전체 글251 침입탐지시스템 (Intrusion Detection System) 침입탐지시스템 네트워크 또는 호스트로의 비정상적인 접근을 탐지하는 시스템 기밀성, 무결성, 가용성을 침해하고 보안 정책을 위반하는 침입 사건을 사전 또는 사후에 탐지하는 보안 시스템 False Positive : false(+)으로 표현, 공격이 아닌데도 공격이라고 오판하는 것 False Negative : false(-)으로 표현, 공격이지만 공격이 아니라고 오판하는 것 오용 탐지(Misuse) 침입 패턴 정보를 데이터베이스화 하여 사용자 혹은 침입자의 네트워크 및 호스트 활동기록과 비교하여 동일하면 침입으로 판단하는 것. 오탐률이 낮지만 새로운 공격에 대한(데이터 베이스에 등록되지 않은) 침입을 사전에 탐지하지 못한다. 이상 탐지(Anomaly) 이상 탐지는 정상 패턴을 저장하고 정상과 다른 활동이 .. 2020. 4. 6. 침입 차단 시스템 침입 차단 시스템 네트워크를 경유하여 내부 시스템으로 진입하는 트래픽을 모니터링하고 ACL(Access Control List)를 적용한다. 시스템에 접근이 가능한 사용자, IP, port를 결정한다. 반대로 블랙리스트를 등록하여 차단할 수도 있다. 인증되지 않은 데이터가 네트워크로 유입되는 것을 방지하고 어떤 종류의 데이터가 어떻게 외부로 보내지는지 규칙을 정해 접근 제어를 수행한다. 인바운드, 아웃바운드(nbound, Outbound) 인바운드는 외부 네트워크에서 내부 네트워크로 들어오는 패킷 아웃바운드는 내부 네트워크에서 외부 네트워크로 나가는 패킷 인바운드 규칙이라는 것은 외부에서 내부로 들어오는 패킷 중에서 어떤 IP, protocol, port, 프로그램을 차단한 것인지, 허용할 것인지 정하는.. 2020. 4. 4. 스푸핑 공격(Spoofing Attack) IP Spoofing 자신의 IP를 속이는 행위로 공격자가 공격 대상의 IP로 변조한다. TCP/IP의 구조적인 취약점을 이용하는 공격으로 자신의 IP를 속여 접속한다. 순서 제어 번호 추측(Sequence Number Guessing), SYN Flooding, Connect Hijacking, RST/FIN을 이용한 접속 끊기, SYN/RST 패킷 생성 공격 등을 수행한다. DNS Spoofing 도메인 네임의 IP주소를 조작하여 정상적인 도메인 네임을 입력해도 다른 사이트로 접속하게 하는 공격 Web Spoofing 가짜 홈페이지를 만들어 두고 로그인을 유도하여 정보를 탈취하는 공격 ARP Spoofing 클라이언트의 MAC 주소를 중간에 공격자 자신의 MAC 주소로 변조하여 서버와 클라이언트가 통.. 2020. 4. 4. 스니핑(Sniffing) 스니핑(Sniffing) 유선 및 무선 데이터 통신의 내용을 몰래 도청하는 행위 및 소프트웨어로 수동적 공격(Passive Attack) 형태이다. 스니핑 도구는 네트워크 관리자가 네트워크 장애를 식별하고 조치하기 위해서 사용되던 도구로 네트워크에 참여하는 송신자와 수신자 사이에 전송되는 패킷을 확인할 수 있다. 공격 목적으로는 송수신자의 패킷을 훔쳐보아 송수신자의 정보와 포트번호 및 전송되는 메시지를 확인할 수 있다. 스니핑 도구는 기본적으로 Normal Mode(정규 모드)로 실행된다. Normal Mode는 자신의 컴퓨터에 전송되는 패킷만 수신받고 자신과 관련 없는 패킷은 받지 않는다.(DROP) 네트워크의 모든 패킷을 모니터링하기 위해서는 Promiscuious Mode(무차별 모드)로 설정 후 .. 2020. 4. 4. 스캐닝(Scanning) 포트 스캐닝(Port Scanning) 서버에 열려있는 포트를 확인하는 것 포트 스캐닝을 사용하여 서버에 열려있는 포트를 확인하고 해당 포트의 취약점을 이용하여 공격을 수행할 수 있다. UDP scan UDP Packet을 전송해 오픈된 포트를 확인하는 방법 포트가 열려있을 때 패킷을 전송하면 응답이 없다. 포트가 닫혀있을 때 패킷을 전송하면 ICMP Unreachable으로 응답한다. TCP open scan TCP 3-Way Handshaking 과정을 진행하여 열려 있는 포트를 확인하는 방법 서버에 로그가 기록되고 스캔 속도가 느리다 Steath Scan 스캔하는 대상에 로그를 남기지 않는 스캔 기법 공격 대상을 속이고 자신의 위치 또한 숨긴다. TCP half open scan 연결 시 SYN 패.. 2020. 