ARP(Address Resolution Protocol)
14('19)
: 논리적인 IP 주소를 물리적인 MAC 주소로 변환해주는 프로토콜
ARP 요청 메시지
: 이더넷 프레임의 목적지 MAC 주소 필드에 브로드캐스트 주소인 FF:FF:FF:FF:FF:FF로 설정하여 로컬 네트워크의 모든 호스트에게 브로드캐스트로 요청
ARP 응답 메시지
: 호스트는 자신의 MAC 주소를 담은 응답 메시지를 만들어 요청한 호스트에게 유니캐스트로 응답
스위치 재밍(Switch Jamming)
2('13)
: 일반적으로 스위치 장비들은 MAC 주소 테이블이 가득 차게 되면 모든 네트워크 세그먼트 트래픽을 브로드캐스트하는 특징을 가지고 있다. 따라서 공격자는 위조된 MAC 주소를 지속해서 네트워크에 흘림으로써 스위칭 허버의 주소 테이블을 오버플로우시켜 허브처럼 동작하게 하여 해당 네트워크 세그먼트의 데이터를 스니핑할 수 있게 된다.
: 일반적인 스위치 장비가 보안 원리의 하나인 "Fail Close"를 따르지 않기 때문이다.
: MAC Flooding 공격이라고도 함
ARP Spoofing
13('19), 19('22)
: 공격자가 다른 호스트의 MAC 주소를 자신의 MAC 주소로 위조한 응답 메시지를 만들어 지속해서 희생자에게 전송하면 희생자의 캐시(Cache) 정보가 조작되어 희생자가 조작된 호스트로 패킷을 전송할 때 캐시에 저장된 조작된 MAC 주소인 공격자에게 전송됨
IP 단편화(Fragmentation)
9('17)
: 다양한 네트워크 환경에서 IP 패킷의 효율적인 전송을 가능하게 하는 패킷 분할 기법
frag id:size@offset[+]
| 인자 | 설명 |
|---|---|
| id | 단편화 전 원본 IP 데이터그램을 식별하기 위한 단편 ID |
| size | ip 헤더를 제외한 단편의 크기로 바이트 단위로 표시함 |
| offset | 단편의 상대위치 |
| + | 추가 단편이 있음. 없다면 마지막 단편임 |
공격
세션 하이재킹(Session Hijacking) 공격
19('22)
: 공격 대상 시스템에 접근할 수 있는 인증 정보(Ex, 아이디와 패스워드)를 모를 경우, 인증이 완료되어 정상적인 통신을 하는 사용자의 세션을 가로채 별도의 인증 없이 가로챈 세션으로 통신하는 공격 행위
- TCP Session Hijacking 공격: TCP의 세션 관리 취약점을 이요한 공격으로 정상 사용자의 세션 관리 정보(출발지 IP/PORT, Sequence Number 등)를 위조하여 TCP 세션을 가로채는 공격
- HTTP Session Hijacking 공격: HTTP의 세션 관리 취약점을 이용한 공격으로 정상 사용자의 HTTP 세션 IP를 탈취하여 정상 사용자로 위장하여 서버에 접근하는 공격
Teardrop 공격
3('14)
: 헤더가 조작된 일련의 IP 패킷 조각(IP Fragment)들을 전송함으로써 공격이 이뤄짐
: 공격자가 패킷을 단편화할 때 정상적으로 하지 않고 데이터 일부가 겹치거나 일부 데이터를 포함하지 않고 다음 패킷으로 단편화하여 전송하면 수신자는 패킷 재조합을 수행할 때 부하나 오류가 발생하게됨
Land 공격
15('20)
: 출발지와 목적지 IP 주소를 공격 대상과 동일하게 설정하여 전송함으로써 공격 대상 컴퓨터를 루프 상태로 빠트리는 형태의 서비스 거부 공격
Smurf 공격
2('13), 9('17), 15('20)
: 출발지 IP 주소를 희생자의 IP 주소로 위조한 ICMP Echo Request 패킷을 증폭 네트워크로 브로드캐스트하여 다수의 ICMP Echo Reply 패킷이 희생자에게 전달되어 서비스 거부 상태를 유발하는 형태의 공격
