과제 1
도스
DOS (Denial Of Service attack) 즉 서비스 거부 공격은 서버가 처리할 수 있는 능력 이상의 것을 요구함으로써 다른 요구는 처리하지 못하게 만들어 다른 서비스를 정지시키거나 시스템을 다운시키는 공격을 말한다.
디도스는 분산 서비스 거부 공격으로 여러 대의 공격자를 분산적으로 배치해 동시에 도스를 수행하는 공격을 말한다.
어라. 에러가 났지만 당황하지 말고
문서 편집기를 켜줍니다.
파일 -> 열기
검색 -> 찾아 바꾸기.
바꾸기.
ARP 스푸핑과 스니핑
과제 2
도스 예방책/대응책
도스는 취약점 공격형과 자원 고갈 공격형으로 나뉜다.
취약점 공격형에는 보잉크 공격, 랜드 공격 등이 있고, 자원 고갈 공격형에는 죽음의 핑 공격, SYN 플러딩 공격, 스머프 공격 등이 있다.
보잉크 공격은 프로토콜의 오류 제어를 이용한 공격 기법으로 시스템의 패킷 재전송과 재조립이 과부하를 유발하는 것이다. 과부하가 걸리거나 반복되는 패킷 재전송 요구를 하지 않고 버리는 방법으로 해결 가능하다.
랜드 공격은 패킷을 전송할 때 출발지 IP를 공격대상의 IP로 만들어 공격하는 것이다.
공격을 받은 상대는 응답패킷을 자기자신에게 보내는 것을 반복함으로써 시스템 과부하가 걸리게 된다.
이는 출발지와 목적지 IP가 같은 패킷을 차단해버리면 간단히 해결할 수 있다.
죽음의 핑 공격은 네트워크에서 패킷을 전송할 때 적당한 크기로 나눠보내는 특징을 이용한 것이다.
상대에게 핑 패킷을 최대 크기로 보내면 수백 개의 패킷으로 나눠 전달되는데 방화벽이 패킷의 크기를 보고 걸러내야 한다.
SYN 플러딩 공격은 서버는 수용할 수 있는 클라이언트가 정해져 있는데 존재하지 않는 가짜 클라이언트가 서버에 접속한 것처럼 함으로써 다른 클라이언트의 접속을 차단하는 방법이다.
정상적인 클라이언트가 서버에 접속하려할 때 SYN 패킷을 보내면 서버는 응답패킷을 클라이언트에게 전송하고 클라이언트가 다시 ACK 응답패킷을 보내주기 전까지 SYN Received 상태가 된다.
이 때 ACK 패킷은 보내지 않고 SYN 패킷만 마구 보내서 서버의 모든 접송 공간을 SYN 수신 상태로 만들어 다른 클라이언트가 서버에 접속하는 것을 방해하는 것이다.
SYN 수신 상태 시간을 제한하거나 보안 시스템을 강화하는 대응 방안이 있다.
스머프 공격은 한 스머프가 확성기로 가가멜이 나타났다고 거짓말한 뒤 다른 스머프에게 확성기를 쥐어주면 속아넘어간 스머프들이 확성기를 넘겨받은 스머프에게 몰려가는 것에 비유한 것이다.
공격자는 피해대상의 IP로 브로드캐스팅(네트워크 내 모든 수신자에게 데이터를 보내는 방식)을 해서 응답 메시지를 피해대상에게 몰리도록 한다.
확성기를 피해대상의 IP에 비유한 것이다.
네트워크 사용자가 많아야 효과적이다.
각 네트워크 라우터에서 IP 브로드캐스트 주소를 사용하지 못하게 막아버리는 방법으로 무력화시킬 수 있다.
ARP 스푸핑과 스니핑 예방책/대응책
ARP 스푸핑의 대응방안으로는
1. IDS/IPS를 이용해 mac주소가 변경되었을때 탐지 및 차단을 하는 방법
2. ARP 테이블의 유형을 동적이 아닌 정적으로 설정
3. arp watch 등 보안솔루션을 이용해 스푸핑 탐지
등이 있다.
스니핑 공격을 방어하는 방법중 가장 좋은 방법은 데이터를 암호화하여 스니핑을 당하더라도 내용을 볼 수 없게 만드는 방법이다.
암호화의 방법 중 하나는 SSL이다. SSL은 Secure Sockets Layer의 약자로, 웹 서버와 웹 브라우저 사이의 보안을 위해 중요한 데이터를 전송할 때 사용되는 인터넷 통신 규약 프로토콜이다.
