스캐닝
Port Scanning
해킹 공격 전 사전 준비작업으로 현재 서비스포트의 상태를 확인하기 위해 각 시스템에 포트를 체크하는 공격기법
유형
- Sweeps : 특정 네트워크에 대하여 해당 네트워크에 속해있는 시스템의 유무를 판단할 수 있는 기법으로, 이를 통해 목표 대상 기관에서 사용하거나 소유하고 있는 IP 주소와 네트워크 범위를 알아낼 수 있다.
- Stealth Scan: 공격 대상 시스템에 세션을 성립하지 않고 스캔하는 방식. 로그가 남지 않으며 자신을 숨기기 위해 사용
- ping, TTL, TCP 등등
방지기법
필터링 규칙, 불필요한 서비스 중지, IDS 및 IPS 연동
무차별 대입공격(브루트 포스)
무차별 대입(brute-force) 공격은 인증 정보(사용자 이름과 비밀번호)를 알아내기 위해 공격자가 반복적, 체계적으로 매번 다른 사용자 이름과 비밀번호를 입력하는 방식의 공격
전사공격 = 사전공격 = 무차별 대입 공격= 브루트 포스
유형
- 일반적인 무차별 대입 공격: 가능한 모든 조합을 시도한다.
- 역 무차별 대입 공격: 많은 계정을 대상으로 소수의 흔한 비밀번호를 반복 시도한다.
- 인증 정보 스터핑: 사이트 또는 서비스에서 훔친 사용자 이름과 비밀번호를 사용해 다른 서비스와 애플리케이션의 계정을 하이재킹한다.
- 사전 공격: 사전의 단어 또는 다른 데이터 침해에서 얻은 일반적인 비밀번호를 돌아가면서 시도한다.
- 레인보우 테이블 공격: 공격자는 평문 비밀번호와 각 비밀번호의 해시값이 저장된 사전 계산된 사전을 사용해 해싱 함수를 반대로 되돌려 비밀번호를 알아낸다.
방지기법
필터링, 횟수 제한, 비밀번호 해시에 솔트(salt)를 넣기
DOS 공격
서비스 거부(DoS, Denial-of-Service) 공격이란 시스템을 악의적으로 공격해 해당 시스템의 리소스를 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격
공격 기술
Ping Of Death
한마디로 큰 핑을 보내는 것. Ping을 이용하여 ICMP 패킷을 정상적인 크기보다 크게 만드는 것.
만들어진 패킷은 네트워크를 통해 라우팅(Routing)되어 공격 네트워크에 도달하는 동안 아주 작은 조각(Fragment)이 된다. 공격 대상 시스템은 이렇게 작게 조각화 된 패킷을 모드 처리해야 하므로 정상적인 Ping의 경우보단 훨씬 많은 부하가 걸린다.
SYN Flooding
"SYN Flooding"이란 SYN을 넘치게 한다는 뜻. 즉, Client가 서버의 SYN Queue를 Overflow시켜서 서버를 오동작 시키거나 Crash 시키는 기법
TearDrop
윈도우xp에서 통하던 공격으로 OFFSET(쪼개지는 숫자)을 중복되고 손실되게 준다. 세그맨테이션된 패킷을 재조합하지 못하도록 하여 장애를 발생시키는 기법. 현재는 통하지 않음
Smurf
희생자의 스푸핑된 원본 IP를 가진 수많은 인터넷 제어 메시지 프로토콜 패킷들이 IP 브로드캐스트 주소를 사용하여 컴퓨터 네트워크로 브로드캐스트하는 분산 서비스 거부 공격
도스(DoS) vs 디도스(DDoS) 공격
도스와 디도스 공격의 차이점은, 디도스 공격은 많은 악성 장치들이 단일 리소스를 타깃으로 삼는다는 것. 분산 서비스 거부 공격(DDoS)은 단일 소스에서 발생하는 도스 공격보다 훨씬 더 성공적으로 대상을 파괴할 가능성이 높아짐. 공격자들은 이 방법을 선호하는 경향이 있는데, 이는 공격이 여러 지점에서 시작되므로 공격의 근원지를 추적하는 것이 점차 어려워지기 때문.
중간자 공격
중간자 공격(man in the middle attack, MITM)은 네트워크 통신을 조작하여 통신 내용을 도청하거나 조작하는 공격 기법
작동원리
중간자 공격의 경우 하나의 방식으로만 공격하는 기법이 아니다.
일반적으로 스니핑(Sniffing), 패킷 주입(Packet Injection), 세션 하이재킹(Session Hijacking), 보안 소켓 계층 스트리핑(SSL stripping)의 총 4가지로 구성돼있다.
- 스니핑(Sniffing) : 스니핑 또는 패킷 스니핑은 시스템 및 네트워크에서 들어오고 나가는 데이터 패킷을 캡처하는데 사용되는 기술이다. 네트워크에서 패킷 스니핑은 도청과 비슷한 개념
- 패킷 주입(Packet Injection) : 공격자가 일반 데이터와 함께 악의적인 데이터를 주입하는 것이다. 사용자에게는 합법적 통신 스트림 일부로 제공되어 파일 및 멀웨어 프로그램을 알지 못하게 된다. 이러한 파일은 중간자 공격과 서비스 거부 공격에서 흔히 보인다.
- 세션 하이재킹(Session Hijacking) : 세션 가로채기라고도 불리며 두 시스템 간 연결이 활성화된 상태를 가로채는 것으로, 세션 만료(Session Expired) 오류를 발생시킨다. 세션이란 은행 계좌에 로그인하고 로그아웃 하는데 걸리는 시간을 말하는데 이러한 세션이 해커들의 표적이 되고, 대부분의 경우 해커는 자신의 존재를 이 세션에서 확인하고 제어하여 다양한 방법으로 공격한다.
- 보안 소켓 계층 스트리핑(SSL stripping) : SSL/TLS 인증서는 암호화를 통해 온라인 통신을 안전하게 유지한다. 보안 소켓 계층 스트리핑 공격을 받을 경우 공격자는 SSL/TLS 연결을 차단하여 프로토콜 보안성이 있는 HTTPS에서 안전하지 않은 HTTP로 전환시킨다
세션하이재킹
시스템에 접근할 적법한 사용자 아이디와 패스워드를 모를 경우 공격 대상이 이미 시스템에 접속되어 세션이 연결되어 있는 상태를 가로채기 하는 공격으로 아이디와 패스워드를 몰라도 시스템에 접근하여 자원이나 데이터를 사용할 수 있는 공격
TCP Connection Hijacking
응용프로그램은 Client-Server간 통신을 개시하기 전에 TCP 연결을 설정하고 연결을 통해 상호 메시지 교환을 개시한다.
메시지를 교환할 때 사용자 인증을 위한 메시지도 포함될 수있다.
해당 TCP 연결을 가로채는것을 TCP Connection Hijacking이라고 한다.
Hijacking vs IP Spoofing
IP Spoofing공격을 하기 위해서는공격 대상이 ID와 Password를 입력하지 않아도 되는 신뢰관계가 형성되어있다는 전제조건이 있어야한다.
하이재킹 공격은 활성화 되어있는 세션을 RST 신호를 이용하여 강제 리셋시킨 후 이를 악용하여 공격을 시도한다.
출처: https://goitgo.tistory.com/146 [Informaion Security]
