네트워크 기반 위협
많은 공격 지점, 공유, 시스템의 복잡성
수동적 공격
스니핑, 도청
능동적 공격
재전송 공격, 변조, Dos/DDos, 세션 하이재킹
네트워크 기반 보안위협 및 대응책
DoS
Dos
시스템의 사용을 방해하는 공격 방식
단일 컴퓨터를 통해 공격하는 경우
TCP SYN Flooding Attack
3-Way Handshaking 과정에서 Half-Open 연결 시도가 가능하다는 취약점을 이용한 공격
SYN 패킷을 송신하지 않은 TCP가 SYN+ACK 패킷을 수신하면, RST 패킷을 회신하여 연결설정 작업중단을 요청하고, RST 패킷을 수신한 서버는 연결설정 과정을 중단하고 연결 테이블의 자료구조를 해제한다.
그러나 위조 IP주소가 너무 바쁘거나 사용하고 있지 않는 IP 주소인 경우, RST 패킷이 서버로 회신되지 않고 서버는 정해진 시간 동안 SYN+ACK 패킷을 재전송하며 연결 설정 시도를 반복한다.
사용하지 않는 IP 주소로 SYN 패킷의 출발지 주소를 위조하는 것이 일반적이다.
공격자가 매우 많은 패킷을 목적 시스템에 보내서 서버의 TCP 연결테이블은 꽉 차게 되고, 이후에 들어오는 연결 요청은 거부된다.
보안대책
임계치 설정을 통해 과도한 연결요청이 발생하는 것을 차단
Syn_Cookie를 설정한다
First SYN Drop 설정
TCP 연결 테이블 엔트리 선택적 삭제 기법
SMURF Attack
광범위한 효과로 도스 공격 중에서 가장 피해가 크며, 가장 인기 있는 공격 형태중 하나
IP 위장과 ICMP의 특징을 이용한 공격
보안대책
라우터에서 IP directed broadcast 패킷을 막도록 설정
Land Attack
시스템을 나쁜 상태에 빠지게 하는 것
출발지 IP 주소와 목적지 IP 주소값을 똑같이 만들어서 공격 대상에 보내는 것
조작된 IP 주소값은 공격 대상의 IP 주소
보안대책
IDS에서 소스 IP/Port와 목적지 IP/Port와 동일하면 차단하도록 설정
Ping of Death
ICMP 패킷을 정상 크기보다 아주 크게 만드는 것
보안대책
패킷 중 분할이 일어난 패킷을 공격으로 의심하여 탐지하는 방식을 사용
Teardrop Attack
패킷을 전송할 때 IP 단편화가 발생하게 된다.
수신자는 재조립을 통해 단편화된 데이터를 복구하는데 이때 정확한 조립을 위해 오프셋이란 값을 더하게 되어 있는데 이 오프셋 값을 단편화 간에 중복되도록 고의적으로 수정하거나 더 큰 값을 더해 그 범위를 넘어서는 오버플로우를 일으킴
보안대책
IDS, 방화벽을 우회할 수 있고 완전한 차단에는 어려움이 있어서 패치하는 것이 가장 좋은 방법이다.
Inconsistent Fragmentation 공격
Bonk
다음 패킷을 보낼 때 순서번호를 모두 1번으로 조작
Boink
시퀀스 번호를 비정상적인 상태로 보내는 공격기술
보안대책
SYN Flooding, Ping of Death 공격에 대한 대응책과 같다
DDoS
분산된 다수의 컴퓨터를 이용하여 공격하는 형태
전통적인 DDoS 공격
트리누 공격
UDP flood 서비스거부 공격을 유발하는 데 사용하는 도구를 이용한 공격
TFN 공격
트리누와 거의 유사한 분산 서비스 거부 도구를 이용한 공격
Stacheldraht 공격
트리누와 TFN을 참고하여 제작된 도구를 이용한 공격
TFN2k 공격
TFN의 발전된 형태로 통신에 특정 포트가 사용되지 않고 암호화되어 있다.
