공부176 HTTP GET Flooding, Slow HTTP GET/Post Attack HTTP GET Flooding 정상적인 TCP 연결 이후 정상적인 HTTP Transaction 과정을 수행하는 방식으로 Dos/DDoS 공격 방식을 가진다. HTTP Get을 지속적으로 요청하여 HTTP 연결 및 HTTP 처리 로직의 과부하를 유발한다. HTTP Request를 반복적으로 호출하는 간단한 공격이다. 쉽게는 사용자가 새로고침을 반복적으로 눌러도 된다. 하지만 사용자 한 명의 속도로는 서버에 부하를 유발하기 어렵다. TCP 3-Way Handshaking을 거친 후 공격을 수행하는 것이기 때문에 IP를 변조하지 않는다. Slow HTTP GET/Post Attack Slow HTTP GET TCP 및 UDP 기반 공격 - 변조 IP가 아닌 정상 IP 기반 공격이며 탐지가 어려움 소량의 트.. 2020. 4. 3. ICMP Flooding, Tear Drop, Ping of Death, Land Attack ICMP Flooding IP의 Boradcast 주소 방식과 ICMP 패킷을 이용한 공격 방법 다수의 호스트가 존재하는 네트워크에 ICMP echo 패킷을 Broadcast로 전송한다. 이때 발신지 주소는 공격 대상으로 설정하여 다량의 응답 패킷이 공격 대상에게 전송되도록 한다. Smurfing Attack 이라고도 한다. Tear Drop 네트워크 패킷은 MTU(Maximum Transmission Unit) 보다 큰 패킷이 오면 분할(Fragmentation)하고 분할된 정보를 flags와 offset이 가지고 있어 재조합 시 사용된다. 이때 offest을 임의로 조작하여 재 조립될 수 없도록 하는 공격을 Tear Drop이라 한다. Fragment를 조작해 패킷 필터링 장비나 IDS를 우회하여 서.. 2020. 4. 3. DoS, DDos, DrDos 서비스 거부 공격 (DoS, Denial of Service) 컴퓨터 자원을 고갈시키기 위한 공격으로 특정 서비스를 계속적으로 호출하여 CPU, Memory, Network 등의 자원을 고갈시킨다. 소프트웨어 취약점을 이요하는 공격과 IP Header를 변조하여 공격하는 로직 공격(Logic Attack), 무작위로 패킷을 발생시키는 플러딩 공격(Flooding Attack)으로 구분된다. 부하로 인한 다른 사용자들의 서비스를 받지 못하도록 한다. 분산 서비스 거부 공격 (DDoS, Distributed Denial of Service) 여러 대의 공격자 서버가 분산되어 있고 특정 시스템을 집중적으로 공격하는 방법 TCP SYN Flooding TCP 패킷의 SYN를 이용한 공격 방법으로 너무 많은 연결.. 2020. 4. 3. 윈도우 널 세션(Null Session) 취약점 널 세션(Null Session) 취약점 IPC$(Inter Processing Communication)는 네트워크 프로그램 간 통신을 위해 파이프를 사용하고 네트워크 서버 원격 관리에 사용된다. 윈도우 서버에 IPC$를 통한 원격 접속을 할 때 패스워드를 Null로 설정하여 접속할 수 있는 취약점 널 세션을 허용할 겅우, 인증 절차를 거치지 않아도(Null) 공유 대상인 IPC에 연결하여 유저의 정보를 탈취하거나 레지스트리에 접근하는 등의 행위가 가능하다. 기본적으로 공유가 커져 있지만 보안을 위해 공유 설정을 끄는 것이 권장된다. 2020. 4. 3. APT(Advanced Persistent Threat) APT(Advanced Persistent Threat) 특정 기업 및 조직을 대상으로 정하여 다양한 공격 기법을 사용해 지속적으로 공격을 수행하는 지능적 해킹 방식 APT 공격 단계 1. 침투(Incrusion) Email, USB, 웹사이트를 통한 악성코드 등 2. 탐색(Discovery) Network 정보, 시스템 정보, 계정 정보 및 DB/시스템 구조에 대한 정보 3. 유출(Exfiltration) 목표로 한 데이터 수집 혹은 시스템 공격 4. 수집/공격(Capture/Attack) 분석 및 추가 공격 혹은 금전적 이익을 차치하기 위해 정보 유출 2020. 4. 3. ASLR(Address Space Layout Randomization) ASLR(Address Space Layout Randomization) 실행파일이 메모리에 로드될 때 기본 주소는 항상 동일한 주소를 갖는다. 하지만 이렇게 동일한 메모리 주소를 가지는 것은 매우 취약한 문제점이 될 수 있다. 주소가 동일하기 때문에 해당 주소에 악성 코드를 적재하기가 쉬워지기 때문이다. ASLR은 위와같은 메모리 상의 공격을 어렵게 하기 위해 스택이나 힙, 라이브러리 등의 주소를 랜덤으로 프로세스 주소 공간에 배치함으로써 실행할 때마다 데이터의 주소가 바뀌게 하는 기법이다. 윈도우 Vista부터는 메모리의 주소를 항상 동적으로 할당하게 설정했다. 즉, 기본 주소가 동적으로 할당된다. 리눅스에서 ASLR 해제 (고정주소로 설정) sysctl -w kernel.randomize_va_sp.. 2020. 4. 2. 이전 1 ··· 18 19 20 21 22 23 24 ··· 30 다음
