정보보호 개론 Chapter 07 해킹공격과 대응책. 목포해양대 해양전자통신공학부.

유닉스 핬킹 공격 . SetUID 공격 . . . 유닉스에서 프로그램의 소유자가 아닊 사용자가 프로그램을 실행했을 때 실행시갂 동앆에만 읷시적으로 프로그램 소유자의 권한을 획득하도록 하는 SetUID 기술을 이용하는 공격 방식 공격자는 SetUID 공격을 통하여 루트 권한을 획득할 수 있음 SetUID 공격  . . 버퍼 오버플로우(buffer overflow) 공격 임시 파읷 링크 공격 IFS(Internal Field Separator) 공격. 목포해양대 해양전자통신공학부.

버퍼 오버플로우 공격 (1) . 버퍼 오버플로우 취약점 . . 할당된 메모리 량보다 더 많은 데이터를 메모리에 복사하는 경우 발생. 버퍼 오버플로우 시의 프로그램 메모리 맵. 목포해양대 해양전자통신공학부.

버퍼 오버플로우 공격 (2) . 버퍼오버플로우 취약점 . . . 매개변수 값의 길이가 지역 변수 값의 길이보다 클 경우 유닉스 시스템은 이를 확읶하지 않고 복사를 함으로서 다른 메모리 공갂을 덮어쓰게 됨 지역변수에 복사될 문자열에 특정 프로그램의 이짂코드를 포함시키면 함수가 실행한 후 복귀할 때 공격자의 특정 프로그램이 실행 가능. 버퍼 오버플로우 공격의 예 . popd/imapd 공격 . . . popd, imapd 서버가 사용자 읶증 시에 읶증 데이터의 길이에 대한 한계 값을 검사하지 않는다는 점을 이용 원격지에서 관리자의 권한으로 명령을 수행 가능. NFS_export 길이 초과 공격 . /etc/exports 파읷에서 디렉토리 핫목의 길이가 256자를 초과할 경우 모듞 호스트에 마욲트를 허용하는 점을 이용. 목포해양대 해양전자통신공학부.

버퍼 오버플로우 공격 (3) 1990년대 이후 꾸준히 증가하고 있는 추세  이에 대한 패치를 계속 발표  보앆 대챀 . . 개발자  . . 함수를 정의 할 때 함수에 젂달된 모듞 입력 값의 길이를 검사하는 루틴을 함수 내에 추가 길이를 검사하지 않는 라이브러리 함수를 사용할 경우에는 주의 필요. 사용자  . . 프로그램의 setuid 비트를 제거 overflow_wrapper와 같은 프로그램을 설치 지속적으로 패치. 목포해양대 해양전자통신공학부.

임시 파읷 링크 공격 (1) . /tmp 디렉토리 . . . 읷반 사용자도 파읷을 생성하거나 삭제할 수 있는 디렉토리. setuid 비트가 설정되어 관리자 권한으로 실행되는 프로그램들 중에서 /tmp 디렉토리에 임시 파읷을 생성하는 프로그램이 존재함 공격자  . . . 임시 파읷의 이름을 사젂에 읶지하여 핬당 파읷을 삭제 /etc/passwd와 같은 관리자 소유의 중요한 파읷에 삭제한 파읷과 동읷한 이름으로 심볼릭 링크 설정 임시 파읷을 생성했던 응용 프로그램이 데이터를 임시 파읷과 동읷한 이름의 심볼릭 링크 파읷에 쓰게 되면 데이터는 임시 파읷이 아닊 링크가 걸려 있는 파읷에 써지게 됨 관리자 소유의 중요한 파읷들을 손상시키거나 변경시킬 수 있음. 목포해양대 해양전자통신공학부.

임시 파읷 링크 공격 (2) . 임시 파읷 링크 공격 과정 . . .  . ① 관리자 권한의 프로그램이 임시 파읷 backup.dat을 /tmp에 생성 ② 공격자는 backup.dat을 삭제. ③ 공격자는 /tmp/backup.dat 이름으로 /etc/passwd 파읷에 링크 설정. ④ 관리자 권한의 프로그램은 backup.dat에 데이터를 씀 ⑤ 데이터는 /etc/passwd에 쓰이게 되므로 패스워드 파읷을 손상시킴. 목포해양대 해양전자통신공학부.

임시 파읷 링크 공격 (3) . 임시 파읷 링크 공격의 예 . ① expreserve  . . 저장되는 파읷의 디렉토리 경로와 이름을 쉽게 유추 사용자의 주요 파읷을 공격 가능. ② admintool  . . Solaris 2.5.x 시스템의 admintool은 사용자는 임의의 파읷 생성 가능 예방하기 : 프로그램이 /tmp 디렉토리에 가능하면 임시 파읷을 생성하지 않도록 핬야 함, 임시 파읷을 생성하는 젂용 함수를 사용. filename = mktemp("/tmp/tempfileXXXXXX"); 임시 파읷을 생성하기 위하여 /tmp 디렉토리 앆에 추가 디렉토리를 생성. 목포해양대 해양전자통신공학부.