1. 스위칭 환경의 네트워크 구성을 관리하는 것 이다. 스위치를 설정할 때, 스위치의 주소 테이블을 정적 설정하여 스위칭 환경의 스니핑을 막을 수 있다. 아래의 Table 1 같이 스위치의 각 포트에 대해 맥주소를 정적으로 대응시킨다면 ARP Redirect공격을 막을 수 있다. 이 방법은 보안 관리에 시간을 많이 소모하게 되지만 매우 효과적이고 강력한 대응방법이다.
2. 스니퍼 탐지 방법이다. 모든 스니퍼는 ‘promiscuous mode‘를 설정하여 공격을 실행한다. 따라서 관리자는 호스트가 ’promiscuous mode’로 설정되어있는지 주기적으로 검사하여 스니퍼가 실행되고 있는 시스템을 탐지해야한다. 스니핑 기술이 고도화되는 것과 마찬가지로 스니퍼를 탐지하는 방법도 점점 다양해지고 있다. 스니퍼 탐지에는 4가지 방법이 있다. 우선 ping을 사용하는 방법으로는, 스니퍼는 TCP/IP스택에서 동작하기에 응답을 받으면 그에 해당하는 응답을 전달해야 한다. ping을 이용한 스니퍼 탐지방법은 의심가는 시스템에게 ping을 보내되 맥주소를 위장하여 보내는 방법이다.
3. ARP를 이용하는 방법이다. ping을 이용하는 방법과 유사한 방법이지만 non-broadcast로 위조된 ARP응답을 보냈을 때 ARP response라고 온다면 상대방 호스트가 ‘promiscuous mode‘로 설정되어 있다는 것이다.
4. DNS를 이용하는 방법이다. 스니핑 프로그램은 스니핑한 호스트의 IP주소를 보여주지 않고 도메인 명을 보여 주기 위해 Inverse-DNS lookup을 수행하게 된다. 이러한 특성을 이용해 DNS트래픽을 감시하면 스니퍼를 탐지할 수 있다. 이 방법은 원격, 로컬네트워크 모두에서 사용할 수 있는 방법이기도 하다.
5. decoy방법이다. 스니퍼 공격자는 사용자 ID와 패스워드를 도청하고 도청한 계정을 이용하여 다른 시스템을 공격 한다. 따라서 네트워크상에 미리 설정된 계정을 지속적으로 흘려서 공격자가 이 계정을 사용하게 만든다. 관리자는 네트워크 감시프로그램이나 IDS를 이용하여 미리 설정된 계정을 사용하는 시스템을 탐지하여 스니퍼를 탐지할 수 있게 된다.
참고자료 :
서비스거부 공격 (Dos)의 종류
서비스거부 공격(Dos, Denial of Service)은 목표 시스템의 자원을 고갈시키거나 과부하시켜 정상적인 서비스를 제공하지 못하게 하는 방법들이다. 피해대상의 소프트웨어에 침투하거나 조작하는 해
blog.daum.net
[SW개발 보안] 공격 기법의 이해 : 취약점 공격 (tistory.com)
[SW개발 보안] 공격 기법의 이해 : 취약점 공격
취약점 공격 랜드 어택 (Land Attack) - 출발지(Source) IP와 목적지(Destination) IP를 같은 패킷 주소로 만들어 보냄 - 수신자가 자기 자신에게 응답을 보내게 함 (무한루프!?) - 시스템의 가용성을 침
gaebom.tistory.com
arp 스푸핑 공격원리 실습 및 대응방안 (tistory.com)
arp 스푸핑 공격원리 실습 및 대응방안
arp 스푸핑 공격원리 및 실습 ARP 스푸핑이란? ARP 캐시테이블을 위조하여 사용자간 주고받는 패킷을 훔쳐보는 것을 말합니다. arp 스푸핑 공격은 ARP cache poisoning이라고도 불리며 같은 네트워크
securitymanjoseph94.tistory.com
https://scienceon.kisti.re.kr/srch/selectPORSrchArticle.do?cn=JAKO201610748277341&dbt=NART
[논문]효율적인 Sniffing 공격 대응방안 연구
Sniffing은 공격자가 암호화 되지 않은 패킷들을 수집하여 순서대로 재조합 하고난 후 공격 대상의 개인정보, 계좌정보 등 중요 정보를 유출하기 위한 수동적 형태의 공격이다. Sniffing 공격으로 인
scienceon.kisti.re.kr
'LINUX' 카테고리의 다른 글
| [SWING] Linux 05 (0) | 2022.05.23 |
|---|---|
| [SWING] Linux 04 (0) | 2022.05.14 |
| [SWING] Linux 03 (0) | 2022.05.06 |
| [SWING] Linux 02 (0) | 2022.04.02 |
| [SWING] Linux 01 (0) | 2022.03.27 |