- 중간 매개자로 쓰이는 것을 막기 위해서 다른 네트워크로부터 자신의 네트워크로 들어오는 Directed Broadcast 패킷을 막도록 라우터를 설정
- 호스트는 IP Broadcast Address로 전송된 ICMP Echo Request 패킷에 대해 응답하지 않도록 시스템을 설정
TCP SYN Flooding 공격
3('14), 5('15), 15('20)
: 출발지 IP 주소를 위조한 다수의 TCP SYN 패킷을 희생자에게 전달하여 희생자의 TCP 연결 자원을 모두 소진시키는 형태의 서비스 거부 공격
Slow HTTP Header DoS(Slowloris) 공격
11('18), 18('21)
: HTTP 프로토콜의 취약점을 이용한 공격으로 다수의 HTTP 요청 시 요청 헤더의 끝을 의미하는 개행문자(CRLF: Carriage Return/Line Feed)를 전송하지 않고 불필요한 헤더 정보를 천천히 지속해서 전송하여 대상 웹서버와의 연결 상태를 장시간 지속시킴으로써 연결 자원을 모두 소진시키는 형태의 서비스 거부(DoS) 공격
포트 스캔
4('14), 6('15), 10('17)
| 서비스 | 열린 포트 응답 | 닫힌 포트 응답 |
|---|---|---|
| TCP Open(Connect) Scan | SYN+ACK | RST+ACK |
| TCP Half Open(Connect) Scan | SYN+ACK | RST+ACK |
| TCP FIN/NULL/Xmas Scan | 응답 없음 | RST+ACK |
Decoy Scan
: 스캔을 당하는 타겟 호스트에서 스캐너 주소를 식별하기 어렵게 하려고 실제 스캐너 주소 외에도 다양한 위조된 주소로 스캐닝하는 방식
VLAN(Virtual LAN)
10('17)
- 보안 강화: 네트워크 관리자는 서로 다른 논리적인 그룹에 대하여 서로 다른 보안 정책을 적용할 수 있음
- 성능 향상: 브로드캐스트 도메인의 크기/범위를 줄여 네트워크 성능향상을 기대할 수 있음
탐지 우회 기법
DGA(Domain Generation Algorithm) 기법
18('21)
: 봇넷을 구성하는 악성 봇(Bot) 또는 랜섬웨어 등의 악성코드(멀웨어)에 감염된 PC 또는 서버가 도메인명을 기반으로 C&C서버(C2서버)에 접속할 때 방화벽 등의 보안장비에 의해 도메인명이 탐지 및 차단되는 것을 우회하기 위한 기법 중 하나
Fast Flux 기법
: 하나의 C&C서버 도메인명에 미리 확보한 다수의 C&C 서버 IP 주소를 할당하는 기법
: IP 주소를 여러 개 할당하고 캐시 DNS 서버에 도메인 정보가 저장되는 시간인 TTL값을 매우 작게 설정하여 IP 주소가 질의 시마다 빠르게 변경되도록 함
Domain Shadowing 기법
: 알려진 합법적인 도메인의 서브(하위) 도메인을 몰래 ㄷㅇ록하여 C&C서버의 도메인으로 사용하는 기법
: 적법한 절차로 도메인을 소유하고 있는 도메인 관리자의 개인정보 등을 탈취하여 도메인 소유자 몰래 많은 서브(하위) 도메인을 동록시키는 방식
멤캐시드(Memcached) 서버
13('19)
: 오픈소스 메모리 캐싱 시스템(메모리를 사용해 캐시 서비스를 제공해주는 데몬)으로 11211/tcp와 11211/udp 포트를 기본 포트로 사용
: 스토리지나 DB와 같은 대규모 데이터 저장소의 부하를 줄이기 위한 목적
: 2018년 2월 소스코드 공유 사이트인 GitHub을 대상으로 멤캐시드 서버를 이용한 대규모(1Tbps 이상) 디도스(DDoS) 공격이 발생
무선 데이터 암호화
WEP(Wired Equivalent Privacy)
8('16)
: 40비트의 WEP 공유 비밀키와 임의로 선택되는 24비트의 IV(Initial Vector)로 조합된 총 64비트의 키를 이용한 RC4 스트림 암호화 방식으로 보호
