[정보보안] 네트워크 기반 공격 기술 (스니핑, 스푸핑, 스캐닝 등)

 

 

 

 

안녕하세요~!

 

 

네트워크 기반 관련하여 공격하는 기술 내용입니다.

 

 

 

- 스캐닝 (Scanning)

 

 

포트 스캐닝 : 서버의 포트를 확인하기 위해 NMAP 을 통해 스캐닝하여 취약한 포트 공격

 

 

1. UDP SCAN

 

UDP packet 을 전송하여 Port가 열려 있으면 해당 패킷 무시한다.

 

 

2.  TCP open SCAN

 

TCP 3 way 핸드쉐이크 과정을 통해 오픈된 포트 확인

 

서버에 로그 기록

 

- 포트가 열려 있을 경우 

 

--- SYN --->

<--- SYN + ACK ---

--- ACK --->

 

 

3. Stealth SCAN : 로그를 남기지 않고 스캐닝

 

4.  FIN SCAN, X-MAS SCAN, NULL SCAN, TCP Fragmentation 등등

 

 

 

 

- 스니핑 (Sniffing Attack)

 

 

네트워크로 전송되는 Packet 식별하고 조치하 위해 사용되는 도구

 

공격 도구로 이용시 패킷을 훔쳐 송신, 수신되는 IP, 포트, 메시지까지 확인 가능

 

프로그램 실행 : tcpdump

 

소극적인 공격 기법 : 데이터를 도청하거나 수집하는 것으로 직접 데이터를 공격하지는 않는다. (예방가능)

 

 

1. 스니핑 실행 모드

 

Normal Mode : 자신에게 전송된 패킷만 수신받고 관련없는 패킷은 Drop

 

Promiscuous Mode : 모든 패킷을 모니터링

 

 

 

 

- 세션 하이재킹 (Session Hijacking)

 

 

세션을 훔지는 것

 

세션 (Session) : 로그인 과정에서 웹서버에서 생성되는 문자열

 

세션 값이 있으면 로그인 과정 없이 홈페이지 접근 가능 (우회 인증)

 

세션 값을 훔치기 위해 웹서버에 세션값을 기록하도록 악성코드 주입

 

 

 

 

 

- 스푸핑 (Spoofing Attack)

 

 

스푸핑은 위장하는 방법으로 공격자가 자기 IP 주소를 공격하려는 대상 IP 주소로 변조하여 해킹하는 방법

 

TCP/IP 구조의 취약점 공격

 

 

 

1. 스푸핑 종류

 

WEB 스푸핑 : 가짜 웹페이지를 만들어 해당 페이지를 띄워 로그인이나 정보를 입력하여 정보 탈취

 

DNS 스푸핑 : 홈페이지 도메인 명 대신 IP 주소로 바꾸어서 다른 위장된 사이트로 접속하도록 공격

 

 

2. 대응방법 : 라우터에서 내부 IP 주소 통해 외부에서 유입되면 차단시키기

 

 

3. ARP 스푸핑 : 클라이언트 MAC 주소를 자신의 MAC 주소로 변조해서 마치 서버와 클라이언트가 정상적으로 통신하는 것처럼 속이는 공격방법

 

fragrouter 통해 연결이 끊기지 않도록 하기

 

arp -a : 윈도우 IP와 mac 주소 확인 명령어

 

arp -s : arp table을 정적으로 설정

 

 

 

- 원격접속

 

 

프로그램 종류 : 윈도우 RDP, TeamViewer, NetCat, VNC