728x90
분산 서비스 거부 공격 (DDoS)
1.TCP SYN Flooding
- SYN 패킷을 요청하여 서버가 SYN/ACK 패킷을 무의미한 주소로 전송하게 함
- 대량의 요청 패킷 전송으로 서버의 대기 큐가 가득 차서 Dos 상태가 됨
2.ICMP Flooding (Smurfing Attack)
- 다수의 호스트가 존재하는 네트워크에 ICMP Echo 패킷을 Broadcast로 전송하여 다량의 응답 패킷이 공격 대상 서버로 집중하게 하여 마비
- 서비스 및 포트가 필요없음
3.Tear Drop
- Fragment(offset 값) 재조합 취약점 이용
4.Ping of Death
- Ping을 이용하여 ICMP 패킷을 MTU 이상의 패킷 크기로 전송하여 시스템 마비
5.Land Attack
- 송신자 IP주소- 수신자의 IP주소를 같게 설정하여 트래픽 유발
6.HTTP Get Flooding
- 정상적인 TCP 연결 이후 HTTP Get을 지속적으로 요청하여 HTTP Request를 계속적으로 호출하여 부하 유발
7.Cache Control Attack
- Cache-Control을 no-cache로 설정하고 웹 서버를 호출하면 항상 최신 페이지를 전송해줘야 해서 부하 발생
8.Slow HTTP Get/Post Attack
- Slow HTTP Get : 변조 IP가 아닌 정상 IP 기반 공격이며, 탐지가 어려움. 소량의 트래픽을 사용한 공격
- Slow HTTP Post : Post 지시자를 사용하여 대량 데이터를 장시간에 걸쳐 분할 전송 (연결 장시간 유지)
- Slow HTTP Read Dos : 공격자가 TCP 윈도우 크기 및 데이터 처리율 감소 시킨 후 웹 서버가 정상적으로 응답하지 못하도록 함
→ 회복할 때까지 서버는 대기상태로 빠지게 됨
9.Hash DoS
- 해시테이블의 인덱스 정보가 중복되도록 하여 많은 CPU 자원 소모하도록 하는 공격 → 해시충돌 발생
- HTTP Request 요청 시 Get, Post 방식으로 전송되는 변수를 Hash 구조로 관리
10.Hulk DoS
- 공격 대상 URL을 지속적으로 변경하여 DDoS 차단 정책 우회
포트스캐닝 (Port Scanning)
1.NMAP 포트 스캐닝
- TCP Open SCAN : 3-Way-Handshaking을 통한 포트 확인 (OEPN : SYN+ACK, CLOSE : RST+ACK)
- TCP Half Open SCAN : SYN 패킷 전송 응답 정보로 포트 확인 (OEPN : SYN+ACK, CLOSE : RST+ACK)
- FIN SCAN : FIN 패킷 전송 (OEPN : 응답X, CLOSE : RST)
- UDP SCAN : UDP 패킷 전송 (OEPN : 응답X, CLOSE : ICMP Unreachable)
- X-MAS SCAN : FIN, PSH, URG 패킷 전송 (OEPN : 응답X, CLOSE : RST)
- NULL SCAN : NULL 패킷 전송 (OEPN : 응답X, CLOSE : RST)
스니핑 공격 (Sniffing Attack)
1.스니핑 : 네트워크로 전송되는 패킷을 훔쳐보는 도구 (수동적 공격)
- 송수신자의 IP주소, 포트번호, 메시지 확인 가능
- 모든 패킷을 모니터링 할 때는 Promiscuous Mode(무차별모드)로 설정
- tcpdump : 스니핑을 할 수 있는 도구
ifconfig eth0 promisc : 이더넷을 Promiscuous 모드로 실행
tcpdump -c 5 : 5개의 패킷에 대해 스니핑
tcpdump -i eth0 : 특정 인터페이스에 대해서 스니핑2.세션 하이재킹 (Session Hijacking): 스니핑 공격을 이용하여 이미 인증을 받은 세션을 훔쳐 인증 우회
- RST패킷을 보내 일시적으로 TCP 세션을 끊고 시퀀스 넘버를 새로 생성하여 세션을 빼앗고 인증 회피
- 세션 하이재킹 도구 : Hunt, Arpspoof, IP Watcher, Ferret, Hamster, WireShark)
스푸핑 공격 (Spoofing Attack)
1.IP Spoofing : 자신의 IP를 속이는 행위
- TCP/IP 취약점을 이용하여 공격하고자 하는 IP주소로 변조 후 SYN Flooding 등 수행
2.ARP Spoofing : 클라이언트 MAC 주소를 공격자가 변조
- fragrouter를 통하여 연결이 끊어지지 않도록 Release 해야함
- arpspoof 도구 사용
arpspoof -i eth0 -t [타겟 IP][타겟 게이트웨이] // ARP Spoofing 공격
arp -s [IP주소][MAC주소] : ARP Table을 정적으로 설정하여 ARP Spoofing 하지 못하게 함스위치(Switch) 공격 및 스니핑 방법
- Switch Jamming : 스위치의 MAC Address Table에 대해서 버퍼 오버플로우 공격
- ICMP Redirect : 라우팅 경로를 자신의 주소로 위조한 ICMP Redirect 메시지를 피해자에게 전송
- ARP Redirect : Router의 MAC 주소로 변경하여 ARP Reply 패킷을 네트워크에 브로드캐스트
- ARP Spoofing (ARP 캐시 포이즈닝) : 위조한 ARP Reply 패킷을 피해자에게 전송하여 피해자의 ARP Cache Table이 공격자의 MAC 주소로 변경
728x90
'InfoSec > 정보보안기사' 카테고리의 다른 글
| Window 인증 및 SID (Security ID) (0) | 2024.03.10 |
|---|---|
| 네트워크 보안 03. 네트워크 대응 기술 및 응용 (0) | 2022.09.20 |
| 네트워크 보안 01. 네트워크 활용(TCP/IP 구조) (2) | 2022.09.19 |
| 리눅스 서버 보안 (0) | 2022.09.03 |
