네트워크보안 8주차

-스캐닝

서버의 작동 여부와 제공하고 있는 서비스를 확인. (TCP기반의 req/res이용하는 포트스캔사용) 다수의 시스템에 대해 시스템의 자체 버그, 시스템 구성상의 문제점 등 해킹 가능한 시스템의 보안 취약점을 알아내고자 하는 공격이며 가장 빈번하게 나타나는 공격.

o 다중 취약점 스캔 공격 : SAINT, sscan2k, vetescan, mscan 등

o 특정 취약점 스캔 공격 : cgiscan, winscan, rpcscan 등

o 은닉 스캔 도구 : nmap, stealthscan 등

o 네트워크 구조 스캔도구 : firewalk, nmap 등

 

-무차별 대입공격(브루트 포스)

특정 암호를 풀기 위해 임의의 문자를 모두 조합해 대입하는 공격 기법. 

무작위순차대입(시간필요)/사전대입(흔히 사용할 법한 조합을 정리해둔 비밀번호 사전준비) 방법이 존재.

-DOS 공격

denial of service. 특정한 네트워크나 웹 리소스에 합법적인 유저가 접근하지 못하도록 방해하는 것. 막대한 양의 트랙픽을 통해 특정 대상(흔히 웹 서버)에 과부하를 주거나, 악의적인 요청을 보내 해당 리소스가 오작동을 일으키게 하거나 완전히 정지시킴.

버퍼 오버플로우 공격(원래 설계한 시스템처리능력보다 많은 트래픽 보냄.)/syn flood(네트웍 상의 TCP 클라이언트와 서버 사이에 세션이 개시될 때. 핸드셰이킹을 신속 히 처리하기 위해서 메시지 교환 순서를 인식하기 위한 SYN 필드가 포함된다. - SYN 공격은 다수의 공격자가 접속 요청을 빠르게 보낸 다음 상대방에게 응답하지 않고 침묵함으로써 다른 필요한 접속 요구들을 방해하는 방식)/바이러스

 

(icmp flood 공격(대상 네트워크에서 잘못 구성된 장치를 타깃으로 하며, 해당 장치가 단일 노드 대신 모든 노드(컴퓨터)에 가짜 패킷을 배포하도록 하여, 네트워크 과부하를 초래))

-중간자 공격

일반적인 네트워크 환경에서 사용자가 웹 서버와 통신을 하려면 무수히 많은 라우터 혹은 스위치를 거쳐야 하는데 이 장비들은 통신의 내용을 알 수 있다. 만약 공격자가 통신장비처럼 클라이언트와 웹 서버와의 경로 상에 들어가게 되면 모든 내용을 감청 및 위변조가 가능하게 되는데 이것을 중간자 공격. 

송신자에 대해 검증 기능이 없는 ARP(Address Resolution Protocol)의 근본적인 취약점을 이용.
공격 대상 및 공격 대상 이 다른 네트워크와 통신하기 위해 관문으로 지정되어 있는 라우터에게 ARP요청이 없었음에도 공격자 스스 로가 상대방이라고 ARP Reply를 지속적으로 보냄으로 써 호스트 상호간에 주고받는 모든 데이터가 공격자를 경유해서 가게 되며, 암호화되지 않은 모든 데이터는 공격자가 볼 수 있다.

 

-세션하이재킹

세션 하이재킹 공격은 두 시스템 간 연결이 활성화된 상태, 즉 로그인된 상태를 가로채는 것을 말한다. 서버와 클라이언트가 TCP를 이용해서 통신하고 있을 때, RST 패킷을 보내 일시적으로 TCP 세션을 끊고 시퀀스 넘버를 새로 생성해 세션을 빼앗아 인증을 회피하는 공격.

세션 아이디 공격(취득/공격->웹 서버와 웹 클라이언트의 트래픽을 직접적으로 스니핑하거나, 웹 서버 상에 공격 코드를 삽입하여 두고 사용자가 클릭할 때 null, Session ID 값을 전송받을 수 있도록)

웹 서버 상의 HTML 코드 삽입이 가능한 페이지는 주로 사용자가 글을 게시할 수 있는 게시판이나 자료실 등에 존재한다. 정상적인 글을 게재하는 대신 공격자는 HTML 코드 및 스크립트를 심어 넣는다. 일반 사용자는 해당 게시물을 열람하게 될 때 자신도 모르는 사이 null, Session ID 정보가 제 3 의 공격자 서버나 이메일로 전송되게 된다. (이러한 공격 기법을 Cross-Site Scripting이라고 부른다.)