[필기] 정보보안기사 / 파트3 네트워크 보안 / 챕터3 네트워크 기반 공격

정보보안기사 / 파트3 네트워크 보안 / 챕터3 네트워크 기반 공격

• 시스템 보안 공격유형
• • 해킹
• 네트워크 보안 공격유형
• • 전송방해
  • 도청
  • 불법변조
  • 위조
• Syn Flooding 
• • Netstat 명령으로 확인해 보면 많은 수의 TIME_WAIT 상태가 아닌 SYN_RECEIVED 상태의 연결을 확인할 수 있다.
  • 다수의 클라이언트에서 접속 요청을 시도하여 오버플로우에 빠지게 하는 방법이다.
• SYN/FIN 스캔
• • 다른 방식에 비해 자주 사용되는 이유는 SYN만을 필더링하는 Stateless 방화벽을 통과 할 수 있기 때문이다.
• IP Spoofing 공격
• • 자신을 서버에 실제 클라이언트처럼 속여서 시스템에 접근하는 방식이다. 
• Kevini Mitnick 공격
• • IP Spoofing 과 Sequence number guessing 을 이용한 공격이다. 즉, IP 패킷의 변조와 대상 시스템의 시퀀스 번호 변화를 예측하여 공격하는 것이다.
  • 다음과 같은 절차를 거친다.
  • 1. finger, rpcbind, showmount 등을 이용하여 공격대상 및 신뢰관계인 서버를 선정한다.
    2. 공격대상 서버에 SYN 패킷, RST 패킷을 보내서 시퀀스 번호의 변화를 예측한다.
    3. 공격대상 서버와 신뢰관계인 서버에 SYN 패킷을 보내 서비스불능 상태로 만든다.
    4. 공격대상 서버에 SYN(다운된 시스템의 IP 주소로 Spoofing 및 예측한 시퀀스 번호), ACK를 보내서 TCP connection 가로챈다.
    5. rsh victim-server "echo + + >> /.rhost" 등으로 공격하여 root 권한을 취득(공격 완료) 한다.
• Switch Jamming 공격
• • 스위치 장비의 주소 테이블이 가득차게 되면(Full) 모든 네트워크 세그먼트로 트래픽을 브로드캐스팅하게 되는 특징을 악용하여, 공격자가 위조된 MAC 주소를 지속적으로 네트워크에 흘림으로써 스위칭 허브의 주소 테이블을 오버플로우 시켜 다른 네트워크 세그먼트의 데이터를 스니핑하는 공격기법이다.
• ARP Redirect 공격
• • 스위칭 환경에서 스니핑을 하기 위한 공격 방법을 말하며 공격은 위조된 arp reply 를 보내는 방법을 사용한다. 즉 공격자 호스트가 "나의 MAC 주소가 라우터의 MAC 주소이다" 라는 위조된 arp reply 를 브로드캐스트로 네트워크에 주기적으로 보내어 스위칭 네트워크상의 다른 모든 호스트들이 공격자호스트를 라우터로 믿게끔 한다. 결국 외부 네트워크와의 모든 트래픽은 공격자 호스트를 통하여 지나가게 되고 공격자는 스니퍼를 통하여 필요한 정보를 도청할 수 있게 된다. 
• ICMP Redirect 메시지
• • 하나의 네트워크에 여러 개의 라우터가 있을 경우, 호스트가 패킷을 올바른 라우터에게 보내도록 알려주는 역할을 한다. 공격자는 이를 악용하여 다른 세그먼트에 있는 호스트에게 위조된 ICMP Redirect 메시지를 보내 공격자의 호스트로 패킷을 보내도록 하여 패킷을 스니핑하는 방법이 ICMP Redirect 공격이다. 
• 살라미 기법(Salami Techniques)
• • 이자 계산이나 다른 거래 계산 프로그램 속에 단위 수 이하의 숫자를 특정 계좌에 계속 가산되도록 프로그램 루틴을 붖어 삽입하는 행위이다.
• 비동기성 공격( Asynchronous Attacks)
• • 컴퓨터 중앙처리장치 속도와 입/출력장치 속도가 다른 점을 이용해 Multi-programming을 할 때 Check-point를 써서 자료를 입수하는 방법이다.
• 터널링 기술(Tunneling Techniques)
• •  인터넷 네트워크상에서 시작지점에서 목표지점까지 전용회선을 연결한 것과 같은 효과를 위해 두 종단 사이에 가상의 터널을 형성하여 외부의 영향을 받지 않고 정보를 주고받는 것을 의미한다. 
•