네트워크 침해 유형 및 특징

스니핑(Sniffing)

Info

패킷 내용을 가로채 확인하는 공격 기법

스니핑 공격 방식: 무작위 모드와 TCP Dump

무작위 모드(Promiscuous Mode)로 네트워크 설정을 변경 후, TCP Dump를 이용하면 네트워크의 모든 패킷을 확인할 수 있다.

tcpdump가 패킷을 확인하는 명령어이다.

스니핑 대응

SSL(Secure Socket Layer) 등의 암호화 통신을 사용한다.

스푸핑(Spoofing)

Info

패킷 정보(IP, DNS, MAC)를 임의로 변경하는 공격 기법

스푸핑 공격 및 대응

공격 종류	방식	대응
IP Spoofing	자신의 IP주소를 변경	IP 기반 인증을 최소화 Random TCP Seq 부여
ARP SPoofing	허위 ARP 메시지를 브로드캐스트 자신의 MAC 주소를 게이트웨이 IP와 연결시킴 모든 트래픽이 공격자에게 전달됨	정적 ARP 매핑 정보 등록
DNS Spoofing	DNS 요청에 대해 위조된 응답 패킷 전달 자신의 IP 주소로 응답하여 악성 서비스로 접근 유도	SSL/TLS 프로토콜 주소를 사용

Dos(Denial of service)

Info

과부하를 발생해 서비스 다운하는 공격 기법

Dos 공격 방식

• Ping of Death
  • 비정상적으로 큰 echo 패킷을 전송한다.
• Teardrop attack
  • 분할된 IP 패킷을 재조립 시 오프셋을 변조하는 공격 기법
  • 잘못된 오프셋으로 재조립하여 시스템 크래시 유발
• TCP SYN Flooding
  • 3-way 핸드셰이크 악용 공격기법
  • 대량의 SYN을 전송 후, SYN-ACK를 전송하지 않는다.
  • TCP 연결 처리에 대한 자원을 낭비
• UDP Flooding
  • 대량의 UDP 패킷을 보내 수신자가 서비스와 포트를 반복 점검하게 만듬
  • 발신 IP 주소를 변조해 응답 수신 회피
• Land attack
  • 발신, 수신 IP를 모두 공격 대상 IP 주소로 지정
• Smurf attack
  • 자신의 IP를 공격 대상 IP 주소로 하여 ICMP Req 브로드캐스트 공격
  • 공격 대상에게 Reply 패킷이 전달
  • ICMP는 네트워크 오류 메시지 전송, 진단 확인을 위한 프로토콜이다.
• Mail Bomb
  • 다량의 메일을 전송해 네트워크와 디스크 자원 고갈
• NTP(Network Time Protocol) 증폭
  • 공격 패킷을 증폭해 공격
  • NTP는 여러 장비들의 시간을 동기화하는 프로토콜이다.

DDos(Distributed)

Info

분산 시스템에 공격 에이전트를 배치해 동시 Dos 공격하는 기법

명령을 내리는 서버는 C&C(Command & Control) 또는 마스터라고 한다.

공격자 → C&C → 좀비 PC

DDos 도구

• Trinoo
  • UDP Flooding 통합 도구
• TFN
  • UDP, TCP SYN Flooding과 ICMP 브로드캐스트 공격 지원

Dos 대응

• IPS(침입 차단 시스템)
  • 패킷 및 포트 필터링
• IDS(침입 탐지 시스템)
  • 공격 탐지
• 로드 밸런싱으로 트래픽 분산
• 주기적인 시스템 패치로 취약점 제거
• 불필요 서비스와 포트 정리