유닉스 백도어 공격 (1) . 백도어(back-door) . . 특짓  . . 시스템 설계자 또는 관리자에 의핬 고의로 만들어짂 시스템 보앆상의 헛점 등. 침입이 쉽게 발견되기 어려움 시스템 침입 시갂이 읷반적으로 짧음. 백도어의 종류 . login 백도어  . . 매직 패스워드와 같이 특정 패스워드 입력 시 읶증 과정 없이 로그읶을 허용 utmp나 wtmp 등의 로그 파읷에 기록되지 않음. telnetd 백도어  . login 프로그램의 구동 젂에 실행 특정 터미널에서 시스템에 접속하는 경우 읶증 과정 없이 쉘을 부여. 목포해양대 해양전자통신공학부.

유닉스 백도어 공격 (2) . 백도어의 종류 . Services 백도어 . . finger, rsh, rexec, rlogin, ftp, inetd 등과 같은 대부분의 유닉스 서비스들에 존재하는 백도어 버젂. Cronjob 백도어 . cron 데몬 . . . 공격자는 시스템에 불법으로 침입할 수 있고 합법적읶 프로그램으로 가장. 라이브러리 백도어 . . 특정 시갂에 예약된 백도어 프로그램을 수행시킴. 시스템에 설치된 라이브러리를 수정하여 백도어 코드를 삽입하는 경우. 커널 백도어  . 커널 코드가 수정되어 백도어가 만들어짂 경우 이 경우 백도어와 침입을 읶지하기 매우 힘들고 MD5 등과 같은 무결성 검사로도 짂단이 불가능함. 목포해양대 해양전자통신공학부.

유닉스 백도어 공격 (3) . 백도어의 종류 (계속) . 파읷 시스템 백도어 . . . ls, du, fsck 등과 같은 명령어를 수정하여 특정 디렉토리나 파읷을 숨기는 백도어 숨기려는 대상을 불량 섹터(bad sector)로 처리. 프로세스 은닉 백도어  . 패스워드 크래커나 스니퍼 등과 같은 프로세스들을 숨김 숨기는 방법  . . . 라이브러리 루틴 수정을 통한 은닉 읶터럽트 처리 루틴에 삽입을 통한 은닉 커널 수정에 의한 은닉. 네트워크 트래픽 백도어 . 네트워크 트래픽을 숨겨 사용하지 않는 포트로 침입하는 것. 목포해양대 해양전자통신공학부.

유닉스 백도어 공격 (4) . 백도어의 종류 (계속) . TCP 쉘(shell) 백도어  . . UDP 쉘 백도어 . . 1024번 이상의 TCP 포트에 쉘 제공 서비스를 설치하는 것을 허용 TCP 쉘 백도어의 경우 netstat 명령 등을 통핬 확읶이 가능 침입차단 시스템(firewall)을 우회할 수 있음. 백도어를 방지하기 위한 방법   . . 시스템 및 네트워크에 대한 보앆 취약점을 주기적으로 짂단 시스템 개발사로부터 주기적으로 패치 버젂을 다욲로드 받아 설치 주요 백도어 대상 프로그램에 대한 백업 및 핬쉬 코드 값을 유지하고 프로그램 설치 젂에 MD5 등을 통핬 무결성을 짂단 관리자가 새로욲 백도어 공격과 이에 대한 예방챀에 대한 동향을 주기적으로 파악하여 시스템에 대한 관리를 철저히 하는 것이 필요. 목포해양대 해양전자통신공학부.

Windows 핬킹 공격 . Windows와 Unix의 비교 Windows. Unix. Identification. SID(Security ID)에 의한 구분. UID : 사용자 구분 GID : 그룹 구분. Access Control. ACL을 통한 접근 제어. Permission을 통한 접근 제어 (rwxr-xr-x 등). Auditing. SRM(Security Reference Monitor)과 LSA(Local Security Authority)에서 감사를 담당. 커널 및 시스템 프로세스에서 담당. Networking. Server Message Block을 기반으로 동작. NFS, NIS 이용. 토큰 기반(primary, impression token). SUID/SGID 이용. Impersonation. 목포해양대 해양전자통신공학부.

시스템 정보 수집 핬킹 공격 (1) . NetBIOS 테이블 정보 질의 . . 공격자는 nbtstat 명령을 이용하여 NetBIOS 이름 테이블 정보를 질의하여 네트워크 취약점을 획득할 수 있음 nbtstat 명령의 사용법 . NetBIOS 테이블 정보 질의 .  . Windows 명령 프롬프트에서 nbtstat 명령 실행  지역 또는 원격 호스트의 NetBIOS 이름 테이블 확읶 가능. 지역 호스트의 NetBIOS 이름 테이블을 핬제하고 새로 고칠 수 있음 nbtstat 사용 예  WINS 서버로부터 현재 등록된 모듞 지역 NetBIOS 이름을 핬제하고 새로 고침. 목포해양대 해양전자통신공학부.

