unkn0wnR2ver5er

스니핑 공격 (Sniff) = 코를 킁킁거리다

수동적 공격(passive) = 공격할 때 아무것도 하지 않고 조용히 있으면 된다.

ex) 도청, hooking 등

원리

- 통신할 때 2계층과 3계층에서 필터링이 이루어 진다.

- 그런데 그 필터링을 해제하는 랜카드의 모드가 있는데, 프러미스큐어스 모드라고 한다.

- 간단한 설정 사항이나 스니핑을 위한 드라이버 설치로 바꿀 수 있다.

스위치 재밍 공격

- OSI 7계층의 스위치에는 포트와 MAC 주소를 저장한 테이블이 존재한다.

- 스위치가 MAC 주소 테이블을 기반으로 패킷을 포트에 스위칭 할 때 정상적인 스위칭 기능을 마비시킨다.

SPAN 포트 태핑 공격

- Switch Port Analyzer란 스위치의 포트 미러링(Port Mirroring) 기능을 이용한다.

- Port Mirroring : 각 포트에 전송되는 데이터를 미러링 하고 있는 포트에도 똑같이 전송하여 침입탐지 시스템이나 네트워크 모니터링 또는 로그 시스템을 설치할 때 사용한다.

스니핑 공격의 대처 방법

Ping을 이용한 스니퍼 탐지

- 의심가는 호스트에 존재하지 않은 mac주소로 ping을 보낸다.

- 만약 ICMP Echo Reply를 받게 된다면 해당 호스트가 스니핑을 하고 있는 것이다.

ARP를 이용한 스니퍼 탐지

- 위조된 ARP Request를 보내 ARP Response가 오면 프러미스큐어스 모드가 설정되어 있는 것이다.

DNS를 이용한 스니퍼 탐지

- 테스트 대상 네트워크로 Ping Sweep를 보내고 들어오는 Inverse-DNS을 감시하여 탐지한다.

유인(Decoy)을 이용한 스니퍼 탐지

- 가짜 ID와 패스워드를 네트워크에 뿌리고, 공격자가 이 ID와 패스워드를 이용하여 접속을 시도하면 탐지한다.

ARP Watch를 이용한 스니퍼 탐지

- ARP트래픽을 모니터링하여 이를 변하게 하는 패킷이 탐지되면 관리자에게 알려주고 탐지한다.

=================================================================================================================

=================================================================================================================

서비스 거부 공격 (Dos)

취약점 공격형 : Boink, Bonk, TearDrop 등

Land 공격

- Land? = 나쁜 상태에 빠지게 하다.

- 패킷을 전송할 때 출발지IP와 목적지 IP주소를 같게 하여 보낸다. (조작된 IP주소는 공격자의IP주소)

자원 고갈형 공격

네트워크 대역폭이나 시스템의 CPU, 세션 등의 자원을 소모시키는 형태의 공격이다.

SYN Flooding 공격

- 존재하지 않는 클라이언트가 서버별로 한정되어 있는 접속 가능한 공간에 접속한 것처럼 속여, 다른 사용자가 서버의 서비스를 제공받지 못하게 함

HTTP GET Flooding 공격

- 피공격 시스템에 TCP 3-way handshaking 과정을 통해 정상 접속 후, 특정한 페이지를 HTTP의 Get Method를 통해 무한대로 실행하여 서비스를 사용할 수 없게 함

HTTP CC 공격

- HTTP 1.1 버전의 CC(Cache-Control) 헤더 옵션은 자주 변경되는 데이터에 대해 새롭게 HTTP 교정 및 응답을 요구하기 위하여 캐시 기능을 사용하지 않게 할 수 있다.

동적 HTTP Request Flooding 공격

- HTTP GET Flooding과 HTTP CC공격은 일반적으로 지정된 웹페이지를 지속적으로 요청하는데 이것은 방화벽으로 방어가 가능하다. 그러나 동적 공격은 이것을 우회하여 공격한다.

Smurf 공격

- ICMP 패킷과 네트워크에 존재하는 임의의 시스템들을 이용하여 패킷을 확장시킨 후 서비스 거부 공격을 수행한다.

- ex)

1. 거짓말쟁이 스머프가 확성기로 '가가멜이 나타났다!' 라고 소리침

2. 멀뚱이 스머프에게 확성기를 넘겨줌

3. 마을 스머프들이 확성기를 보고 멀뚱이 스머프가 거짓말 한 것이라고 판단함

- 다이렉트 프로드캐스트를 이용한 공격이다. 브로드캐스트 = 255.255.255.255 의 목적지 IP 주소를 가지고 임의의 시스템에 패킷을 전송한다.

- 그러나 다이렉트 브로드캐스트를 하게 되면 하나의 컴퓨터로만 보내지며 그 대상은 과부화에 걸리게 된다.

=================================================================================================================

=================================================================================================================

TCP/IP ESTABLISHED

연결 지향형 프로토콜 : 패킷을 주고 받기 전, 미리 연결을 맺어 가상 경로를 설정하는 것. ex)TCP

따라서 설정하는 과정과 종료하는 과정 두가지로 나눠진다.

연결을 설정하는 과정 : 웨이 핸드셰이킹 (Way-Handshaking)

연결 시작

1. 두 시스템이 통신을 하기 전, 클라이언트는 포트가 닫힌 Closed 상태, 서버는 해당 포트로 항상 서비스를 제공하는 Listen 상태 이다.

2. 처음 클라이언트가 통신을 하고자 하면, 임의의 포트 번호가 클라이언트 프로그램에 할당되고 클라이언트는 서버에 연결하고 싶은 의사 표시로 SYN Sent 상태가 된다.

3. 클라이언트의 요청을 받은 서버는 SYN Received 상태가 되고, 클라이언트에게 연결 가능하다는 SYN+ACK 패킷을 전송한다.

4. 마지막으로 클라이언트는 연결을 요청한 것에 대한 서버의 응답을 확인했다는 표시로 ACK 패킷을 전송한다.

※3-way handshaking은 연결 지향형(Connection Oriented) 프로토콜인 TCP를 이해하는 기본적인 개념이다.

연결 종료

1. 통신을 하고 있는 상태로 클라이언트와 서버 모두 Established 상태이다.

2. 통신을 끊고자 하는 클라이언트가 서버에 FIN 패킷을 전송하고 Close wait 상태로 전환한다.

3. 서버는 클라이언트의 연결 종료 요청을 확인하고 응답으로 ACK패킷을 전송한다. 서버도 종료의 의미로 FIN 패킷을 전송하고 Close wait 상태로 전환한다.

4. 마지막으로 클라이언트는 서버의 연결종료 요청에 ACK패킷을 전송하고 종료한다.

☆TCP는 연결 지향형 프로토콜로, 수신 측이 데이터를 흘려버리지 않도록 데이터 흐름제어(Flow Control) 및 전송 중 에러가 발생할 경우 자동 재전송 하는 에러 제어(Error Control) 기능을 한다.

=================================================================================================================

=================================================================================================================