[정보보안기사] 네트워크 기반 공격 기술

1. DoS(Denial of Service)

- 컴퓨터의 Resource를 고갈시키기 위한 공격

- 취약점 이용 공격, IP Header를 변조하여 수행하는 공격, 무작위 패킷을 발생시키는 공격 등

* DRDoS : 별도의 Agent를 설치하지 않고, 반사체를 이용하여 공격하는 DoS

---

2. DDoS

- 여러 대의 공격자 서버가 분산되어 특정 시스템을 집중적으로 공격

 

 2-1. TCP SYN Flooding

 - TCP 패킷의 SYN Flag를 이용한 공격

 - 많은 연결 요청을 전송해 대상 시스템의 대기 큐를 가득 채워 서비스를 중단시키는 공격

 - TCP 초기 연결 과정인 3-Way Handshaking을 이용

 - 방화벽, First SYN Drop 설정, TCP 세션 연결 차단, Back Queue 증가 등의 방법으로 대응

 * Router Watch Mode : SYN 패킷 통과 후 일정 시간 동안 연결이 이루어지지 않으면 Router가 SYN 패킷 차단

 * Router Intercept Mode : SYN 패킷을 라우터에서 가로채 SYN 패킷을 요청한 클라이언트와 서버를 대신 연결

 

 2-2. ICMP Flooding

 - IP의 특징인 Broadcast와 ICMP 패킷을 이용한 공격

 - Smurf 라고도 불림

 - 다수의 호스트가 있는 네트워크에 ICMP Echo 패킷을 Broadcast로 전송해 다량의 응답 패킷을 집중시켜 마비

 - ACL, Inbound 패킷의 임계치 설정 등으로 대응

 

 2-3. Tear Drop

 - 분할된 패킷의 Offset을 임의로 조작해 다시 조립할 수 없도록 하는 공격

 - Fragment를 조작하여 패킷 필터링 장비나 IDS를 우회하여 서비스 거부 유발

 - Tiny Fragment : 최초 Fragment를 아주 작게 만들어 패킷 필터링 장비나 IDS장비를 우회

 - Ping of Death : 아주 큰 ICMP 패킷을 전송해 수신 측에서 처리하지 못하게 하여 시스템 마비

 

 2-4. Land Attack

 - IP Header를 변조하여 송신자의 IP, Port 주소와 수신자의 IP, Port 주소를 같게 설정해 부하를 유발하는 공격

 - 송수신자의 IP 주소가 동일한 패킷을 삭제하는 방법으로 대응

 

 2-5. HTTP Get Flooding

 - HTTP Get을 지속적으로 요청하여 HTTP 연결 및 HTTP 처리 로직에 과부화를 유발하는 공격

 - 3-Way Handshaking 이후 공격을 수행하기 때문에 IP를 변조하지 않음

 - 위험 IP 차단, 콘텐츠 요청횟수 임계치 설정, URL 접속 임계치 설정 등의 방법으로 대응

 

 2-6. Cache Control Attack

 - Cache-Contol을 no-cache로 설정하여 웹 서버에 부하를 유발하는 공격

 - 임계치 기반의 설정으로 대응

 

 2-7. Slow HTTP Attack

 - Slow HTTP Post DoS(RUDY) : Post 메소드로 대량의 데이터를 장시간 동안 분할 전송해 연결을 유지하는 공격

 - Slow HTTP Read Dos : TCP Window Size를 매우 작게(0) 설정해 데이터 전송을 막고, 연결을 유지하는 공격

 - Slow HTTP Header Dos(Slowloris) : 개행문자(\r\n\r\n)를 불완전하게(\r\n) 전송해 Header와 Body를 구분하지 못하게 하여 연결을 유지하는 공격

 - 접속 임계치 설정, iptables 설정, ReuqestReadTimeout 설정, Post 메시지 크기 제한 등의 방법으로 대응

 

