공부/정보보안기사69 침입탐지시스템 (Intrusion Detection System) 침입탐지시스템 네트워크 또는 호스트로의 비정상적인 접근을 탐지하는 시스템 기밀성, 무결성, 가용성을 침해하고 보안 정책을 위반하는 침입 사건을 사전 또는 사후에 탐지하는 보안 시스템 False Positive : false(+)으로 표현, 공격이 아닌데도 공격이라고 오판하는 것 False Negative : false(-)으로 표현, 공격이지만 공격이 아니라고 오판하는 것 오용 탐지(Misuse) 침입 패턴 정보를 데이터베이스화 하여 사용자 혹은 침입자의 네트워크 및 호스트 활동기록과 비교하여 동일하면 침입으로 판단하는 것. 오탐률이 낮지만 새로운 공격에 대한(데이터 베이스에 등록되지 않은) 침입을 사전에 탐지하지 못한다. 이상 탐지(Anomaly) 이상 탐지는 정상 패턴을 저장하고 정상과 다른 활동이 .. 2020. 4. 6. 침입 차단 시스템 침입 차단 시스템 네트워크를 경유하여 내부 시스템으로 진입하는 트래픽을 모니터링하고 ACL(Access Control List)를 적용한다. 시스템에 접근이 가능한 사용자, IP, port를 결정한다. 반대로 블랙리스트를 등록하여 차단할 수도 있다. 인증되지 않은 데이터가 네트워크로 유입되는 것을 방지하고 어떤 종류의 데이터가 어떻게 외부로 보내지는지 규칙을 정해 접근 제어를 수행한다. 인바운드, 아웃바운드(nbound, Outbound) 인바운드는 외부 네트워크에서 내부 네트워크로 들어오는 패킷 아웃바운드는 내부 네트워크에서 외부 네트워크로 나가는 패킷 인바운드 규칙이라는 것은 외부에서 내부로 들어오는 패킷 중에서 어떤 IP, protocol, port, 프로그램을 차단한 것인지, 허용할 것인지 정하는.. 2020. 4. 4. 스푸핑 공격(Spoofing Attack) IP Spoofing 자신의 IP를 속이는 행위로 공격자가 공격 대상의 IP로 변조한다. TCP/IP의 구조적인 취약점을 이용하는 공격으로 자신의 IP를 속여 접속한다. 순서 제어 번호 추측(Sequence Number Guessing), SYN Flooding, Connect Hijacking, RST/FIN을 이용한 접속 끊기, SYN/RST 패킷 생성 공격 등을 수행한다. DNS Spoofing 도메인 네임의 IP주소를 조작하여 정상적인 도메인 네임을 입력해도 다른 사이트로 접속하게 하는 공격 Web Spoofing 가짜 홈페이지를 만들어 두고 로그인을 유도하여 정보를 탈취하는 공격 ARP Spoofing 클라이언트의 MAC 주소를 중간에 공격자 자신의 MAC 주소로 변조하여 서버와 클라이언트가 통.. 2020. 4. 4. 스니핑(Sniffing) 스니핑(Sniffing) 유선 및 무선 데이터 통신의 내용을 몰래 도청하는 행위 및 소프트웨어로 수동적 공격(Passive Attack) 형태이다. 스니핑 도구는 네트워크 관리자가 네트워크 장애를 식별하고 조치하기 위해서 사용되던 도구로 네트워크에 참여하는 송신자와 수신자 사이에 전송되는 패킷을 확인할 수 있다. 공격 목적으로는 송수신자의 패킷을 훔쳐보아 송수신자의 정보와 포트번호 및 전송되는 메시지를 확인할 수 있다. 스니핑 도구는 기본적으로 Normal Mode(정규 모드)로 실행된다. Normal Mode는 자신의 컴퓨터에 전송되는 패킷만 수신받고 자신과 관련 없는 패킷은 받지 않는다.(DROP) 네트워크의 모든 패킷을 모니터링하기 위해서는 Promiscuious Mode(무차별 모드)로 설정 후 .. 2020. 4. 4. 스캐닝(Scanning) 포트 스캐닝(Port Scanning) 서버에 열려있는 포트를 확인하는 것 포트 스캐닝을 사용하여 서버에 열려있는 포트를 확인하고 해당 포트의 취약점을 이용하여 공격을 수행할 수 있다. UDP scan UDP Packet을 전송해 오픈된 포트를 확인하는 방법 포트가 열려있을 때 패킷을 전송하면 응답이 없다. 포트가 닫혀있을 때 패킷을 전송하면 ICMP Unreachable으로 응답한다. TCP open scan TCP 3-Way Handshaking 과정을 진행하여 열려 있는 포트를 확인하는 방법 서버에 로그가 기록되고 스캔 속도가 느리다 Steath Scan 스캔하는 대상에 로그를 남기지 않는 스캔 기법 공격 대상을 속이고 자신의 위치 또한 숨긴다. TCP half open scan 연결 시 SYN 패.. 2020. 4. 4. Hash DoS, Hulk Dos Hash DoS 해시 충돌(Hash Collision)을 이용한 공격 기법 클라이언트에서 전달되는 각종 파라미터 값을 관리하는 해시테이블의 인덱스 정보를 중복되도록 유도하여 사전에 저장된 정보 조회 시 많은 자원을 소모하도록 하는 공격 많은 수의 매개변수를 전달하면 매개변수를 저장하는 해시 테이블에서 해시 충돌이 발생하여 해시 테이블에 접근하는 시간이 증가한다. Hulk Dos 웹 서버의 가용량을 모두 사용하여 정상적인 서비스가 불가능하도록 하는 GET Flooding 공격 유형 공격 대상 URL을 지속적으로 변경하여 DDoS 차단 정책을 우회하는 특징을 가진다. 특정 URL이 계속 변경되면 임계치 설정 기반 방어가 불가능하다. 임계치는 고정된 URL에만 설정이 가능한 특성을 우회한다. 2020. 4. 4. 이전 1 ··· 3 4 5 6 7 8 9 ··· 12 다음
