[디지털포렌식전문가 2급 필기] 3-2-4. 네트워크 공격 유형

DDoS (서비스 거부 공격)

- 여러 대의 컴퓨터를 일제히 동작하게 하여 특정 사이트를 공격하는 해킹 방식

- 목표 서버가 다른 정당한 신호를 받지 못하게 방해하는 작용만 함

- 분산 서비스 거부 공격의 대표적인 도구로는 트리누(Trinoo)와 트리벌 플러드(TFN : Tribal Flood Network), 슈타첼드라트(Stacheldraht) 등이 있음

ARP 프로토콜의 동작 과정

1. 송신 호스트는 수신 호스트 IP 주소를 입력한다

2. 송신 호스트의 네트워크 계층에서 자신의 MAC 주소와 목적지 IP 주소로 ARP 패킷을 브로드캐스트한다.

3. 자신의 IP 주소를 확인한 수신 호스트가 자신의 MAC를 ARP 패킷으로 전송한다. (ARP 스푸핑을 위해 개입하는 단계)

4. 송신 호스트는 수신 호스트의 MAC 주소를 ARP 캐쉬에 저장한다.

스니핑 공격

- A와 B 간의 통신에서 주고받는 패킷의 Sequence를 알아내어 두 호스트 사이의 통신을 가로채어 오가는 데이터 패킷을 도청

- 최근 회선 대역폭이 늘어나고 있어서 유형의 공격 방법을 사용하기 어려워짐

- 공격자가 중간에 끼어 있으므로 패킷의 유실이 발생하게 됨

서비스 거부 공격 중 스머프 어택 (Smurf Attack)

- 네트워크 내에 모든 컴퓨터에게 위조된 ICMP Echo 패킷을 브로드캐스트

- ICMP Echo request 패킷을 받는 호스트의 IP 주소를 Spoofing함

TCP Teardrop Attack

- 공격자가 TCP/IP 통신에서 보내는 쪽에서는 IP 데이터그램을 쪼개고 받는 쪽에서는 이를 합치는 과정을 임의적으로 과도하게 부하를 발생시켜 대상 장비를 서비스 불능 상태로 만드는 DoS 공격

DNS 캐시 포이즈닝

- 인터넷 서비스 제공자(ISP) 또는 기관에서 운영하는 재귀적 질의 처리(Recursive) DNS 서버에 위,변조된 DNS 응답을 지속적으로 보내어 메모리에 저장시킨 후 일정 기간 동안 가짜 데이터로 DNS 질의에 응답하도록 하는 파밍 공격

Syn Flooding 공격

- 불완전한 TCP 연결을 과도하게 요청하는 공격

- 네트워크 연결 대기 큐(backlog queue)의 사이즈를 급격히 증가시킴

- Syncookies 기능을 사용하여 공격을 완화할 수 있음

네트워크 기반의 침입방지시스템(Network-based IPS)를 통해 방어할 수 있는 공격

- IP/ARP Spoofing 공격

- DDoS 공격

- Fragmentation 공격

OSI 모델의 응용 계층

- 해커들이 XSS 공격을 시도할 수 있는 계층

침입탐지시스템의 주요 기능으로 각 분류 기준별 공격 유형

- 서비스 거부공격(DoS) : Flooding, Winnuke

- 불법 접근 시도 : 버퍼 오버플로우, imap

- 사전 공격 시도 : DNS, ftp

방화벽의 패킷 필터링 기능 중 보안 효과가 거의 없는 기능

- 웜 또는 바이러스 프로그램 수행