3879 6e54 5042
        0x0320:  7736 5258 4e42 3557 704d 6b48 7974 5050
        0x0330:  4777 4e63 3269 7672 7672 4266 697a 4c67
        0x0340:  4568 554a 4636 614b 6a56 7068 4e33 4a4c
        0x0350:  5067 7254 6a67 674c 3337 6574 5934 6836
        0x0360:  394c 354e 3261 7456 7270 4f69 6531 3452
        0x0370:  7568 6835 5374 756e 5676 6f4f 767a 6d6b
        0x0380:  6679 6846 4743 3861 3543 6538 454e 4c4c
        0x0390:  4745 7630 5247 6675 5333 3070 3576 4b62
        0x03a0:  5932 3562 6a38 4752 337a 4973 5068 3867
        0x03b0:  364a 6159 3444 7149 5372 4b63 5547 6f6e
        0x03c0:  4e36 4845 6e43 6534 4b48 5568 5639 4b47
        0x03d0:  3835 5862 5a32 6962 3157 7431 4344 3442
        0x03e0:  496e 644e 445a 6851 6870 4373 6951 5776
        0x03f0:  4438 5874 6578 4c38 4d4a 694c 3368 536c
        0x0400:  664e 3369 75b7 3f07 102d 47b3 10f8 7b04
        0x0410:  a81c 4873 7672 46b0 b823 f58d 4b13 d477
        0x0420:  6692 2ae2 2c1a d598 7c22 d624 ba3f 40b2
        0x0430:  0537 08e0 0c35 900d b7bf 4f43 85e3 3afc
        0x0440:  9671 28e1 7527 a91d 4e99 9f4a 12d1 f97e
        0x0450:  18fd b13c 3d42 9b79 7e77 7b4f 89e1 7970
        0x0460:  730b f8b5 bab8 1d3f 2584 e340 bea8 03d0
        0x0470:  c0d6 9614 b067 98b7 9942 bb97 4bb4 9bbf
        0x0480:  3bd4 88f5 4e0c 7546 3d7d 7c09 e07a 69f9
        0x0490:  2c90 7149 a92f 0415 911c 7224 9f74 7827
        0x04a0:  38d5 7637 b1b2 8ceb 6693 432d 7f02 e234
        0x04b0:  b68d 48b3 791b fc7f 3c75 35b9 7141 7447
        0x04c0:  7805 7d20 eb0d 9272 4a83 e001 e10a d2fd
        0x04d0:  734f 700d 9b7c 14b5 4390 bad3 c1f9 7630
        0x04e0:  f5be bf2d 31e3 351d 81fd 7b39 fc27 7e37
        0x04f0:  80e2 2c34 b0b1 1567 7a0c 4b98 3da8 4940
        0x0500:  bb92 b33f 0425 b71c 8d97 4741 b4f8 b8b9
        0x0510:  7705 86d6 4eb6 9193 46d4 422f a93c 6696
        0x0520:  d5b2 2499 484a 9f56 5458 3633 3057 5458
        0x0530:  3633 3856 5848 3439 4848 4850 5658 3541
        0x0540:  4151 5150 5658 3559 5959 5950 3559 5959
        0x0550:  4435 4b4b 5941 5054 5458 3633 3854 4444
        0x0560:  4e56 4444 5834 5a34 4136 3338 3631 3831
        0x0570:  3649 4949 4949 4949 4949 4949 515a 5654
        0x0580:  5833 3056 5834 4150 3041 3348 4830 4130
        0x0590:  3041 4241 4142 5441 4151 3241 4232 4242
        0x05a0:  3042 4258 5038 4143 4a4a 494b 4c4a 484c
        0x05b0:  4945 5045 5045 5045 304d 594b 5546 514e
        0x05c0:  3245 344c 4b46 3250 304c 4b46 3244 4c4c
        0x05d0:  4b51 4242 344c 4b43 4251 3844

이 단일 UDP 패킷, 높은 포트 및 높은 소스 포트로 전송되는 많은 데이터가 있습니다. 실제로 이것은 UDP를 통해 완료된 버퍼 오버 플로우의 예입니다.

10
David Stubley