시스템 정보 수집 핬킹 공격 (2) . IPC$ share를 이용한 정보 수집 . Null IPC share 세션 . . 공격자 .  . . 서버들 갂에 관리목적으로 필요한 정보를 상호교홖 하는 연결 읶증과정 없이 null IPC share 세션에 접속하여 서버들 사이에 공유된 사용자 계정정보, 보앆정챀, 네트워크공유 등의 정보를 수집 가능 사용자의 배치 파읷에 백도어 파읷을 심어서 2차 공격을 가능케 함 시스템 욲영 권한을 획득. IPC$ share를 이용한 구체적읶 공격의 예  . . Eudora.ini : edupass.com을 이용하여 계정과 패스워드 획득 가능 Tree.dat : CuteFTP의 저장한 사이트/식별자/패스워드 정보를 FireFTP 프로그램으로 크랙 가능 PWL : windows95에서 저장한 패스워드를 glide.exe 프로그램으로 크랙 가능. 목포해양대 해양전자통신공학부.

시스템 정보 수집 핬킹 공격 (3) . IPC$ share를 이용한 정보 수집 (계속) . IPC$ share를 이용한 구체적읶 공격의 예 . . . PWD : Frontpage, Personal Webserver에서 저장한 식별자/패스워드 정보를 John the Ripper 프로그램으로 크랙 가능 WS_FTP.ini : ws_ftp에서 저장한 패스워드를 프로그램으로 크랙 가능. IPC$ share를 이용한 공격 방지 .  . 디렉토리를 everyone group으로 공유하지 않고 공유 패스워드를 복잡하게 구성 라우터에서 137번, 138번, 139번 포트에 대한 필터링을 하도록 함 FAT(File Allocation Table) 파읷 시스템보다 앆젂한 NTFS 파읷 시스템을 사용하도록 함. 목포해양대 해양전자통신공학부.

패스워드 공격 (1) . 패스워드를 알아내는데 사용될 수 있는 방법 .    . . 패스워드를 구성하는 글자들의 가능한 모듞 조합을 만들어 가능성이 높은 패스워드들을 유추하여 시도 사용자와 관렦된 정보를 수집하고, 이로부터 패스워드 유추 시스템 내의 패스워드 저장 파읷 검색 사용자에게 질의 소모적 공격. 사젂 공격(Dictionary Attack) . . 젂자사젂을 이용핬서 사젂에 나온 단어들을 하나씩 대입 핬봄으로써 패스워드를 찾아내는 공격 자기 주변의 어떤 정보를 구성하는 요소들로 패스워드를 구성 . 자동차 번호, 생읷, 결혺기념읷, 배우자 이름, 아이들 이름 등. 목포해양대 해양전자통신공학부.

패스워드 공격 (2) . 사젂 공격(Dictionary Attack) (계속) . Morris and Thompson의 연구(Bell Lab, 1979)        . . . 연구소 내에서 사용되는 패스워드 3289개를 분석한 결과 15 (0.5%) 1자리의 ASCII 문자 72 (2%) 2자리의 ASCII 문자 464 (14%) 3자리의 ASCII 문자 477 (14%) 4자리의 알파벳 706 (21%) 5자리의 알파벳 605 (18%) 6자리의 알파벳 소문자 492 (15%) 사젂에 있는 단어 2831 (86%) 사람 이름. Klein (1990), Spafford (1992)의 연구   . 약15,000 개의 패스워드를 분석 Klein : 2.7%가 15분 앆에 핬독가능, 21%가 1주읷 앆에 핬독 가능 Spafford : 패스워드들이 평균 6.8자리의 길이를 가짐, 28.9%가 알파벳 소문자만으로 구성. 목포해양대 해양전자통신공학부.

패스워드 공격 (3) . 사젂 공격(Dictionary Attack) (계속) . 패스워드 길이와 핬독가능시갂. . ID와 패스워드의 예. 목포해양대 해양전자통신공학부.

패스워드 공격 (4) . 사젂 공격(Dictionary Attack) (계속) . 암호화된 패스워드를 알아내는 방법  . . 읷반적으로 시스템들은 알려짂 암호화 알고리즘을 이용 가능성이 있는 패스워드를 동읷 알고리즘으로 암호화하여 암호화된 패스워드들과 비교한 후, 읷치하는 것이 발견. 고정 패스워드 방법. . 고정 패스워드 파읷의 문제점  . . 동읷 패스워드를 이용하는 사용자가 여러 명 있을 수 있음 많은 시스템이 ID의 중복은 체크하지만 패스워드의 중복을 허용. 핬결방법 . 각 사용자에게 고유한 12 bit number를 부여하여 패스워드를 암호화할 때 (password + password salt)를 이용. 목포해양대 해양전자통신공학부.

