네트워크 보안(9)

안녕하세요, 오브입니다. 바로 시작하겠습니다.

 

<네트워크 위협의 유형>

1) 수동적 공격 유형
- 통신회선상의 정보를 무단으로 취득하여 통신회선에 제 3자의 접속 시도를 방지하는 방법과 데이터를 암호화하여 기밀성을 보장하는 방법으로 방어
2) 능동적 공격 유형
- 통신회선상의 정보를 변조, 위조하는 행위인데 암호화와 함께 데이터의 무결성을 확인하는 방법으로 방어

구분	수동적 공격	능동적 공격
특징	직접적인 피해 없음	직접적인 피해 발생
탐지 가능성	어려움	쉬움
대표적인 예	스니핑(Sniffing), 도청(Eavesdrop)	재전송 공격, 변조, DoS,DDoS, 세션하이재킹

 

<서비스 거부 공격(DoS)>(DoS)>

https://en.wikipedia.org/wiki/Denial-of-service_attack

1) DoS(Denial of Service) 공격의 정의
- 서비스 거부란 해킹 수법의 하나로 해커들이 특정 컴퓨터에 침투해 자료를 삭제하거나 훔쳐가는 것이 아니라 대량의 접속을 유발해 해당 컴퓨터를 마비시키는 수법

 

<TCP SYN Flooding Attack>

https://www.cloudflare.com/ko-kr/learning/ddos/syn-flood-ddos-attack/

1) TCP SYN Flooding Attack 정의
- TCP 연결 설정 과정 중에 3-Way Handshking 과정에서 Half-Open 연결 시도가 가능하다는 취약점을 이용한 공격
1. 소스 IP 주소를 속이거나 도용된 대량 SYN 패킷 전송
2. TCP 연결 테이블 부하 발생
3. SYN/ACK 유출

2) TCP SYN Flooding Attack 보안대책
- 방화벽 또는 DDoS 대응 장비를 이용하여 동일 Client(IP)의 연결(SYN) 요청에 대한 임계치(Threshold) 설정을 통해 과도한 연결 요청이 발생하는 것을 원천적으로 차단
- Syn_Cookie를 이용하여 클라이언트로 보내는 SYN+ACK 패킷에 임의로 생성되는 시퀀스 넘버 대신 서버에서 암호화 기술을 이용해 인증 정보가 담긴 시퀀스 넘버를 생성하여 클라이언트에게 보냄

 

<SMURF Attack>

https://www.imperva.com/learn/ddos/smurf-attack-ddos/

1) SMURF Attack 정의
- IP 위장과 ICMP 특징을 이용하여 공격하며 공격자가 출발지 IP 주소를 목표 시스템으로 스푸핑하고 목적 주소를 직접 브로드캐스트 주소(Directed Broadcast Address)로 설정한 Ping 메시지를 송신하고, Ping 메시지를 수신한 네트워크 내의 모든 시스템이 Ping 응답 메시지를 출발지 주소인 공격 목표 시스템으로 동시에 전송함으로써 공격 목표를 마비
1. 공격 대상 서버 IP주소로 변조 후 ICMP ECHO 전송
2. ICMP ECHO REPLY 대량 발생

 

<Flooding Attack>

https://www.cloudflare.com/learning/ddos/http-flood-ddos-attack/

1) Flooding Attack 정의
- 사용되는 프로토콜에 따라 여러 가지 형태로 분류되며 어떤 경우든 공격의 목적은 목표시스템에 연결된 네트워크 링크에 과부하가 목적
- ICMP, UDP, TCP, SYN 등을 사용하며 다른 종류의 패킷도 가능
2) ICMP Flood
- ICMP echo request를 사용하는 ping flood 공격은 전통적인 ICMP flooding 공격
3) UDP Flood
- UDP의 비연결성 및 비신뢰성을 이용한 공격 방법

 

<Land Attack>

https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=kiminkyu11&logNo=40166440722

1) Land Attack 정의
- 패킷을 전송할 때 출발지 IP 주소와 목적지 IP 주소 값을 똑같이 공격 대상에 보내여 공격하는 기법
2) Land Attack 보안대책
- 라우터나 패킷 필터링 도구를 이용하여 자신의 시스템 주소와 동일한 소스 주소를 가진 외부 패킷을 필러링 함
- 관리자가 침입차단 시스템에 소스 IP/Port와 목적지 IP/Port와 동일하면 차단 실행

 

<Ping of Death>

https://www.wallarm.com/what/what-is-a-ping-of-death-assault

1) Ping of Death 정의
- ping을 이용하여 ICMP 패킷을 정상 크기(65,535 bytes)보다 아주 크게 만드는 공격 기법

 