 2-8. Hash DoS

 - Hash Table의 인덱스 정보가 중복되도록 유도하여 정보 조회 시 많은 CPU 자원을 소모하도록 하는 공격

 - Hash Collision : 서로 다른 키 값이 같은 인덱스 값으로 매핑되는 현상

 - HTTP Post 파라미터 수 제한, Post 메시지 크기 제한, Hash DoS 차단 등의 방법으로 대응

 

 2-9. Hulk DoS

 - 공격 대상 URL을 지속적으로 변경하여 서비스를 마비시키는 공격

 - DDoS 차단 정책을 우회

 - 접속 임계치 설정, 302 Redirect를 이용한 차단 등의 방법으로 대응

---

3. Port Scanning

- 서버에 열려 있는 포트를 확인하기 위한 방법

- 열려 있는 포트를 확인하여 해당 포트에서 제공하는 서비스의 취약점을 이용하여 공격하기 위한 사전 작업

 

 3-1. UDP Scan

 - UDP Packet을 전송해 스캔

 - 신뢰성이 떨어짐

 - Port Open 시 응답 없음, Port Close 시 ICMP Unreachable 응답 받음

 

 3-2. TCP Open Scan

 - 3-Way Handshaking 과정을 진행해 오픈된 포트 확인

 - 서버에 로그가 기록됨

 - Port Open 시 SYN+ACK 응답 받고 ACK 전송, Port Close 시 RST+ACK 응답 받음

 

 3-3. TCP Half Open Scan

 - TCP 연결 시 SYN 패킷만 전송하고 완전한 세션을 성립하지 않음

 - 서버에 로그를 남기지 않음

 - Port Open 시 SYN+ACK 응답 받고 RST 전송, Port Close 시 RST+ACK 응답 받음

 

 3-4. FIN, X-MAS, NULL Scan

 - TCP의 Flag를 이용한 공격

 - 각각 TCP FIN, TCP FIN/PSH/URG, TCP NULL 패킷을 전송해 포트 오픈 확인

 - Port Open 시 응답 없음, Port Close 시 RST 응답 받음

 

 3-5. TCP Fragmentation

 - 20 Byte의 Header를 2개로 분할해 보안장비의 탐지를 우회하는 방법

---

4. Sniffing

- 네트워크로 전송되는 패킷을 훔쳐보는 수동적인 공격 도구

- Promiscuous Mode(무차별 모드)로 설정되어 있어야 네트워크의 모든 패킷을 훔쳐볼 수 있음

---

5. Session Hijacking

- 세션 값을 훔쳐가는 공격

- TCP를 이용해 통신할 때 RST 패킷을 보내 일시적으로 TCP 세션을 끊고 시퀀스 넘버를 새로 생성해 세션을 훔침

---

6. Spoofing Attack

 6-1. IP Spoofing

 - 공격자가 자신의 IP를 변조하여 접속하는 공격

 - Router에서 Source Routing 차단, Sequence Number 랜덤 발생, 암호화 프로토콜 이용 등의 방법으로 대응

 

 6-2. ARP Spoofing

 - 클라이언트의 MAC 주소를 공격자의 MAC 주소로 변조해 서버와 클라이언트가 통신하는 것처럼 속이는 공격

 - ARP의 미인증 특징을 이용해 ARP Reply 패킷을 각 호스트에 보내 ARP Cache를 쉽게 업데이트

 - ARP Table을 정적으로 설정해 대응

 

 6-3. Switch Attack & Sniffing

 - Switch Jamming : Switch의 MAC Address Table을 Overflow 시켜 Switch가 Hub처럼 동작하게 하는 공격

 - ICMP Redirect : Routing 경로를 자신의 주소로 위조한 ICMP Redirect 메시지를 공격 대상에게 전송하는 공격

 - ARP Redirect : Router의 MAC 주소로 변조하여 ARP Reply 패킷을 해당 네트워크에 Broadcast하는 공격