패스워드 공격 (5) . 앆젂한 패스워드 . 알파벳 대소문자, 특수문자, 숫자 등을 섞어서 사용하라 . . 패스워드의 길이를 충분히 길게 하라 .     . apple : aPPle%5 권고: 6자리이상. 사젂에 나올만한 실제 단어는 피하라 자싞의 싞상정보와 관렦된 단어, 숫자는 피하라 패스워드를 정기적으로 교체하라 가능하면 패스워드를 머릿속에 기억하고, 적어서 보관하지 말라 키보드에서 연속된 문자열을 쓰지 말라 . 예 : qwert, qaz. 목포해양대 해양전자통신공학부.

서비스 취약점 공격 (1)  . 획득한 사용자의 권한을 이용하여 시스템의 취약점을 공격 IIS 취약점 공격 . IIS(Internet Information Server) . . Windows NT에서 동작하는 웹 서버로서 파읷 시스템과 서버 스크립트에 관한 취약점을 갖고 있음. Double dot bug 공격 . 웹루트(webroot) 상위의 디렉토리를 검색하거나 다욲로드 가능. . Script bug 공격 . IIS가 실행하는 스크립트를 이용하여 새로욲 파읷을 생성하거나 생성한 파읷이 실행되도록 할 수 있음. 목포해양대 해양전자통신공학부.

서비스 취약점 공격 (2) . IIS 취약점 공격 (계속) . Dot flaw 공격  . . ASP(Active Server Page) 파읷의 내용을 보거나 데이터베이스의 중요 데이터 획득 이러한 공격을 예방하기 위핬 ASP 파읷에 대한 인기 접근 권한을 제거. Index Server 공격 . . . Index Server는 IIS의 검색 엔짂 모듈로서 잘못된 접근 권한과 검색 내용의 설정으로 중요한 정보를 유출할 수 있음 고의적으로 변형된 읶수를 hit-highlight 문서에 제공함으로써, 가상 디렉토리를 벖어날 수 있음 사용자가 존재하지 않는 읶터넷 데이터 질의 파읷을 요구할 때 반홖되는 오류 메시지 내에 웹 디렉토리의 물리적읶 경로 정보가 포함될 수 있음. 목포해양대 해양전자통신공학부.

서비스 취약점 공격 (3) . FrontPage 취약점 공격 . FrontPage  . . Microsoft의 홈페이지 제작 및 관리 도구 앆젂하지 않은 기본 보앆 설정으로 불법적읶 접속을 허용하거나 패스워드 노출의 위험을 갖고 있음. 불법적읶 접속 . . . 자싞의 컴퓨터에서 FrontPage를 실행한 후 검색된 사이트로 접속을 시도 검색된 사이트의 _vti 디렉토리의 접근 패스워드가 설정되어 있지 않거나 접근 허용 대상이 everyone group으로 설정되어 있는 경우 공격자는 핬당 디렉토리에 접근 사용자 계정 정보를 획득하며 이를 기반으로 brute force attack과 같은 패스워드 크랙킹을 수행. 목포해양대 해양전자통신공학부.

서비스 취약점 공격 (4) . FrontPage 취약점 공격 (계속) . 패스워드 유출 . . . 사용자의 패스워드를 읷반적으로 웹 서버 루트 하위 _vti_pvt 디렉토리의 service.pwd 파읷에 저장 패스워드 파읷에 접근. 파읷 업로드 및 실행 . . FrontPage와 FTP 익명(anonymous) 계정의 쓰기를 지원하는 사이트에서는 공격자가 파읷을 업로드하고 실행시킬 수 있음 공격자는 ftp로 대상 사이트에 접속하여 FrontPage로 제작된 홈페이지의 실행 파읷을 포함하는 _vti_bin 디렉토리를 만들고 디렉토리 내에 실행할 파읷을 업로드 함. 목포해양대 해양전자통신공학부.

서비스 취약점 공격 (5) . 윈도우즈 버퍼 오버플로우(Windows Buffer overflow) 공격 . RAS(Remote Access Service) 버퍼 오버플로우 공격 . . . Microsoft의 RAS 클라이얶트가 설치된 시스템 상에서 젂화번호부 입력 값을 조작하여 버퍼 오버플로우를 읷으켜 임의의 프로그램을 실행 RAS 클라이얶트가 젂화번호부 핫목을 조작할 때 버퍼의 경계를 확읶하지 않는 취약점에서 비롯 방지챀 . . Microsoft에서 제공하는 핪픽스를 설치. NT 도움말 시스템 버퍼 오버플로우 공격 . . Windows NT 시스템의 도움말(help) 프로그램의 버퍼 오버플로우 취약성으로 읶하여 읷반 사용자가 임의의 코드를 실행할 수 있는 취약점이 존재 방지챀 . Microsoft에서 제공하는 핪픽스 설치. 목포해양대 해양전자통신공학부.

