네트워크 보안

네트워크 공격 패킷 분석

1. Port Scan 공격 패킷 분석

1) 정의

: 실제 공격 방법을 결정하거나 공격에 이용될 수 있는 네트워크 구조, 시스템이 제공하는 서비스 등의 정보를 얻기 위해 수행되는 방법

• 공격 대상 보안 장비 사용 현황
• 우회 가능 네트워크 구조
• 시스템 플랫폼 형태
• 시스템 운영체제 커널 버전 종류
• 제공 서비스 종류

2) Port Scan 종류

• Port Scan: 대상 시스템의 열린 포트와 서비스 상태를 확인하기 위한 기본적인 스캔 기법
• Sweeps: 여러 호스트를 대상으로 동일한 스캔을 수행하여 살아있는 시스템을 탐색
  • ICMP Sweep: ICMP(Echo) 요청을 보내 응답하는 활성 호스트만 식별
  • TCP Sweep: TCP 패킷을 이용해 호스트의 TCP 응답 여부를 확인
  • UDP Sweep: UDP 패킷을 전송해 UDP 응답 또는 ICMP 에러로 호스트 존재 여부 판단
• Open Scan: 대상 포트와 정상적인 연결을 시도하여 열림 여부를 확인하는 스캔
  • TCP Scan: TCP 연결을 통해 포트의 열림/닫힘 상태를 확인
  • UDP Scan: UDP 패킷 전송 후 응답 또는 ICMP 메시지로 포트 상태 확인
• Stealth Scan: 세션을 완전히 맺지 않고 로그를 남기지 않도록 설계된 은밀한 스캔
  • FIN Scan: FIN 플래그만 설정하여 응답 유무로 포트 상태 판단
  • XMAS Scan: URG·PSH·FIN 플래그를 동시에 설정한 비정상 패킷 기반 스캔
  • NULL Scan: TCP 플래그 없이 패킷을 보내 응답 여부로 포트 상태 확인
  • ACK Scan: ACK 패킷의 TTL 또는 RST 응답을 분석해 방화벽 필터링 여부 확인
• Security Scan: 시스템의 보안 취약점이나 보안 설정 상태를 점검하는 스캔
• OS / System: 패킷 반응 특성을 분석해 운영체제 및 시스템 환경을 식별
• Network Device: 라우터, 스위치, 방화벽 등 네트워크 장비 존재 및 특성 파악
• Application: 웹, DB 등 동작 중인 애플리케이션과 서비스 종류를 식별

3) nmap (network mapper)

: 운영체제 종류 및 사용 서비스에 대한 정보 스캔 도구

스캔 옵션

• -sT : connect() 함수를 이용한 Open 스캔
• -sS : 세션을 성립시키지 않는 TCP SYN 스캔
• -sF : FIN 패킷을 이용한 스캔
• -sN : Null 패킷을 이용한 스캔
• -sX : XMas 패킷을 이용한 스캔
• -sU : UDP 포트 스캔
• -sA : ACK 패킷 TTL 값 분석

2. Pharming Attack

1) 정의

: 피싱(Phishing) + 조작(Farming)의 합성어

• 정상 사이트 접속 시도에도 가짜 사이트로 유도
• 금융 거래 정보 탈취
• 금전적 피해 발생

3. Spoofing

1) 정의

: ‘속이다’는 의미

• 인터넷 / 로컬 네트워크 모든 연결에서 가능
• 정보 탈취 목적 또는 시스템 마비 목적

2) 종류

• ARP Spoofing
• DNS Spoofing

3) ARP Spoofing

• MAC 주소를 속이는 공격
• 2계층에서 작동
• 공격 대상이 같은 LAN에 존재해야 함

4) DNS Spoofing

• 실제 DNS 서버보다 빠르게 위조된 DNS Response 전송
• 공격 대상이 잘못된 IP 주소로 접속
• 정상 DNS Response는 drop

4. DDoS (Distributed Denial of Service) Attack

1) 정의

• 과도한 트래픽을 공격 대상에게 전송
• 정상적인 서비스 불가 상태 유도

2) 통신 기본 3요소

가) 전송 매체 (회선)

• End-to-End 연결 통로
• 매체별 수용 가능한 대역폭 존재

나) 정보원 (송수신자)

• End-to-End 송수신자 및 중계 장비
• CPU / 메모리 성능에 따라 처리 한계 존재

다) 프로토콜

• 통신 규약
• 정의된 규약에 따라 데이터 송수신

3. DDoS 공격 원리

• 전송 매체가 수용 가능한 대역폭 초과 시 정상 통신 불가
• 정보원이 처리 가능한 성능 초과 시 요청 처리 불가

4. DoS vs DDoS

1) DoS

• 1 : 1 형태 공격

2) DDoS

• 다수의 좀비 PC 이용
• N : 1 형태 공격
• C&C 서버 기반

6. Fragmentation Flooding Attack

• 65000 바이트 문자열로 ping 전송
• MTU 초과 패킷 단편화 특징 악용

hping3 --icmp --rand-source 192.168.10.20 -d 65000 --flood

 

7. SYN Flooding Attack

• TCP 3-Way Handshake 취약점 이용
• 대량 SYN 패킷 전송
• Web Server HTTP 서비스 지연 또는 중지

hping3 --rand-source 192.168.10.20 -p 80 -S --flood