SG200/300 Series 관리 스위치에서 ICMP 점보 프레임 방지

다운로드 옵션

  • PDF     (266.7 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (80.1 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (64.8 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2018년 11월 29일
문서 ID:SMB2653

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

SG200/300 Series 관리 스위치에서 ICMP 점보 프레임 방지

목표

이 문서의 목적은 SG200 및 SG300 시리즈 스위치가 일부 ICMP 점보 프레임을 차단하고 다른 점보 프레임이 스위치를 통과하도록 허용하는 이유를 설명하는 것입니다. 이 문서에서는 ICMP 점보 프레임으로 인한 몇 가지 문제를 보여줍니다. 또한 DoS(Denial of Service) 공격이 무엇이며 ICMP 점보 프레임과 어떻게 연결되는지 설명합니다.

적용 가능한 디바이스

· SG200
· SG300

스위치를 통한 ICMP 점보 프레임

다음은 SG200 및 SG300 Series 스위치에서 ICMP 점보 프레임이 허용되지 않는 이유와 점보 프레임의 개념을 설명합니다.

점보 프레임

기가비트 이더넷 스위치(SG200 및 SG300 Series)와 고속 이더넷 스위치(SF200 Series 스위치)는 점보 프레임을 지원합니다. 점보 프레임은 표준 1,518바이트에서 최대 9,000바이트까지 크기가 확장되는 이더넷 프레임입니다. 따라서 점보 프레임은 프레임당 더 많은 데이터를 전달하여 데이터 전송 속도를 높이며 헤더의 오버헤드를 줄입니다.

Internet Control Message Protocol (ICMP)

ICMP는 IP 데이터그램의 오류에 응답하거나 진단 또는 라우팅 목적으로 ICMP 메시지를 생성하는 인터넷 프로토콜 군의 일부인 네트워크 레이어 프로토콜입니다. ICMP 오류는 항상 원래 데이터그램의 원래 소스 IP 주소로 보고됩니다. 이 프로토콜은 올바른 데이터 배포를 보장하는 데 매우 중요하지만 악의적인 사용자가 다양한 DoS(서비스 거부) 공격을 수행하는 데 악용될 수 있습니다.

DoS 공격은 허위 트래픽으로 네트워크를 범람시켜 네트워크 및 서버 리소스를 사용할 수 없게 하거나 합법적인 사용자에게 응답하지 못하게 합니다. 무차별 대입(brute force)에 의한 DoS 공격은 서버에 과도한 트래픽을 유입시켜 서버 및 네트워크 대역폭을 소비합니다. 다음은 ICMP를 사용하는 일반적인 DoS 공격 유형입니다.

· ICMP Ping Flood Attack — ICMP Ping Flood 공격에서 공격은 대개 호스트의 ping 명령을 사용하여 엄청난 수의 ping 패킷을 타겟 시스템으로 전송합니다. 이렇게 하면 공격받은 시스템이 합법적인 트래픽에 응답하지 못합니다.

· ICMP 스머프 공격 — ICMP 스머프 공격은 스푸핑된 ping 패킷으로 피해 시스템을 플러딩합니다. 이는 대상 피해자의 스푸핑된 IP 주소를 포함하는 수정된 패킷입니다. 이렇게 하면 로컬 네트워크의 모든 호스트에 잘못된 정보가 브로드캐스트됩니다. 이러한 모든 호스트는 대상 시스템에 대한 응답으로 응답하며, 이 응답은 해당 응답들로 채워집니다.사용된 네트워크에 호스트가 많은 경우 많은 양의 트래픽에 의해 피해자가 효과적으로 스푸핑됩니다.

참고: IP 스푸핑은 발신자의 정보를 은폐하기 위해 위조된 소스 IP 주소를 가진 IP 패킷을 의미합니다.

· Ping of Death — Ping of Death 공격에서 공격자는 최대 IP 패킷 크기인 65.536바이트보다 큰 ICMP 에코 요청 패킷을 피해자에게 전송합니다. 수신된 ICMP 에코 요청 패킷이 일반 IP 패킷 크기보다 크므로 프래그먼트화해야 합니다. 이로 인해 피해자가 패킷을 리어셈블할 수 없으므로 OS가 충돌하거나 재부팅됩니다.

· ICMP Nuke 공격 — 이 유형의 공격에서는 ICMP 패킷을 통해 피해자에게 유형 3의 목적지 도달 불가 메시지와 함께 핵이 전송됩니다. 이 공격의 결과는 대상 시스템이 기존 연결과의 통신을 중단하기 때문입니다.

SG200 및 SG300 Series에서 Denial of Service Prevention 스위치를 사용하면 네트워크 관리자가 특정 ICMP 패킷의 차단을 구성할 수 있습니다. DoS와 같은 많은 네트워크 공격이 ICMP를 활용하므로 기본적으로 일부 ICMP 점보 프레임은 차단됩니다. 따라서 보안상의 이유로 이 스위치의 방화벽은 ICMP 점보 프레임을 차단합니다. 그러면 필요한 ICMP 프래그먼트화가 발생하고 DF 설정 메시지가 발신자에게 도달하지 않습니다. 따라서 발신자는 더 작은 크기로 패킷을 전송할 정보를 얻지 못하며, 패킷이 성공했다는 TCP 확인을 받지 못합니다. 이후 발신자는 계속해서 같은 큰 크기로 프레임을 재전송하지만, 목적지에 도달하지 않아 '블랙홀'이라고 하는 조건이 됩니다.

웹 구성 유틸리티를 사용하여 점보 프레임을 구성하고 Port management(포트 관리) > Port Settings(포트 설정)를 선택한 다음 Security(보안) > Denial of Service Prevention(서비스 거부 방지) > Security Suite Settings(보안 제품군 설정)를 선택하여 DoS 방지를 구성합니다.

개정 이력

개정 게시 날짜 의견
1.0
11-Dec-2018
최초 릴리스

이 문서가 도움이 되셨습니까?

Feedback피드백

지원 문의