최신 윈도우 OS 및 서비스팩에서 RAW Sockets 사용 제한

디도스 공격에 대응하다 보면, 트래픽을 유발시킨 소스(좀비) IP가 스푸핑되었는지 아니면 리얼인지 확인이 필요하다는 말을 종종 하는 경우가 있습니다. 특히, 좀비PC를 섭외하여 악성코드 샘플을 수집해야 하는 업무를 맡고 있는 담당자는 더 더욱 그럴 수 있습니다.

이와 관련하여, 흥미로운 사실은 윈도우 OS 최신 버전 및 서비스팩에서는 RAW Sockets 사용이 제한되어 있습니다. raw soccket를 사용하기 위해서는 pcap 라이브러리를 설치하여 사용해야 합니다.

최신 윈도우 OS 및 서비스 팩에서 기본적으로 제공하지 않는 raw sockets를 생성하는 것은 번거로워서 또는 소스 IP를 스푸핑하면 안되면 Connection 공격이 대세이여서 인지 디도스 악성코드를 보면 raw socket를 사용하는 경우를 발견하기 힙듭니다.

아래 인용 글은 MSDN에 있는 Raw sockets 제한에 대한 글입니다.

Limitations on Raw Sockets

On Windows 7, Windows Vista, Windows XP with Service Pack 2 (SP2), and Windows XP with Service Pack 3 (SP3), the ability to send traffic over raw sockets has been restricted in several ways:

 

  • TCP data cannot be sent over raw sockets.
  • UDP datagrams with an invalid source address cannot be sent over raw sockets. The IP source address for any outgoing UDP datagram must exist on a network interface or the datagram is dropped. This change was made to limit the ability of malicious code to create distributed denial-of-service attacks and limits the ability to send spoofed packets (TCP/IP packets with a forged source IP address).
  • A call to the bind function with a raw socket for the IPPROTO_TCP protocol is not allowed.Note  The bind function with a raw socket is allowed for other protocols (IPPROTO_IP, IPPROTO_UDP, or IPPROTO_SCTP, for example)
Advertisements

답글 남기기

아래 항목을 채우거나 오른쪽 아이콘 중 하나를 클릭하여 로그 인 하세요:

WordPress.com 로고

WordPress.com의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Google+ photo

Google+의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Twitter 사진

Twitter의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Facebook 사진

Facebook의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

%s에 연결하는 중

%d 블로거가 이것을 좋아합니다: