한 서브 네트워크 내에서 전송되는 패킷의 내용을 임의로 확인하는 공격
중요한 데이터는 SSL와 같은 암호화 통신 방식을 사용함으로써 대응한다.
네트워크 서비스 혹은 패킷 정보를 임의로 변경하여 공격에 사용하는 기법
IP 주소, DNS 주소, MAC 주소 등의 정보를 변조하여 공격의 탐지 및 역추적이 어렵다.
-
IP 스푸핑
- TCP/IP 구조의 취약점을 악용, 공격자가 자신의 IP를 변조해 IP 기반 인증 등의 서비스를 무력화한다.
- IP 기반 인증을 최소화하고 TCP 시퀀스 번호를 랜덤으로 지정해 대응한다.
-
ARP 스푸핑
- ARP 프로토콜의 취약점을 이용, IP-MAC 매핑 정보를 브로드캐스트해 ARP 테이블의 정보를 변조한다.
arp -s ip mac
명령어로 정적 ARP 매핑을 등록한다.
-
DNS 스푸핑
- DNS 요청에 위조된 정보를 응답 패킷으로 보낸다.
Dos 공격은 공격 대상의 시스템 및 네트워크 취약점 등을 공격하여 부하를 발생시켜 정상적인 서비스를 불가능하게 만드는 가용성 침해 공격이다.
-
Ping of Death
- ICMP Echo 패킷을 크게 전송하여 부하를 유도한다.
-
Teardrop Attack IP
- fragmentation에 따라 패킷의 오프셋을 임의로 변조해 과부하를 유도한다.
-
TCP Syn Flooding
- Syn 요청을 대량으로 보내고, 응답 패킷을 전송하지 않는다.
-
UDP Flooding
- 대량의 UDP 패킷을 전송해 자원을 소모시킨다.
-
Land Attack
- 발신자와 수신자 IP 주소를 대상의 IP로 패킷을 보낸다.
-
Smurt Attack
- ICMP Rechest 패킷을 브로드캐스트를 통해 공격 대상의 ip 주소로 ICMP Echo Reply 패킷을 보낸다.
-
Mail Bomb
- 동일한 이메일 주소를 대상으로 대량의 메일을 동시에 발송하는 기법
-
NTP 증폭 공격
- NTP 서비스의 monist 요청 방식을 악용해 적은 공격 패킷이 증폭되어 공격 대상으로 보내진다.
공격을 위한 에이전트를 분산된 시스템에 배치한 후 DoS 공격을 동시에 실행하는 공격 기법이다.
공격자는 C&C 서버에 공격을 명령한다. 그러면 C&C 서버 내의 Zombie PC들이 일제히 공격을 시작한다.
DDoS 공격을 위해서는 다음의 다양한 도구들이 사용될 수 있다.
-
Stacheldraht
- Linux 시스템용 DDoS의 에이전트 역할을 하는 악성코드.
-
TFN
- 공격자 시스템과 마스터 시스템간 연결을 평문으로 해, 브로드캐스트 공격에 사용된다.
-
TFN 2K
- TFN의 발전된 형태로 UDP, TCP, ICMP를 복합적으로 사용하고 포트도 임의로 결정하여 암호화 사용.
- 지정된 TCP 포트에 백도어 실행 가능
-
Trinoo
- UDP Flooding DDoS를 할 수 있는 통합 도구
- 침입차단시스템을 이용해 패킷 및 포트 필터링 수행
- 침입탐지시스템을 이용해 공격 탐지
- 로드 밸런싱을 통한 대용량 트래픽 분산 처리
- 불필요한 서비스 제거 및 포트 닫기
- 무작위 공격
- 사전 파일을 기반으로 임의의 정보를 무작위로 대입하여 인증을 우회
- 대표적인 공격 도구로는 John the Ripper가 있다.
- 입력 회수를 제한하면 공격에 대응할 수 있다.
- 기타
- Prorat: 해킹 대상 시스템에 원격 접속 및 제어해 해킹을 수행하는 프로그램
- Netbus: 네트워크를 통해 윈도우 컴퓨터를 원격으로 제어하는 소프트웨어
- Back orifice: 윈도우 TCP/IP 기능으로 시스템끼리 원격 제어
- 랜섬웨어: 시스템을 잠그거나 데이터를 암호화한 후 금전을 요구하는 악성 프로그램
- 트로이목마: 정상적인 프로그램으로 가장했으나 내부에 악성 코드를 가진 프로그램
- 웜바이러스: 스스로 실행되는 악성 소프트웨어로 자기 복제와 다른 프로그램으로 전파된다.
참고