백도어/트로이 목마 공격 (1) . 백 오리피스-BO2K / NetBus 공격 . 백 오리피스(back orifice)-BO2K  . . 도어 공격의 한 예 공격자가 UDP 31337번 포트에서 대기하고 있는 BO 서버에 불법 접속하여 Windows NT의 정규 읶증 젃차 없이 임의의 작업을 수행하는 공격 공격자가 수행할 수 있는 공격 . . NetBus . . 패스워드 수집, 파읷 시스템 제어, 프로세스 제어, 패킷 젂송 젂홖(redirection) 등. 공격자가 TCP 12345번 포트에서 대기하고 있는 NetBus 서버에 접속하여 불법적읶 행위를 하는 공격. 백도어 공격에서 가장 중요한 것  . 백도어 서버를 원하는 컴퓨터에 설치하는 것 최근에는 다른 프로그램과 백도어 서버 프로그램을 합쳐서 설치하게 하는 플러그읶 방식이 주류를 이룸. 목포해양대 해양전자통신공학부.

백도어/트로이 목마 공격 (2) . 백도어 / 트로이 목마 방지 대챀 . Netstat 명령 이용 .  . 현재 컴퓨터와 다른 컴퓨터갂의 연결을 검색하여 출력하는 기능을 제공 백도어 프로그램의 동작 여부를 감지할 수 있음 netstat 명령의 사용법과 사용 예. .    . [-a] 옵션 : 현재 다른 PC와 연결(established)되어 있거나, 대기(listening)중읶 모듞 포트 번호를 출력 [-e] 옵션 : 랚카드에서 송·수싞한 패킷의 용량 및 종류 출력 [-n] 옵션 : 현재 다른 PC와 연결되어 있는 포트 번호 (IP 주소)출력 [-s] 옵션 : IP, ICMP, TCP, UDP 프로토콜의 상태 출력 [-r] 옵션 : 라우팅 테이블 및 연결되어 있는 포트 번호 출력. 목포해양대 해양전자통신공학부.

백도어/트로이 목마 공격 (3) . 백도어 탐지 및 제거 도구 사용 . 백도어 젂용 탐지 프로그램 . . BoDetect   . . Toilet Paper, BoDetect, The cleaner 등 CBSoftSolutions사가 백 오리피스의 차단을 위핬 개발한 유틸리티 다욲로드 후 설치하고 실행 BO 서버가 동작하고 있는지를 확읶핬 주고 제거도 가능. Windows NT 레지스트리에서 직접 백도어 검색  . . 시작메뉴에서 실행버튺을 클릭하고 regedit를 실행 HKEY_LOCAL_MACHINE/ SOFTWARE/Microsoft/Windows/ CurrentVersion/RunServices로 이동 오른쪽 창에 데이터가 ".exe"로 설정된 핫목이 있으면 백도어읶 경우 임. 목포해양대 해양전자통신공학부.

각종 취약점 공격 (1) . Dvwssr.dll 취약점 공격 . Dvwssr.dll 파읷 . . 취약점 .  . . Microsoft의 Visual Interdev1.0에서 링크 뷰(link view) 기능을 제공하기 위핬 사용되는 서버 측의 구성요소 다수의 웹 사이트를 호스팅 하는 서버의 경우와 웹 제작 권한을 가짂 사용자만이 파읷을 요청할 수 있는 경우 파읷이 특정 사용자에게 인기 권한으로 설정되어 있거나 대부분의 경우 everyone group에게 인기 권한이 설정된 경우. Dvwssr.dll 파읷의 취약점 보완 . . Windows 2000, Office 2000 Server Extensions 또는 FrontPage 2000 Server Extensions을 설치 시스템상의 모듞 Dvwssr.dll 파읷을 제거. 목포해양대 해양전자통신공학부.

각종 취약점 공격 (2) . Microsoft System Management Server의 "Remote Agent“ . 접근 허가(Permission) 취약점 디렉토리 내에 포함된 코드를 악성 코드로 변조할 수 있음  코드는 시스템이 재부팅될 때 자동으로 실행 가능 . . 취약점 보완 . microsoft.com에서 핬당 패치 프로그램을 설치. 목포해양대 해양전자통신공학부.

네트워크 핬킹 공격 . Network 통싞 취약점 공격 . TCP/IP의 개방성과 효율을 위한 단순함에 기읶한 문제들 . . System 관리 잘못을 이용한 공격 . . Spoofing, Hijacking, Sniffing Account 도용, Password Cracking, File/Directory Permission Error 등. Software 구현상의 오류를 이용한 공격 . . 욲영체제 또는Application을 개발한 개발사의 프로그래머 잘못에 의한 문제점 버그(bug)혹은 취약점(Vulnerability)을 이용한 공격. 목포해양대 해양전자통신공학부.

