정보보안기사
[정보보안기사] 네트워크 보안 — ICMP Redirect 공격 원리/차단 설정
ICMP Type/Code 의미부터 Redirect 악용 흐름, 리눅스 차단 파라미터까지 정리합니다.
위조 ICMP Redirect로 경로가 공격자 쪽으로 바뀌는 흐름
ICMP 기본(Type/Code)
ICMP는 오류 알림/진단 메시지이며, Type과 Code 조합이 핵심입니다.
- Type: 메시지 종류(Echo, Unreachable, Redirect 등)
- Code: 세부 원인/상황
- 캡처에서는 Type/Code, 원래 패킷 일부가 포함되는지 등을 확인합니다.
ICMP Redirect의 위험
Redirect(Type 5)는 호스트에게 더 나은 다음 홉을 알려주는 용도지만, 위조되면 라우팅이 공격자 쪽으로 바뀔 수 있습니다.
핵심 위험
트래픽이 공격자를 경유하게 되면 도청/변조(MITM)로 이어질 수 있습니다.
트래픽이 공격자를 경유하게 되면 도청/변조(MITM)로 이어질 수 있습니다.
실습/점검 포인트
관찰 포인트는 다음과 같습니다.
- 피해자 라우팅 테이블의 특정 목적지 경로가 바뀌었는지
- Redirect 메시지의 출발지/게이트웨이가 정상인지
- 비정상 게이트웨이로 트래픽이 흘러가는지
# (Linux) Redirect 수용 여부 확인
sysctl -a | grep accept_redirects
# (Linux) Redirect 차단(권장)
sysctl -w net.ipv4.conf.all.accept_redirects=0
sysctl -w net.ipv4.conf.default.accept_redirects=0차단/완화 전략
- 호스트 레벨에서 Redirect 수용을 비활성화합니다.
- 네트워크 레벨에서 비정상 Redirect 유입을 정책으로 제한합니다.
- 라우팅 변경 이벤트/이상 트래픽을 모니터링합니다.
용어 · 레퍼런스(요약)
본문에서는 흐름 이해에 집중하고, 용어는 아래에서 짧게 정리해 드립니다.
| 용어 | 한 줄 정리 | 더 깊게 보기(참고) |
|---|---|---|
| ICMP Redirect | 라우팅 결정을 바꿀 수 있는 ICMP 메시지입니다. | Type 5 설명(RFC) |
| accept_redirects | 리눅스 Redirect 수용 제어 파라미터입니다. | Linux sysctl 문서 |
| MITM | 중간 경로 장악으로 도청/변조하는 공격입니다. | MITM 개요 |
| 라우팅 테이블 | 목적지별 다음 홉 규칙 집합입니다. | ip route/netstat 가이드 |
참고 레퍼런스
- ICMP 관련 RFC/개요 — Type/Code 이해: RFC 792 (ICMP) / IANA ICMP Parameters (Type/Code 레지스트리) / RFC 1812 (IPv4 Router Requirements, ICMP Redirect 포함)
- Linux 커널 문서 — accept_redirects: Linux Kernel Docs: ip-sysctl (accept_redirects)
- Wireshark — ICMP Redirect 분석: Wireshark Display Filter Reference: icmp (예: icmp.type == 5)
- 보안 가이드 — 라우팅 기반 MITM 탐지/완화: Datadog: ICMP Redirect Message Attack / SUSE: Network security sysctl variables
'자격증 공부 > 정보보안기사-네트워크 보안' 카테고리의 다른 글
| 6. 무선랜(WLAN) 구조와 WEP 취약점 (0) | 2026.01.11 |
|---|---|
| 5. SYN Cookie 동작 원리와 설정 (0) | 2026.01.11 |
| 3. IPv6 특징(주소/헤더/통신 방식) (0) | 2026.01.11 |
| 2. IP 단편화(Fragmentation) (0) | 2026.01.11 |
| 1. ARP 프로토콜과 ARP Spoofing(중간자) (0) | 2026.01.10 |