최신 DDos 공격 유형
대역폭 공격
UDP Flooding
출발지 IP를 위/변조한 후 UDP 프로토콜로 대규모 데이터를 생성해 피해 대상시스템을 향해 전달
ICMP Flooding
ICMP Request 패킷을 이용하여 피해서버로 대량의 ICMP 패킷을 생성해 전달하여 피해서버의 대역폭을 고갈시키는 공격방식
DRDoS
별도의 에이전트 설치 없이 프로토콜 구조의 취약점을 이용해 정상적인 서비스를 운영하는 시스템을 분산 반사 서비스 거부 공격의 에이전트로 활용하여 공격
반사와 증폭 공격 형태로 나타난다.
위협요소
패킷이 전송되는 결로가 무수히 많다
반사 서버의 단계적 사용 및 확산
공격대상 IP를 근원지의 IP로 위조하여 전송하기 때문에 역추적하기가 쉽지 않다.
공격 종류
DNS Reflection Attack, NTP Reflection Attack, CLDAP Reflection Attack, SSDP Reflection Attack, Memcached Reflection Attack, CoAP Reflection Attack
자원 소진 공격
SYN Flooding, ACK Flooding, DNS Query Flooding
웹/DB 부하공격
GET Flooding, Slowloris Attack, RUDY Attack, Slow read Attack, GET Flooding with Cache-Control(CC Attack), 동적 HTTP Request Flooding 공격, 해시도스 공격, 헐크도스 공격
대응 프로세스
예방대책
DDoS 대응 서비스 가입, 백업 서버 구축, 공격 대상의 최소화
방어대책
자체 방어 준비, DDoS 대응서비스를 통한 방어 준비
DNS 싱크홀
2차 피해를 예방하기 위한 시스템
DDoS 공격 차단 방법의 하나
네트워크 스캐닝
사이버 공격을 위한 정보 수집은 풋프링팅, 스캐닝, 목록화의 3단계 과정을 거친다.
풋 프린팅
다양한 정보를 수집하기 위해 널리 사용하는 방법 중 하나
일반적으로 사회공학 기법이 이용
스캐닝
실제 공격방법을 결정하거나 공격에 이용될 수 있는 네트워크 구조, 시스템이 제공하는 서비스 등의 정보를 얻기 위해서 수행되는 방법
Sweep
시스템에 대한 작동 유무를 검사
ICMP Sweep, TCP Sweep, UDP Sweep
Open Scan
서비스의 활성화 여부를 조사
TCP Scan, UDP Scan
Stealth Scan
보안장비에 대한 우회기능이 추가된 기법
FIN, NULL, XMAS 스캔
Security Scan
OS/System, Network Device, Application
목록화
수집한 정보를 바탕으로 좀 더 실용적인 정보를 얻는 과정
수집한 정보를 바탕으로 실제 공격에 사용할 수 있도록 목록화해야 한다.
대응책
방화벽 설정, 포트 스캔 탐지, 시스템 로그 감사, 불필요한 포트는 열어놓지 않음
스니핑
네트워크 트래픽을 도청하는 과정
TCP/IP 프로토콜을 이용한 통신에서는 통신매체를 통과하는 패킷이 암호화가 되지 않은 상태이므로 패킷을 도청가능
허브 환경에서의 스니핑
시스템의 NIC를 promiscuous 모드로 동작하게 한다면 다른 이들의 패킷 또한 버리지 않고 받아볼 수 있다.