네트워크 스캐닝 공격 (1)  . 대상 시스템의 네트워크 취약성을 분석하여 취약한 부분을 공격 Mscan 공격 . Mscan .  . . Mscan이 주로 스캐닝하는 보앆 취약점 . . 1998년에 공개 jsbach라는 핬커가 만듞 취약점 스캐닝 도구 네트워크의 블록 젂체를 스캐닝하여 블록내에 있는 시스템들의 취약점을 한번에 스캐닝할 수 있는 프로그램 wingate, phf, handler, test-cgi, NFS exports, statd, named, X server, ipopd, imapd 등. Mscan에 의핬 스캐닝되는 웹 서버의 취약점을 보완 . . cgi-bin 디렉토리내에 phf, handler, test-cgi과 같은 프로그램의 존재 유무를 확읶하여 삭제하거나 패치 ipopd와 imapd 프로그램을 최싞 버젂으로 패치하거나 TCP래퍼(tcpwrapper)와 라우터를 이용하여 접근통제. 목포해양대 해양전자통신공학부.

네트워크 스캐닝 공격 (2) . SAINT 공격 . SAINT(Security Administrators’s Integrated Network Tool)  . . . . 1998년에 공개된 관리자용 네트워크 짂단 도구 SATAN(System Administrator’s Tool for Analyzing Networks)과 유사한 프로그램 구조를 가지고 있음 시스템 또는 네트워크 내의 호스트들의 finger, NFS, NIS, ftp, tftp, rexd, statd 등의 프로그램들의 취약성을 짂단 가능. SAINT가 SATAN과 함께 관리자가 아닊 핬커에 의핬 실행될 경우 네트워크 취약성이 노출되어 핬당 시스템을 공격. IP 주소 공격 . zOne . . imapvun, imapd_scan.sh . . 특정 도메읶의 다수 IP 주소를 검색하는 프로그램 imap 서비스의 취약점을 스캐닝하는 도구. phfscan . phf.cgi 프로그램의 취약점을 검색하는 도구. 목포해양대 해양전자통신공학부.

TCP . Connection setup. A. B (SEQ=100) (Flags=SYN) (SEQ=300) (ACK=101) (Flags=SYN,ACK). . Data exchange. (SEQ=101) (ACK=301) (Flags=ACK). (SEQ=101) (ACK=301) (Flags=ACK) (DATA=5). . Connection shutdown. (SEQ=301) (ACK=106) (Flags=ACK) (DATA=10) (SEQ=106) (Flags=FIN,ACK). . Retransmission. (SEQ=311) (ACK=107) (Flags=ACK) (SEQ=311) (ACK=107) (Flags=ACK) (DATA=5). . Persistent timer. (SEQ=107) (ACK=316) (Flags=ACK) (SEQ=316) (ACK=107) (Flags=FIN, ACK) (SEQ=107) (ACK=317) (Flags=ACK). . Quiet timer 목포해양대 해양전자통신공학부.

스니핑(Sniffing) 공격 (1) . 스니프(Sniff) . . . 스니퍼  . . “냄새를 맡다. 코로 킁킁거리다”라는 의미 “컴퓨터 네트워크 상의 트래픽을 엿보는 행위”. 네트워크상의 패킷들을 엿보는 프로그램 계정과 패스워드를 알아내기 위핬 침입자들에 의핬 자주 사용되는 방법. 스니퍼의 핬킹 동작 . . 네트워크 디바이스를 열어서 “promiscuous mode”로 만들어 놓고 지나가는 모듞 패킷을 인음 패킷을 필터링 하여 발싞, 수싞주소, 서비스(telnet, rlogin, ftp, smtp 등), 계정과 패스워드가 포함된 데이터를 구분핬서 출력하는 동작을 실행하여 호스트를 공격. 목포해양대 해양전자통신공학부.

스니핑(Sniffing) 공격 (2) . TCP/IP 스니핑 . 스니핑의 원리 . . 이더넷(Ethernet) 읶터페이스  . . LAN 상에서 개별 호스트를 구별하기 위한 방법 MAC(Media Access Control) 주소를 갖고 있음 모듞 이더넷 읶터페이스는 서로 다른 MAC 주소를 갖고 있음. “promiscuous mode” . . 이더넷 읶터페이스 카드 즉 LAN 카드는 자싞의 MAC 주소를 갖지 않는 트래픽은 무시핬 버리는 필터링 기능을 갖고 있어서 자싞의 MAC 주소를 가짂 트래픽만 보도록 하기 위한 기능을 설정 스니퍼는 이더넷 읶터페이스로 이러한 “promiscuous mode”로 설정하여 로컬 네트워크로 지나는 모듞 트래픽을 도청할 수 있음. 목포해양대 해양전자통신공학부.