4. 4. Hash DoS, Hulk Dos Hash DoS 해시 충돌(Hash Collision)을 이용한 공격 기법 클라이언트에서 전달되는 각종 파라미터 값을 관리하는 해시테이블의 인덱스 정보를 중복되도록 유도하여 사전에 저장된 정보 조회 시 많은 자원을 소모하도록 하는 공격 많은 수의 매개변수를 전달하면 매개변수를 저장하는 해시 테이블에서 해시 충돌이 발생하여 해시 테이블에 접근하는 시간이 증가한다. Hulk Dos 웹 서버의 가용량을 모두 사용하여 정상적인 서비스가 불가능하도록 하는 GET Flooding 공격 유형 공격 대상 URL을 지속적으로 변경하여 DDoS 차단 정책을 우회하는 특징을 가진다. 특정 URL이 계속 변경되면 임계치 설정 기반 방어가 불가능하다. 임계치는 고정된 URL에만 설정이 가능한 특성을 우회한다. 2020. 4. 4. HTTP GET Flooding, Slow HTTP GET/Post Attack HTTP GET Flooding 정상적인 TCP 연결 이후 정상적인 HTTP Transaction 과정을 수행하는 방식으로 Dos/DDoS 공격 방식을 가진다. HTTP Get을 지속적으로 요청하여 HTTP 연결 및 HTTP 처리 로직의 과부하를 유발한다. HTTP Request를 반복적으로 호출하는 간단한 공격이다. 쉽게는 사용자가 새로고침을 반복적으로 눌러도 된다. 하지만 사용자 한 명의 속도로는 서버에 부하를 유발하기 어렵다. TCP 3-Way Handshaking을 거친 후 공격을 수행하는 것이기 때문에 IP를 변조하지 않는다. Slow HTTP GET/Post Attack Slow HTTP GET TCP 및 UDP 기반 공격 - 변조 IP가 아닌 정상 IP 기반 공격이며 탐지가 어려움 소량의 트.. 2020. 4. 3. ICMP Flooding, Tear Drop, Ping of Death, Land Attack ICMP Flooding IP의 Boradcast 주소 방식과 ICMP 패킷을 이용한 공격 방법 다수의 호스트가 존재하는 네트워크에 ICMP echo 패킷을 Broadcast로 전송한다. 이때 발신지 주소는 공격 대상으로 설정하여 다량의 응답 패킷이 공격 대상에게 전송되도록 한다. Smurfing Attack 이라고도 한다. Tear Drop 네트워크 패킷은 MTU(Maximum Transmission Unit) 보다 큰 패킷이 오면 분할(Fragmentation)하고 분할된 정보를 flags와 offset이 가지고 있어 재조합 시 사용된다. 이때 offest을 임의로 조작하여 재 조립될 수 없도록 하는 공격을 Tear Drop이라 한다. Fragment를 조작해 패킷 필터링 장비나 IDS를 우회하여 서.. 2020. 4. 3. DoS, DDos, DrDos 서비스 거부 공격 (DoS, Denial of Service) 컴퓨터 자원을 고갈시키기 위한 공격으로 특정 서비스를 계속적으로 호출하여 CPU, Memory, Network 등의 자원을 고갈시킨다. 소프트웨어 취약점을 이요하는 공격과 IP Header를 변조하여 공격하는 로직 공격(Logic Attack), 무작위로 패킷을 발생시키는 플러딩 공격(Flooding Attack)으로 구분된다. 부하로 인한 다른 사용자들의 서비스를 받지 못하도록 한다. 분산 서비스 거부 공격 (DDoS, Distributed Denial of Service) 여러 대의 공격자 서버가 분산되어 있고 특정 시스템을 집중적으로 공격하는 방법 TCP SYN Flooding TCP 패킷의 SYN를 이용한 공격 방법으로 너무 많은 연결.. 2020. 4. 3. 윈도우 널 세션(Null Session) 취약점 널 세션(Null Session) 취약점 IPC$(Inter Processing Communication)는 네트워크 프로그램 간 통신을 위해 파이프를 사용하고 네트워크 서버 원격 관리에 사용된다. 윈도우 서버에 IPC$를 통한 원격 접속을 할 때 패스워드를 Null로 설정하여 접속할 수 있는 취약점 널 세션을 허용할 겅우, 인증 절차를 거치지 않아도(Null) 공유 대상인 IPC에 연결하여 유저의 정보를 탈취하거나 레지스트리에 접근하는 등의 행위가 가능하다. 기본적으로 공유가 커져 있지만 보안을 위해 공유 설정을 끄는 것이 권장된다. 2020. 4. 3. 이전 1 ··· 14 15 16 17 18 19 20 ··· 26 다음