<Teardrop Attack>

https://www.wallarm.com/what/teardrop-attack-what-is-it

1) Teardrop Attack 정의
- 네트워크상에서 IP가 정상적으로 패킷을 전송할 때 단편화(fragmentation)가 발생되는데 이때 오프셋을 이용한 재조립 하여 단편화를 복구하게 되는데 중간에서 고의로 이 오프셋 값을 크게 하여 오버플로우를 발생시키는 공격 기법
2) Teardrop Attack 보안대책
- 침입탐지시스템, 방화벽을 우회할 수 있고 보인크(Boink) 등과 같은 다양한 변종을 가지는 공격 방법으로 완전한 차단은 어려움
- 근본적인 해결을 위해서는 시스템 운영체제의 취약점을 보완하고 보안패치를 함

 

<Inconsistent Fragmentation 공격>

1) Bonk 정의
- 패킷을 프래그먼트 하여 전송할 때 패킷을 조작하여 공격 대상자의 시스템의 부하를 일으킴
2) Boink 정의
- 중간 패킷 시퀀스 번호를 비정상적으로 수정하여 보내는 공격 기법
3) 보안대책
- SYN Flooding이나 Ping of Death 공격에 대한 대응책과 같음

 

<DDoS(Distributed Denial of Service) 공격>

http://kangkoon.blogspot.com/2015/04/ddos.html

1) DDoS 정의
- 여러 대의 컴퓨터를 동시에 동작시켜 공격 대상 시스템에 엄청난 양의 패킷을 동시에 전송시켜 네트워크 성능을 저하나 시스템 마비를 일으킴
1. 악성코드 전파 및 원격 조종
2. 디도스 공격

2) DDoS 구성요소
- 공격자, 봇 마스터: 공격 명령을 전달하는 해커의 컴퓨터, 봇 마스터(Bot Master)
- 마스터, C&C 서버: 공격자에게 직접 명령을 받은 시스템
- 핸들러(Handler) 프로그램: 마스터 시스템의 역할을 수행하는 프로그램
- 에이전트(Agent): 공격 대상에 직접적인 공격을 가하는 시스템
- 데몬(Daemon) 프로그램: 에이전트 시스템 역할을 수행하는 프로그램
- 표적(Victim):공격 대상 시스템

3) 최신 DDoS 공격 유형 설명
가. UDP/ICMP Flooding
- 공격자는 다량의 UDP/ICMP 패킷을 서버로 전송하여 서버가 보유한 네트워크 대역폭을 가득 채워 다른 정상적인 클라이언트 접속 막음
나. DNS Query Flooding
- DNS 쿼리 데이터를 다량으로 서버에 전송하여 DNS의 정상적인 서비스를 방해
다. SYN Flooding
- 다량의 SYN 패킷을 서버로 전달하여 서버의 대기큐(Backlog Queue)를 가득 채워 새로운 클라이언트의 연결 요청을 무시하여 장애 발생
라. TCP Flag Flooding
- TCP의 Flag값을 임의로 조작하여 SYN, ACK, FIN, RST와 같이 여러 형태의 패킷을 생성할 수 있으며, 서버는 이러한 패킷을 수신하는 경우 해당 패킷을 검증하기 때문에 서버의 자원을 소진하여 마비됨

 

<DNS 싱크홀(DNS Sinkhole)>

https://t1.daumcdn.net/cfile/tistory/226A984E5653FC1827

1) DNS 싱크홀 정의
- DDoS 공격 차단 방법의 하나로 감염된 PC에서 특정 주소로 연결을 원할 때 실제 해당 주소로 데이터가 전송되지 않고 싱크홀 네트워크가 대신 응답하여 패킷이 외부로 전달되지 않도록 차단

 

<DRDoS(Distributed Reflection Denial of Service)>

https://itpenote.tistory.com/476

1) DRDoS 정의
- 분산 반사 서비스 거부 공격(DRDoS, Distributed Reflection DoS)은 분산 서비스 거부 공격보다 진화된 새로운 분산 서비스 거부 공격
- 별로의 에이전트 설치 없이 프로토콜 구조의 취약점을 이용해 정상적인 서비스를 운영하는 시스템을 분산 반사 서비스 거부 공격의 에이전트로 활용하여 공격
2) DRDoS 공격 방식
3) DRDoS 대응방법
- IP 주소가 위조된 패킷이 인터넷망으로 들어오지 않도록 ISP가 직접 차단
- ICMP 프로토콜을 사용할 필요가 없는 시스템인 경우에는 스위치 또는 서버에서 해당 프로토콜 차단

 

<네트워크 스캐닝>

http://itnovice1.blogspot.com/2019/09/port.html

1) 풋 프린팅
- 공격자가 공격전에 공격 대상에 대한 다양한 정보를 수집하기 위해 널리 사용하는 방법
- 비밀번호 등을 수첩이나 메모지에 적어 두면 이를 가로채어 정보를 수집하는 방법
2) 포트 스캔 종류

 