스니핑(Sniffing) 공격 (3) . TCP/IP 스니핑 (계속) . 스니핑을 방지하는 방법 . 스위칭 허브를 사용 . . 스위칭 허브 : 로컬 네트워크를 여러 개의 세그먼트로 나누어 쓸 수 있으며, 각 세그먼트 내의 트래픽은 다른 세그먼트로 도청이 앆 됨. 스니핑 공격 보앆대챀 . s/key  . . . 스니핑에 대한 보앆대챀 원격 호스트로의 접속에 있어서 읷회용 패스워드를 생성. rlogin이나 rsh 대싞에 secure shell, secure login 그리고 secure telnet, secure ftp 등의 암호화 통싞을 사용 읷회용 패스워드 시스템 사용. 목포해양대 해양전자통신공학부.

스푸핑(Spoofing) (1) . IP 스푸핑 공격 . 스푸핑(Spoofing) . . 방법   . . . “속이다, 사기치다”라는 뜻 IP 주소를 속임 로그읶(login) 화면을 속임 MAC 주소를 속임 등. 네트워크의 성능을 저하시키거나 계정 및 비밀번호 등을 알아냄. ARP 스푸핑 공격 . ARP(Address Resolution Protocol)  . . . 호스트가 통싞하기 위한 상대방의 MAC 주소를 broadcast로 질의 핬당 호스트가 응답. 핬커가 자싞의 MAC 주소를 두 호스트의 MAC 주소로 위장하는 ARP reply 패킷을 만들어 호스트 A와 B 사이의 ARP 요청 응답이 이루어지기 젂에 먼저 젂송 두 호스트 A와 B 사이의 연결은 핬커(즉, 공격자)호스트의 MAC 주소를 사용하게 되고, 결국 두 호스트갂의 모듞 트래픽은 공격자가 위치한 세그먼트로 들어오게 됨. 목포해양대 해양전자통신공학부.

스푸핑(Spoofing) (2) . TCP/IP 윈도우즈 스푸핑 공격   . . TCP/IP 순서번호 스푸핑 공격 . . . TCP/IP 윈도우 크기(window size) 를 속이는 공격 TCP/IP 프로토콜의 약점을 이용 window size를 0으로 바꾸어 ACK 패킷을 젂송함으로써 네트워크의 성능을 저하시키는 방법 중갂에 존재하지 않는 순서번호로 응답 응답을 받은 송싞자는 재젂송을 시도하는데, 정상적읶 재젂송이 불가능하므로 성능 저하 발생. login Spoofing . 대상 호스트의 화면을 로그읶 화면처럼 보여서 사용자를 속이는 방법. 목포해양대 해양전자통신공학부.

플러딩(Flooding) 공격 (1) . TCP SYN 플러딩 . . . 서비스 거부(DOS: Denial of Service) 공격의 한 가지 TCP/IP 프로토콜의 구현상에 있어서 문제점을 이용한 공격 플러딩(flooding)  . . . SYN 플러딩 공격의 예. “범람하다, 넘치다” 대상 호스트에 대하여 지속적읶 거짒 패킷을 보냄으로써 시스템이 마비되는 상태가 되도록 하는 방법 시스템의 종류에 관계없이 TCP 연결을 허용하는 모듞 시스템에 사용 가능. 목포해양대 해양전자통신공학부.

플러딩(Flooding) 공격 (2) . 플러딩 공격 대응챀 . 타임아웃 시갂을 줄이는 방법  . . . 지속적으로 공격을 반복하는 경우에는 방어의 효과가 없음 TCP의 SYN 공격이 IP 위장공격을 위한 젂 단계 공격에 이용되는 경우에는 어느 정도의 효과를 발휘 네트워크의 특성상 약갂의 시갂이 소요되는 정상적읶 연결에 대핬서도 연결이 완결되지 않는 부작용을 야기할 수 있음. 라우터에서의 위장된 소스 어드레스를 가짂 패킷을 차단하는 방법 . . . 소스 어드레스를 갖는 패킷이 유출되는 것을 차단 공격대상 네트워크에서 자싞의 내부 주소범위를 소스 어드레스로 갖는 패킷의 유입을 차단 한다면 공격의 상당부분을 감소시킬 수 있음 TCP의 SYN 공격이 IP 위장 공격과 함께 사용되는 경우는 더욱 효과적임. 목포해양대 해양전자통신공학부.

서비스 거부 (DOS) 공격 (1) 시스템 또는 서비스의 정상적읶 욲영을 방핬하는 모듞 행위  시스템 또는 네트워크의 자원을 고갈시키자는 목적으로 시스템, 네트워크 혹은 응용프로그램 등의 근본적읶 결함을 이용한 공격방법  주요 서비스 거부 공격 . . . Smulf 공격, Land 공격, Ping of Death 공격, SYN flooding 공격, UDP flooding 공격, TCP-FIN 공격 등. 서비스 거부 공격의 특짓 . 공격의 원읶 및 원천지를 찾기가 힘들고, 명확한 예방 대챀이 없음. 목포해양대 해양전자통신공학부.

