네트워크 보안 - 스니퍼, 스푸핑, 세션하이재킹

3장. 네트워크 보안

1- OSI 7계층 7-6-5-4-3-2-1

* 애플리케이션 – 프레젠테이션 – 세션 – 트랜스포트 – 네트워크 – 데이터링크 – 물리

 

2- MAC주소의 올바른구조

* 12개의 16진수

 

3- 공인IP로 가장 많은 호스트를 구성할 수 있는 네트워크 – A클래스

1. 2. 3. 4 -> 2,3,4 모두 호스트가 가능하다

 

4- 네트워크 서비스 포트

ftp = 21(파일전송), dns = 53(도메인 주소해석), http = 80(웹서비스제공), smtp=25(메일서비스 제공)

 

5- 3way-handshaking 

= tcp패킷을 주고 받기 전에 가상 경로를 설정하는 과정으로, 클라이언트의 syn, 서버의 syn+ack, 클라이언트의 syn패킷에 의해 이루어진다.

 

6- syn flooding 공격 

 – syn패킷만 보내서 서버를 점유하여 다른 사용자가 서버를 사용할 수 없게 하는 공격 해결책 syn received 시간을 줄이고 IPS 보안시스템을 통해 해결 가능

*Land 공격 

 – 패킷을 전송할 때 출발지 IP주소와 목적지 IP주소를 똑같이 만들어서 공격 대상에게 보내는 것(조작된 IP는 공격대상의 IP) - flooding과 같이 다수의 사용자가 cpu점유 cpu과부하 유발

*DDOS 

 – 분산 서비스 거부 공격, 공격자가 한 지점에서 서비스 거부 공격을 수행하는 형태를 넘어 광범위한 네트워크를 이용하여 다수의 공격 지점에서 동시에 한곳을 공격하도록 하는 형태의 서비스 거부 공격이다. 공격자의 위치와 구체적인 발원지를 파악하는 것도 거의 불가능하다.

*smurf 공격 

 – icmp패킷과 네트워크에 존재하는 임의의 시스템들을 이용하여 패킷을 확장시켜서 서비스 거부 공격을 수행하는 방법 *** 다이렉트 브로드캐스트를 지원하는 않는 방법으로 해결가능 icmp요청 패킷을 다이렉트 브로드캐스트를 통해서 보내는데 이 reply로 위조된 시작ip주소 (공격대상)로 전송하여 ping of death공격처럼 수 많은 패킷이 시스템과부하 유발

 

7- land공격은 공격대상에게 출발지ip와 목적지ip가 동일한 패킷을 보내 cpu를 점유하는 공격방법이다. 공격 주소는 공격대상의 서버 IP주소 – 공격 대상의 서버 IP주소

 

8- Smurf 공격은 ICMP Echo Request를 이용한 공격이다. 이 Echo Request패킷이 에이전트들에게 뿌리기 위해서 라우터에서 지원되어야하는 것은 다이렉트브로드캐스트이다.

 

9- 랜카드에서 ip필터링과, mac주소 필터리을 수행하지 않고 전기적인 신호를 모두 들어오는 기능

 

10- 스위칭 환경에서 스니핑을 수행하기 위한 공격(2계층 영역의 공격)

* arp 스푸핑 – mac주소를 속이는 공격 방법

* ICMP 리다이렉트 -

* 스위치 재밍 – 스위치가 Mac주소 테이블을 기반으로 패킷을 포트에 스위칭할때 정상적인 스위치 기능을 마비시키는 공격을 말한다.(MACOF공격)

* ip스푸핑 – 아이피를 속이는 것 트러스트가 이루어지면 가능

 

11- 2계층 데이터링크계층, 스위치, mac주소를 이용한 통신 구간

* arp 스푸핑 – mac주소를 속이는 공격 방법

 

12- 스니퍼를 탐지하는 방법 – 필터링없이 프리미스큐어 모드에서는 모두 패킷신호를 받아 들이기 때문에 거짓된 정보도 받아들여 응답을 한다.

* arp를 이용한 방법 – 거짓된 mac주소를 보내 응답이 돌아오면 스니퍼

* dns를 이용한 방법 – 스니퍼에게 ip를 던지고 도메인이 리콜되면 dns서버에 전송하여 올바른 도메인인지 확인 (inverse-dns lookup)

* ping를 이용한 방법 – 거짓된 mac주소로 핑을 보내고 응답이 돌아오면 스니퍼

 

13- ip 스푸핑을 수행하기 위해 공격 대상이 사용하고 있어야 하는 것은 트러스트

 

14- dns스푸핑이 가능한 가장 큰 이유를 dns정보를 요청한 클라이언트 측면에서 설명

* dns정보를 요청한 클라이언트는 dns서버로부터 수신한 dns reponse정보에 대한 인증을 수행하지 않고, 최초로 수신한 dns패킷을 사용하여 인터넷 접속을 시도하기 때문

 

15- 세션하이재킹 – 세션 가로채기 (사람 – 컴퓨터, 두컴퓨터 사이의 활성화된 상태)

  RST - 세션하이재킹을 위해서 서버 측에 최초로 보내는 TCP패킷

16- 무선랜 보안시 확인사항

* ssid를 브로드캐스팅을 거부한다.

* wep 키를 설정한다.

* wpa-psk키를 설정한다.

* 802.1 X솔루션을 도입한다.