<운영체제의 탐지(OS Fingerprinting)>

1) 운영체제 탐지 정의
- 공격대상 시스템의 운영체제에 따라서 취약점이 다르기 때문에 공격자가 사용할 수 있는 공격 수단에 차이가 생김.
- 공격자는 사전에 목표 시스템의 OS의 종류 및 버전을 파악하기 위함
2) 탐지 방법
- TCP 연결 설정의 시작 순서 번호(ISN, Initial Sequence Number) 설정 방식은 OS 버전마다 차이가 있음
- TTL(Time of Live)의 기본값도 OS마다 차이가 있음

 

<스니핑(Sniffing)>

https://korea07.tistory.com/26

1) 스니핑의 정의
- 네트워크의 중간에서 남의 패킷 정보를 도청하는 해킹 유형의 하나

2) Promiscuous 모드 확인
- 유닉스, 리눅스 환경에서 루트 권한 획득 후 ifconfig eth0 promisc 명령어 실행 후 ifconfig 명령으로 확인
3) 스위치 환경에서의 스니핑
가. 스위치 재밍(Switch Jamming, MAC Address Flooding, MACOF(MAC Over Flow) 공격
- 스위치의 MAC Address Table 버퍼를 오버플로우 시킴
나. ARP 스푸핑(Spoofing)
- 공격자가 특정 호스트의 MAC 주소를 자신의 MAC 주소로 위조 전송

https://themangs.tistory.com/474

다. ARP 리다이렉트(Redirect)
- 공격자가 자신이 라우터인 것처럼 MAC 주소를 위조하여 전송

https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=6yujin6&logNo=221642876544

라. ICMP 리다이렉트(Redirect)
- 스니핑 시스템을 네트워크에 또 다른 라우터라고 알림
 

 

<스푸핑(Spoofing)>

https://security-nanglam.tistory.com/191

1) 스푸핑의 정의
- 공격자가 자신을 공격 대상자에게 노출시키지 않고 제3의 사용자인 것처럼 MAC 주소, IP 주소 등을 속이는 기법
- IP 스푸핑: 다른 컴퓨터 IP 주소를 사용 - 3계층
- 이메일 스푸핑: 이메일 발신자를 위장하여 메일 전송 - 7계층
- 웹 스푸핑: 중간에 웹 페이지 내용을 가로채어 변경 후 전송 - 7계층
DNS 스푸핑: DNS를 변조하여 공격 대상 시스템으로 접속 - 7계층

2) ARP 스푸핑
- ARP(Address Resolution Protocol)는 호스트의 IP 주소를 랜카드의 하드웨어(MAC 주소)로 변경하는 프로토콜
- ARP 테이블 갱신의 취약점을 이용한 공격 기법, ARP 캐시 테이블 변경은 ARP 캐시 포이즈닝(ARP Cache Poisoning)이라고 함
1. 클라이언트 MAC 주소를 공격자의 MAC 주소로 변경
2. 서버 MAC 주소를 공격자의 MAC 주소로 변경

https://woosa.tistory.com/87

3) IP 스푸핑
- 공격자가 자신의 IP 주소가 아닌 신뢰관계를 가진 시스템으로 위장하여 공격 대상자의 정보를 가로채는 방식
- 신뢰관계(trust relationship) 설정은 아이디, 패스워드 기반의 로그인이 아닌 신뢰관계에 있는 IP를 등록하여 해당 IP로 접근을 허용
 1. 공격자 IP 재설정 후 트러스트 관계를 이용해 서버에 접속

https://www.okta.com/kr/identity-101/dns-poisoning/

4) DNS 스푸핑
- 실제 DNS 서버보다 빨리 공격 대상에게 DNS Response 패킷을 보내, 공격 대상이 잘못된 IP 주소로 웹 접속을 하도록 유도하는 공격

 

<세션 하이재킹(Session Hijacking)>

https://copycode.tistory.com/81

1) 세션 하이재킹 정의
- 공격자가 인증 작업 등이 완료되어 정상적으로 통신이 이루어지고 있는 다른 사용자(공격 대상자)의 세션을 가로채어 별도의 인증 작업 없이 가로챈 세션으로 통신을 하는 기법
2) TCP 연결 하이재킹(TCP Connection Hijacking)
- 다른 사용자의 TCP 연결을 가로채는 TCP 연결 하이재킹은 순서 번호 추론(Sequence Number Prediction) 기반의 하이재킹과 스니핑 기반 하이재킹으로 구분
3) HTTP 세션 하이재킹(Session ID 하이재킹)
- 특정 사용자의 유효기간이 남아있는 세션 식별자를 가로채어 서버로 접근

 

---

위에 학습한 내용은 아이티동스쿨의 정보보안기사 합격패키지에서 공부한 내용을 참고한 점 알려드립니다.

광고가 아닌 직접 결제하여 수강한 뒤 공부한 내용을 올리는 것입니다. 참고 바랍니다.

https://www.itsdong.com/it/package_detail.php?id=61

[특별할인] 정보보안기사 합격패키지 아이티동스쿨 No.1 IT 독학 강좌 인강