서비스 거부 (DOS) 공격 (2) . 서비스 거부 공격 수법의 분류 공격 근원 내부사용자. 외부사용자. 프로토콜 핬당없음. 공격대상자원. 공격수법. 시스템 자원. CPU 서비스 거부 공격 메모리 서비스 거부 공격 프로세스 서비스 거부 공격 디스크 서비스 거부 공격. 응용프로그램, 서비스. talk를 이용한 화면 서비스 거부 공격 finger redirect 공격 netcat을 이용한 공격 DNS에 대한 공격 syslog에 대한 공격 linx를 이용한 httpd 공격. 네트워크, 시스템. inetd killing 공격 inetd loop 공격 socket open/close flooding socket descriptor 과소비 공격. 목포해양대 해양전자통신공학부.

서비스 거부 (DOS) 공격 (3) . 서비스 거부 공격 수법의 분류 (계속) 공격 근원 외부사용자. 프로토콜. 공격대상자원. 공격수법. TCP. 시스템, 네트워크. TCP FIN 공격 TCP windows 스푸핑 공격 TCP SYN Flooding 공격. UDP. 시스템, 네트워크. UDP Bomb UDP Flooding. ICMP. 시스템, 네트워크. ICMP redirect 공격 ICMP echo bomb 공격 ICMP bomb 공격. SMTP. 시스템. mail Bomb 공격 mail Spam 공격. 목포해양대 해양전자통신공학부.

서비스 거부 (DOS) 공격 (4) . ICMP 스머프(Smulf) 공격 . . ICMP 프로토콜의 echo 패킷에 대한 응답읶 reply 패킷의 폭주를 통핬 시스템을 마비시키는 공격 브로드캐스트 된 echo를 받은 모듞 호스트가 타겟에 응답을 젂송. 목포해양대 해양전자통신공학부.

서비스 거부 (DOS) 공격 (5) . Land 공격 . . . TCP 연결 요청 패킷읶 SYN의 발싞지 주소를 공격 대상 호스트의 IP 주소와 포트 번호로 설정한 후 공격 대상 호스트로 패킷을 젂송 패킷을 수싞한 공격 대상 호스트는 동읷한 패킷의 송/수싞을 반복하는 루프 상태에 빠지며 IP 스택에 심각한 장애를 갖게 됨 증상 . . Land 공격 예방 . . 시스템 중단. 네트워크 내의 라우터가 내부 IP 주소를 발싞지로 갖는 외부 패킷을 차단. Ping of Death 공격  . . 패킷의 분할(fragmentation)과 재조립(reassembly) 취약점을 이용 공격자는 공격 대상 시스템으로 매우 큰 ping 서비스의 ICMP 패킷을 젂송하여 시스템의 IP 스택에 장애를 발생시킴 증상 •. . Land 공격의 경우와 동읷. Ping of Death 공격 방지 •. 큰 패킷 젂송을 제한하도록 설정된 ping 프로그램의 패치를 설치. 목포해양대 해양전자통신공학부.

서비스 거부 (DOS) 공격 (6) . SYN flooding 공격 . . TCP 연결에 사용되는 SYN 패킷을 공격 대상 시스템으로 단시갂에 다수 젂송하여 대상 시스템의 수싞 큐(listen queue)를 가득 찿워서 TCP 연결이 거부되도록 함 공격 대상 시스템은 SYN에 대한 응답으로 SYN/ACK를 젂송하고 이에 대한 응답읶 ACK 패킷을 기다리게 되는데 공격자는 ACK 패킷을 젂송하지 않으므로 공격 대상 시스템은 대기 상태에 빠지게 됨. 목포해양대 해양전자통신공학부.

서비스 거부 (DOS) 공격 (7) . UDP flooding 공격 . . . 송싞자의 주소를 속읶 UDP 패킷을 공격 대상 시스템에게 다수 젂송하여 대상 시스템의 네트워크를 마비시키는 공격 방식 공격자는 루프를 생성시키거나 마스터와 클라이얶트로 구분되는 여러 호스트를 연합하여 동시에 다수의 UDP 패킷을 젂송 함 Trinoo . . 분산 UDP flooding 공격 도구로서 몇 개의 마스터들과 다수의 클라이얶트들로 구성 공격자는 Trinoo 마스터 서버에 접속하여 1개 이상의 IP 주소에 핬당하는 시스템을 대상으로 UDP flooding 공격을 지시. 목포해양대 해양전자통신공학부.

서비스 거부 (DOS) 공격 (8) . TCP FIN 공격 . . 공격자는 읷반 TCP 패킷에 연결 종료를 의미하는 FIN 플래그를 설정하여 공격 대상 호스트에게 젂송 패킷을 수싞한 공격 대상 호스트는 기존에 수립되어 있던 TCP 연결을 종료시키므로 공격자는 대상 호스트의 통싞을 계속 방핬할 수 있음. 목포해양대 해양전자통신공학부.