네트워크 해킹

TCP/IP는 본질적으로 해킹에 취약하다. 연결 설정 및 통신 과정에 많은 문제를 가지고 있다.

1. 클라이언트에서 서버로 최초 연결을 시도하는 SYN 패킷을 전송하면 서버는 연결을 위해 버퍼 자원을 할당한다.
2. 장상적인 통신연결이 완료된 후에 해커는 클라이언트를 가장해서 통신 세션을 쉽게 가로챌 수 있다.
3. IP헤더에 있는 소스 IP 정보는 쉽게 위조 가능하다.

네트워크 해킹 기술

• 포트 스캐닝
• IP서버를 식별하는 논리적인 주소다. Port는 하나의 IP를 여러개의 애플리케이션이 공유하기 위한 논리적인 단위다.
• IP는 IP프로토콜에서 식별자로 사용되고 PORT는 TCP/UDP 프로토콜에서 식별자로 사용된다.
• 포트스캐닝 (Port Scanning)은 서비스를 위해 방화벽이나 서버에서 개방한 포트 목록을 알아내는 기술이다.
• UDP 기반 기법은 UDP패킷을 전송해서 확인
• TCP  기반 기법은 SYN, FIN등 다양한 패킷을 전송하면서 포트 개방여부를 확인한다.

• 패킷 스니핑
• TCP/IP 통신을 하는 이더넷(Ethernet)기반 동일 네트워크 환경 (하나의 라우터를 사용)에서 MAC 주소 기반으로 패킷이 동작한다.
• 패킷 스니퍼 (Packet Sniffer)는 모든 패킷을 버리지 않고 처리해서 동일 네트워크에서 이동하는 모든 데이터의 흐름을 한눈에 파악 가능

• 세션 하이재킹
• 세션 하이재킹(Session Hijacking)공격은 크게 HTTP 세션 하이재킹과 TCP 세션 하이재킹으로 나뉜다.
• HTTP 세션 하이재킹은 웹 서비스 인증정보를 저장한 쿠키의 Session ID 값을 탈취해서 해킹에 이용하는 방식
• TCP 세션 하이재킹은 TCP 패킷 정보를 탈취하는 방식
• TCP 프로토콜은 통신 상대방을 인증하기 위해 IP, Port, Sequence Number 3개 요소를 사용
• TCP 세션 하이재킹은 패킷 스니핑을 통해 알아낸 인증 정보를 가지고 클라이언트와 서버 사이의 통신을 중간에 가로챈다.
• 해커는 클라이언트와 서버와의 연결을 잠시 끊고 발신지 IP를 해커 PC로 변경해서 서버와 커넥션을 재설정한다. 서버는 통신 연결이 잠시 끊겼다가 다시 연결됐다고 생각하고 해커 PC를 클라이언트로 인식하게 된다.

• 스프핑
• 스푸핑의 사전적 의미는 '위장하다'이다
• 네트워크 관점에서는 크게 DNS, IP, ARP 3개의 자원에 대해서 위장을 통한 공격이 가능하다.
• ARP는 IP 주소를 가지고 MAC 주소를 알아낸다. 
• PC는 내부에 IP와 MAC정보가 저장된 ARP 캐시 테이블을 가지고 있다. 통신 상대방을 인지하기 위해 해당 테이블을 조회해서 MAC 정보를 추출한다.
• ARP 캐시 테이블에서 정보를 찾지 못하면서 ARP 프로토콜을 통해 IP에 해당하는 MAC정보를 찾을 수 있다.
• ARP 프로토콜은 보안이 고려되지 않았기 때문에 쉽게 해킹할 수 있으며, ARP Reply 패킷을 통해 상대방의 ARP 캐시 테이블을 간단하게 조작할 수 있다.

• DoS (서비스 거부 공격)
• TCP/IP는 구조적으로 보안에 취약하다. SYN 패킷의 발신지 주소를 변경하거나, SYN 패킷만 지속적으로 전송하고, 대량의 IP 패킷을 작은 단위로 쪼개서 전송하는 등의 행위를 통해 시스템을 서비스 불능상태로 만들 수 있다.
• DoS는 정상적인 패킷을 대량으로 발생시켜 서비스를 마비시킨다. 
• 또한 불특정 다수의 PC를 좀비 PC로 만들고 원격에서 대량의 트래픽을 발생시키는 시키도록 제어하는 분산 서비스 거부 공격 (DDoS)이 등장
• 분산 서비스 거부 공격 (DDos)는 봇넷을 활용한다.
• 봇넷은 악성코드가 포함된 파일을 인터넷을 통해 배포해서 다수의 좀비 PC를 확보하고 C&C서버를 통해 좀비 PC를 통제하는 기술이다.