네트워크보안 7주차

-스니핑, 스푸핑, 트로이목마, 백도어, 패스워드 크래킹란?

스니핑: 냄새를 맡다. 해킹 기법 중 하나로, 네트워크 상에서 자신이 아님 다른 상대방들의 패킷교환을 엿듣는 것을 의미.

고유한 ip주소와 max주소가 확인되어야 통신가능. 그런데 프로미스큐어스 모드를 지원하는 랜카드를 사용하면 랜 카드로 들어오는 전기 신호를 모두 읽어 들여 패킷을 관찰. 이것을 할 수 있는 도구를 스니퍼라고 하고 TCP/IP 에서 동작. 방지를 위해서

1) ping 이용. 스니퍼도 tcp니까 request를 받으면 response를 해주는데, 이때 네트워크에 존재하지 않는 mac주소로 위장하여 보내서 ICMP 에코 REPLY를 받으면 스니핑 중인 것을 탐지 가능.

2) dns 이용. 3) 유인-가짜 로그인정보흘려서 접속시 탐지 4) arp watch이용 mac주소와 ip주소 매칭값 초기저장 후 변경시키는 패킷탐지되면 알려줌

 

스푸핑: 골탕먹이다. 속임을 이용한 공격을 총칭. tcp/ip의 구조적 결함 이용하여 사용자의 시스템 권한을 획득한 뒤 정보 빼내감. arp, dns, ip 스푸핑 등 다양함.

1) ip : 공격자가 ip주소를 변경하여 다른 시스템이 어떤 시스템인지 모르게만들기 위해. 악용하고자 하는 호스트의 IP주소를 바꾸어 해킹하는 것.

2) arp: 로컬 네트워크 내의 다른 라우터나 스위치들의 arp 테이블을 변경함으로서 mac주소를 공격자의 mac주소로 속여서 패킷 가로챔.

3) dns: 실제 dns서버보다 빨리 공격대상에 dns응답패킷을 보내 다른 ip주소로 웹접속하도록 유도.

방지

1) 네트워크 속도 저하 발생 의심.

2) arp 테이블 확인. mac주소.

3) 호스트파일이용하여 도메인이름에 대한 ip주소가 맞는지 확인.

 

트로이목마: 유용한 프로그램인 것처럼 위장하여 설치를 유도한 뒤, 컴퓨터나 시스템 내부의 정보를 빼돌리거나 원격조종하는 프로그램. 자기 복제가 없고 전기간동안 램에만 존재. 간접적 방식으로 전파된다는 특징.

+방지

최신 백신, 부팅화면이나 윈도우 시스템에 비번 설정, 불법파일 다운받지x

 

백도어: 정상적인 인증 절차를 거치지 않고, 컴퓨터와 암호시스템 등에 접근할 수 있도록 하는 프로그램. 설계자나 관리자를가 일부러 유지보수를 위해 만듬 그러나 이것을 남이 발견하거나 미처 삭제하지 못해 남겨진 시스템의 보안허점.

트로이목마와의 차이점은 의도가 있었는지 없었는지의 차이.

+방지: 주기적으로 취약점파악, 패치다운로드, 프로그램 설치전에 백신.

패스워드 크래킹: 네트워크 컴퓨터 시스템에 의해 전송된 저장 위치로부터 또는 데이터로부터 패스워드를 복구하는 것

브루트포스 기법, 사전대입공격 등을 이용하여 공격해 패스워드 알아냄.

+방지법: 단순조합 x. 적절한 알고리즘 사용. 암호화시 해시값의 반복을 통해 암호화 극대화

 

- 비트연산&논리연산

논리연산: and, or, not - t/f로 값을 반환

 

비트연산: 비트단위로 적용되는 연산.

and(두 비트가 모두 1일 경우 1), or(둘 중 하나만 1이어도 1), xor(둘이 서로 다를 경우 1), not(비트 반전), >>, <<(쉬프트)

 

- 서브넷 마스크

서브넷: 부분적으로 나눠진 네트워크. 이걸 만드는 데 쓰이는 것이 서브넷 마스크. 이걸 이용하여 ip주소의 네트워크 부분과 호스트 부분을 분리할 수 있음. 그 ip주소와 서브넷마스크를 and 연산 수행하여 네트워크의 정보를 부분적으로 걸러내기 위함.

클래스 체계에 의해 로컬 네트워크 내부에서 접속한 ip주소와 외부 네크워크를 구분할 수 있게 표준화한 것.

- 서브네팅

클래스 내에서 효율적으로 ip를 관리하기 위하여, 서브넷을 나누는 것. 여러 서브넷을 만들 때. 서브넷마스크에서 비트 하나를 1로 변경.