반응형
TCP/IP는 본질적으로 해킹에 취약하다. 연결 설정 및 통신 과정에 많은 문제를 가지고 있다.
- 클라이언트에서 서버로 최초 연결을 시도하는 SYN 패킷을 전송하면 서버는 연결을 위해 버퍼 자원을 할당한다.
- 장상적인 통신연결이 완료된 후에 해커는 클라이언트를 가장해서 통신 세션을 쉽게 가로챌 수 있다.
- IP헤더에 있는 소스 IP 정보는 쉽게 위조 가능하다.
네트워크 해킹 기술
- 포트 스캐닝
- IP서버를 식별하는 논리적인 주소다. Port는 하나의 IP를 여러개의 애플리케이션이 공유하기 위한 논리적인 단위다.
- IP는 IP프로토콜에서 식별자로 사용되고 PORT는 TCP/UDP 프로토콜에서 식별자로 사용된다.
- 포트스캐닝 (Port Scanning)은 서비스를 위해 방화벽이나 서버에서 개방한 포트 목록을 알아내는 기술이다.
- UDP 기반 기법은 UDP패킷을 전송해서 확인
- TCP 기반 기법은 SYN, FIN등 다양한 패킷을 전송하면서 포트 개방여부를 확인한다.
- 패킷 스니핑
- TCP/IP 통신을 하는 이더넷(Ethernet)기반 동일 네트워크 환경 (하나의 라우터를 사용)에서 MAC 주소 기반으로 패킷이 동작한다.
- 패킷 스니퍼 (Packet Sniffer)는 모든 패킷을 버리지 않고 처리해서 동일 네트워크에서 이동하는 모든 데이터의 흐름을 한눈에 파악 가능
- 세션 하이재킹
- 세션 하이재킹(Session Hijacking)공격은 크게 HTTP 세션 하이재킹과 TCP 세션 하이재킹으로 나뉜다.
- HTTP 세션 하이재킹은 웹 서비스 인증정보를 저장한 쿠키의 Session ID 값을 탈취해서 해킹에 이용하는 방식
- TCP 세션 하이재킹은 TCP 패킷 정보를 탈취하는 방식
- TCP 프로토콜은 통신 상대방을 인증하기 위해 IP, Port, Sequence Number 3개 요소를 사용
- TCP 세션 하이재킹은 패킷 스니핑을 통해 알아낸 인증 정보를 가지고 클라이언트와 서버 사이의 통신을 중간에 가로챈다.
- 해커는 클라이언트와 서버와의 연결을 잠시 끊고 발신지 IP를 해커 PC로 변경해서 서버와 커넥션을 재설정한다. 서버는 통신 연결이 잠시 끊겼다가 다시 연결됐다고 생각하고 해커 PC를 클라이언트로 인식하게 된다.
- 스프핑
- 스푸핑의 사전적 의미는 '위장하다'이다
- 네트워크 관점에서는 크게 DNS, IP, ARP 3개의 자원에 대해서 위장을 통한 공격이 가능하다.
- ARP는 IP 주소를 가지고 MAC 주소를 알아낸다.
- PC는 내부에 IP와 MAC정보가 저장된 ARP 캐시 테이블을 가지고 있다. 통신 상대방을 인지하기 위해 해당 테이블을 조회해서 MAC 정보를 추출한다.
- ARP 캐시 테이블에서 정보를 찾지 못하면서 ARP 프로토콜을 통해 IP에 해당하는 MAC정보를 찾을 수 있다.
- ARP 프로토콜은 보안이 고려되지 않았기 때문에 쉽게 해킹할 수 있으며, ARP Reply 패킷을 통해 상대방의 ARP 캐시 테이블을 간단하게 조작할 수 있다.
- DoS (서비스 거부 공격)
- TCP/IP는 구조적으로 보안에 취약하다. SYN 패킷의 발신지 주소를 변경하거나, SYN 패킷만 지속적으로 전송하고, 대량의 IP 패킷을 작은 단위로 쪼개서 전송하는 등의 행위를 통해 시스템을 서비스 불능상태로 만들 수 있다.
- DoS는 정상적인 패킷을 대량으로 발생시켜 서비스를 마비시킨다.
- 또한 불특정 다수의 PC를 좀비 PC로 만들고 원격에서 대량의 트래픽을 발생시키는 시키도록 제어하는 분산 서비스 거부 공격 (DDoS)이 등장
- 분산 서비스 거부 공격 (DDos)는 봇넷을 활용한다.
- 봇넷은 악성코드가 포함된 파일을 인터넷을 통해 배포해서 다수의 좀비 PC를 확보하고 C&C서버를 통해 좀비 PC를 통제하는 기술이다.
반응형