이 프로그램은 1999년 1월, 통신사 백본 장비까지 영향을 미친 사건이 발생하여 영구 배포 중지되었습니다.
개요
DeathPacket은 단 하나의 조작된 패킷으로 원격 시스템을 즉시 마비시키는 도구입니다. WinNuke가 Windows 95의 OOB(Out-of-Band) 취약점을 이용해 블루스크린을 띄웠다면, DeathPacket은 그것을 모든 OS로 확장하고, 블루스크린을 넘어 하드웨어 레벨 행(Hang)까지 유발합니다.
WinNuke vs DeathPacket
| 항목 | WinNuke | DeathPacket |
|---|---|---|
| 대상 OS | Windows 95 전용 | Win95/98/NT + Unix/Linux |
| 공격 효과 | 블루스크린 (재부팅 가능) | 커널 패닉 + 하드웨어 행 |
| 공격 속도 | 수 초 | 즉시 (1패킷) |
| 대량 공격 | 1대씩 | IP 대역 동시 (수천 대) |
| 네트워크 장비 | 영향 없음 | 라우터/스위치 영향 |
핵심 기술 — 프로토콜 스택 공격
DeathPacket은 TCP/IP 프로토콜 스택의 구현 결함을 공격합니다. 정상적이지 않은 플래그 조합, 비정상적인 프래그먼트 오프셋, 잘못된 헤더 길이를 가진 패킷을 전송하여 OS의 네트워크 스택을 정의되지 않은 상태(undefined behavior)로 만듭니다.
- Teardrop 변종 — 겹치는 IP 프래그먼트로 재조합 로직 크래시
- Land 공격 강화 — 소스/목적지가 동일한 SYN 패킷의 변형
- Ping of Death 진화 — 65,535바이트 초과 ICMP 패킷의 프래그먼트 변형
- 자체 발견 취약점 5종 — 공개된 적 없는 독자 발견 공격 벡터
파급력
PC방 대란
IP 대역만 입력하면 수천 대를 동시에 마비시킬 수 있었습니다. PC방 전체가 동시에 블루스크린을 띄우며 꺼지는 사건이 전국에서 보고되었습니다.
ISP 백본 사건
1998년 하반기, DeathPacket의 특정 공격 벡터가 ISP의 백본 라우터에까지 영향을 미친 사건이 발생했습니다. 일부 라우터가 비정상 패킷을 처리하지 못하고 재시작되면서 지역 인터넷이 수십 분간 불통되었습니다. 이 사건은 DeathPacket의 배포 중지를 결정짓는 직접적 계기가 되었습니다.
배포 중지
ISP 백본 장비까지 영향을 미친 사건은 DeathPacket이 단순한 장난 도구를 넘어 인터넷 인프라 자체를 위협할 수 있음을 증명했습니다. 개인 PC를 마비시키는 것과 통신 인프라를 마비시키는 것은 차원이 다른 문제였습니다.
- 전체 소스코드 삭제
- 자체 발견 취약점 5종의 PoC 코드 삭제
- 공격 벡터 데이터베이스 삭제
- 배포 서버 폐쇄
- DoS 공격 도구 개발 영구 중단
"패킷 하나로 세상을 멈출 수 있다는 것을 보여주고 싶었다. 하지만 정말로 세상이 멈추면, 그건 더 이상 시연이 아니라 재앙이다."
기술 사양
| 개발 언어 | C + Raw Socket (libnet) |
| 소스코드 | 8,000줄, 독자 발견 취약점 PoC 포함 (현재 삭제) |
| 핵심 기술 | TCP/IP 스택 공격, 비정상 프래그먼트, Raw Socket |
| 공격 벡터 | Teardrop 변종, Land 변형, PoD 진화, 독자 발견 5종 |
| 대상 | Windows 95/98/NT, Linux, Solaris, 일부 라우터 |
| 실행 파일 크기 | 45KB |
| 개발 기간 | 1997년 6월 ~ 1998년 10월 |
| 최종 상태 | 영구 배포 중지 · 소스 및 PoC 삭제 (1999년 1월) |