네트워크 보안 02. 네트워크 기반 공격 기술의 이해 및 대응

분산 서비스 거부 공격 (DDoS)

1.TCP SYN Flooding

• SYN 패킷을 요청하여 서버가 SYN/ACK 패킷을 무의미한 주소로 전송하게 함
• 대량의 요청 패킷 전송으로 서버의 대기 큐가 가득 차서 Dos 상태가 됨

2.ICMP Flooding (Smurfing Attack)

• 다수의 호스트가 존재하는 네트워크에 ICMP Echo 패킷을 Broadcast로 전송하여 다량의 응답 패킷이 공격 대상 서버로 집중하게 하여 마비
• 서비스 및 포트가 필요없음

3.Tear Drop

• Fragment(offset 값) 재조합 취약점 이용

4.Ping of Death

• Ping을 이용하여 ICMP 패킷을 MTU 이상의 패킷 크기로 전송하여 시스템 마비

5.Land Attack

• 송신자 IP주소- 수신자의 IP주소를 같게 설정하여 트래픽 유발

6.HTTP Get Flooding

• 정상적인 TCP 연결 이후 HTTP Get을 지속적으로 요청하여 HTTP Request를 계속적으로 호출하여 부하 유발

7.Cache Control Attack

• Cache-Control을 no-cache로 설정하고 웹 서버를 호출하면 항상 최신 페이지를 전송해줘야 해서 부하 발생

8.Slow HTTP Get/Post Attack

• Slow HTTP Get : 변조 IP가 아닌 정상 IP 기반 공격이며, 탐지가 어려움. 소량의 트래픽을 사용한 공격
• Slow HTTP Post : Post 지시자를 사용하여 대량 데이터를 장시간에 걸쳐 분할 전송 (연결 장시간 유지)
• Slow HTTP Read Dos : 공격자가 TCP 윈도우 크기 및 데이터 처리율 감소 시킨 후 웹 서버가 정상적으로 응답하지 못하도록 함
  → 회복할 때까지 서버는 대기상태로 빠지게 됨

9.Hash DoS

• 해시테이블의 인덱스 정보가 중복되도록 하여 많은 CPU 자원 소모하도록 하는 공격 → 해시충돌 발생
• HTTP Request 요청 시 Get, Post 방식으로 전송되는 변수를 Hash 구조로 관리

10.Hulk DoS

• 공격 대상 URL을 지속적으로 변경하여 DDoS 차단 정책 우회

---

포트스캐닝 (Port Scanning)

1.NMAP 포트 스캐닝

• TCP Open SCAN : 3-Way-Handshaking을 통한 포트 확인 (OEPN : SYN+ACK, CLOSE : RST+ACK)
• TCP Half Open SCAN : SYN 패킷 전송 응답 정보로 포트 확인 (OEPN : SYN+ACK, CLOSE : RST+ACK)
• FIN SCAN : FIN 패킷 전송 (OEPN : 응답X, CLOSE : RST)
• UDP SCAN : UDP 패킷 전송 (OEPN : 응답X, CLOSE : ICMP Unreachable)
• X-MAS SCAN : FIN, PSH, URG 패킷 전송 (OEPN : 응답X, CLOSE : RST)
• NULL SCAN : NULL 패킷 전송 (OEPN : 응답X, CLOSE : RST)

---

스니핑 공격 (Sniffing Attack)

1.스니핑 : 네트워크로 전송되는 패킷을 훔쳐보는 도구 (수동적 공격)

• 송수신자의 IP주소, 포트번호, 메시지 확인 가능
• 모든 패킷을 모니터링 할 때는 Promiscuous Mode(무차별모드)로 설정
• tcpdump : 스니핑을 할 수 있는 도구

ifconfig eth0 promisc : 이더넷을 Promiscuous 모드로 실행
tcpdump -c 5 : 5개의 패킷에 대해 스니핑
tcpdump -i eth0 : 특정 인터페이스에 대해서 스니핑

2.세션 하이재킹 (Session Hijacking): 스니핑 공격을 이용하여 이미 인증을 받은 세션을 훔쳐 인증 우회

• RST패킷을 보내 일시적으로 TCP 세션을 끊고 시퀀스 넘버를 새로 생성하여 세션을 빼앗고 인증 회피
• 세션 하이재킹 도구 : Hunt, Arpspoof, IP Watcher, Ferret, Hamster, WireShark)

---

스푸핑 공격 (Spoofing Attack)

1.IP Spoofing : 자신의 IP를 속이는 행위

• TCP/IP 취약점을 이용하여 공격하고자 하는 IP주소로 변조 후 SYN Flooding 등 수행

2.ARP Spoofing : 클라이언트 MAC 주소를 공격자가 변조

• fragrouter를 통하여 연결이 끊어지지 않도록 Release 해야함
• arpspoof 도구 사용

arpspoof -i eth0 -t [타겟 IP][타겟 게이트웨이] // ARP Spoofing 공격 
arp -s [IP주소][MAC주소] : ARP Table을 정적으로 설정하여 ARP Spoofing 하지 못하게 함

스위치(Switch) 공격 및 스니핑 방법

• Switch Jamming : 스위치의 MAC Address Table에 대해서 버퍼 오버플로우 공격
• ICMP Redirect : 라우팅 경로를 자신의 주소로 위조한 ICMP Redirect 메시지를 피해자에게 전송
• ARP Redirect : Router의 MAC 주소로 변경하여 ARP Reply 패킷을 네트워크에 브로드캐스트
• ARP Spoofing (ARP 캐시 포이즈닝) : 위조한 ARP Reply 패킷을 피해자에게 전송하여 피해자의 ARP Cache Table이 공격자의 MAC 주소로 변경