: 하지만 선택된 공유 비밀키의 KEY ID와 IV값을 평문으로 상대방에게 알려줘야 하므로 WEP 키가 추출될 수 있는 취약점이 존재
WPA2
18('21)
: IEEE 802.11i 무선 표준은 무선 장비와 단말기 간의 가상 인증기능을 제공하는 EAP(Extensible Authentication Protocol)의 도입 등 검증된 보안 기술들이 포함되어 보다 강화된 인증과 데이터 암호화 기능을 제공함
: IEEE 802.11i 규격의 완성에 따라 이를 완전히 수용하는 표준(규격)으로 AES-CCMP를 통한 암호화 기능 향상과 EAP 사용자 인증 강화 등을 포함
16('20)
| 암호 기술 | 인증 | 암호화 |
|---|---|---|
| WEP | PSK | RC4(64bit/128bit) |
| WPA(또는 WPA1) | 개인 모드: PSK 기업 모드: IEEE 802.1x/EAP |
RC4-TKIP |
| WPA2 | 개인 모드: PSK 기업 모드: IEEE 802.1x/EAP |
AES-CCMP |
VPN(Virtual Private Network)
프로토콜
15('20)
L2F(Layer 2 Forward)
: 시스코(CISCO)사에서 개발한 2계층(Data Link Layer)에서 동작하는 터널링 프로토콜로 하나의 터널에 여러 개의 연결을 지원하여 다자간 통신이 가능
PPTP(Point to Point Tunnel Protocol)
: 마이크로소프트(MS)사에서 개발한 2계층(Data Link Layer)에서 동작하는 터널링 프로토콜로 하나의 터널에 하나의 연결만을 지원
L2TP(Layer 2 Tunneling Protocol)
: 마이크로소프트(MS)사와 시스코(CISCO)사에서 개발한 프로토콜로, L2F에 기반을 두고 PPTP와의 호환성을 고려하여 만들어진 터널링 프로토콜
IPsec
20('22)
: 3계층(Network Layer)에서 동작하는 표준화된(IETF 표준) 터널링 프로토콜로 IP 패킷에 대한 다양한 보안 서비스를 제공
- 기밀성
- 비연결형 무결성
- 데이터 원천 인증(송신처 인증)
- 재현(재전송) 공격 방지
- 접근제어
- 제한적 트래픽 흐름의 기밀성
11('18), 12('18), 14('19), 21('22)
AH(Authentication Header)
: 송신처 인증, 무결성을 보장해주고 프로토콜 식별번호 51번을 사용
ESP(Encapsulating Security Payload)
: 송신처 인증, 무결성, 암호화를 통한 기밀성을 보장해주고 프로토콜 식별번호로 50번을 사용
SSL/TLS
레코드 프로토콜(Record Protocol)
9('17)
: 메시지를 암호화하여 통신을 수행하는 프로토콜
- 단편화: 애플리케이션 데이터(HTTP 등)를 일정 크기로 단편화
- 압축 및 MAC(Message Authentication Code) 생성: 단편화된 데이터를 압축 알고리즘으로 압축한 후 MAC값을 계산하여 추가
- 암호화: 압축된 데이터와 MAC값을 암호 알고리즘으로 암호화한 후 Record 헤더를 추가하여 전송
DTLS(Datagram Transport Layer Security)
16('20)
: 전송 계층(Transport Layer)에서 UDP 기반(데이터그램 기반) 클라이언트/서버 응용 프로그램 간에 보안 서비스를 제공하는 틍신 프로토콜로 도청, 변조 또는 메시지 위조를 방지하기 위해 설계
'0x60 Study > 0x62 정보보안기사' 카테고리의 다른 글
| 실기 기출 정리 (05. 정보보안 일반) (0) | 2023.04.22 |
|---|---|
| 실기 기출 정리 (06. 정보보안관리/법규) ★ (1) | 2023.04.21 |
| 실기 기출 정리 (04. 침해사고 분석 및 대응) (0) | 2023.04.21 |