스위치 환경에서의 스니핑
스위치 재밍
스위치가 허브처럼 동작하게 강제적으로 만드는 기법
ARP 스푸핑
공격자가 특정 호스트의 MAC 주소를 자신의 MAC 주소로 위조
ARP 리다이렉트
공격자가 자신이 라우터인 것처럼 MAC 주소를 위조
ICMP 리다이렉트, 스위치의 SPAN/Port Mirroring 기능 이용
스니핑 공격의 보안대책
능동적인 대응책
스니퍼를 탐지
ping, ARP, DNS, dbdls, ARP watch 방법
수동적인 대응책
통신 내용을 암호화하는 방법(근본적인 대책)
SSL, SSH, VPN, PGP, PEM, S/MINE
스푸핑
사용자 간의 통신 트래픽을 중간에서 몰래 가로채 수집하거나 조작하는 중간자 공격 또는 서로 다른 많은 주소를 조작하여 대량의 트래픽을 특정 시스템에 한꺼번에 발생시키는 DoS 공격 등에 사용
ARP 스푸핑
호스트의 주소 매칭 테이블에 위조된 MAC주소가 설정되도록 하는 공격
ARP Reply 메시지의 송신자에 대한 인증 과정 없이 자신의 ARP 테이블을 갱신하는 ARP 프로토콜의 취약점을 이용
보안대책
ARP 캐시 테이블을 정적으로 작성
IP 스푸핑
신뢰관계를 가진 시스템의 주소로 위장하여 공격 대상 서버로부터 정보를 가로채는 방식
대응 방안
패킷필터링(공격자가 내부에 있으면 힘듦)
트러스트을 사용하지 않는다.
IP 주소 인증 기능이 보완된 프로토콜(IPSec)을 사용하는 것(근본적인 대응책)
DNS 스푸핑
공격 대상이 잘못된 IP 주소로 웹 접속을 하도록 유도하는 공격
DNS 패킷은 UDP 패킷이므로 세션이 존재하지 않음
ARP 스푸핑과 같은 선행 작업이 필요하다.
시간차 공격
방어대책
hosts 파일에 중요한 사이트의 IP주소를 확인해 적어두면, 적어도 이 파일에 있는 사이트에 대해서는 DNS 스푸핑 공격을 당하지 않는다.
이메일 스푸핑
사회공학기법
악성코드를 메일에 첨부하여 발송하는 방식
세션하이재킹
세션을 가로채서 별도의 인증 작업 없이 가로챈 세션으로 통신을 계속하는 행위
인증을 무력화시키는 매우 위험한 공격
TCP 연결 하이재킹
다른 사용자의 TCP 연결을 가로챔
스니핑과 다른 점은 명령의 실행이 가능하다.(적극적인 공격)
순서번호 추론 기반의 TCP 연결 하이재킹
초기 많은 TCP 구현들은 TCP 연결 설정 과정에서 Sequence Number의 시작 순서 번호를 임의의 번호로 설정하는 대신 일정한 규칙을 가지고 설정해서 추론할 수 있었음
근본적인 대응책은 순서번호를 추론할 수 없게 만드는 것
스니핑 기반의 TCP 연결 하이재킹
서버 간에 교환된 패킷을 스니핑 할 수 있고 패킷 가공 공격을 수행할 수 있다면, TCP 연결 하이재킹은 보다 쉽게 수행될 수 있고 응용 수준의 완전한 양방향 통신 세션 하이재킹이 될 수 있다.
방어 대책
비동기화 상태 탐지, ACK Storm 탐지, 패킷의 유실과 재전송 증가 탐지, 기대하지 않은 접속의 리셋, 데이터 전송의 암호화
HTTP 세션 하이재킹
세션을 가로챌 수 있다면 별도의 인증 없이 해당 사용자의 권한으로 서버를 접근 가능함
추측하기 어렵고 긴 세션 식별자를 사용
각종 remote attact
Local Attack
시스템에 접속한 후에 공격자가 원하는 공격을 수행
Remote Attack
원격 컴퓨터에서 공격대상에 공격을 수행
Trojan
특정 포트를 열어 공격자의 침입을 도와 추가적으로 정보를 자동으로 유출하며 자신의 존재를 숨기는 기능 등을 수행하는 공격 프로그램
Exploit
OS에서 버그를 이용하여 루트권한 획득 또는 특정 기능을 수행하기 위한 공격 코드 및 프로그램
'공부 > 정보보안기사필기정리' 카테고리의 다른 글
| 28. 침입차단시스템 (0) | 2023.05.18 |
|---|---|
| 27. IDS/IPS (0) | 2023.05.17 |
| 25. 네트워크 기반 프로그램 활용 (0) | 2023.05.14 |
| 24. 네트워크 관리 (0) | 2023.05.12 |
| 23. 무선통신 보안 (0) | 2023.05.09 |