[KDT:K-digital training 과정] 리눅스 15일차 - ARP spoofing, IP spoofing, Ping of Death, DoS공격, DDoS 공격, 다양한 공격과 방어 방법들

ARP Spoofing: ARP (Address Resolution Protocol)은 IP 주소를 해당 MAC 주소와 연결시키는 프로토콜입니다. 해커가 ARP 요청을 통해 특정 IP의 MAC 주소를 자신의 것으로 속이는 것이 ARP spoofing이라고 할 수 있습니다. 이 공격을 통해 중간자 공격(Man-In-The-Middle, MITM)을 수행할 수 있게 됩니다.

 

IP Spoofing (Smurf Attack 등): IP Spoofing은 해커가 자신의 IP 주소를 다른 주소로 위장하는 공격입니다. Smurf 공격은 IP Spoofing을 활용하여 ICMP 요청을 네트워크의 브로드캐스트 주소로 보내고, 네트워크의 모든 장치로부터 응답을 받게 하여 DoS 공격을 수행할 수 있습니다.

 

Ping of Death: 이 공격은 전형적으로 초과된 크기의 ICMP 패킷을 사용하여 타겟 시스템을 잘못 작동하게 만드는 공격입니다. 정상적인 크기를 초과하는 패킷이 타겟 시스템에 도달하면, 버퍼 오버플로우나 시스템의 잘못된 작동을 일으킬 수 있습니다.

 

 

ARP Spoofing 또는 ARP poisoning

ARP spoofing(ARP 스푸핑), 또는 ARP poisoning(ARP 포이즈닝)은 네트워크 공격 기법 중 하나로 말하자면 네트워크를 속이는 기법이다.

공격자가 ARP(Address Resolution Protocol) 메시지를 조작하여 네트워크 상의 기기들이 보내는 트래픽을 자신에게로 리디렉션하려는 시도를 말한다.

 

굉장히 단순하면서도 치명적이고 지독한 해킹 방법으로 중간자 공격(Man In The Middle, MITM) 기법 중 하나이다. 말 그대로 두 사람 사이에 슬쩍 끼어들어가서 데이터를 몰래 훔쳐본다는 뜻.

 

이제 알겠지만 ARP는 IP 주소를 물리적인 MAC 주소로 변환하는 프로토콜이다.(도로명 주소 → 하천이나 주변 지리로 길을 찾는 물리적 주소로 변환)

 

네트워크 상의 기기는 ARP를 이용하여 IP 주소를 MAC 주소로 매핑하고, 이 정보를 ARP 테이블에 저장한다.

 

 

네트워크에 있는 컴퓨터들은 서로의 IP 주소와 MAC 주소를 연결하는 목록(ARP table)을 가지고 있습니다. 이 목록을 통해 데이터를 올바른 장치로 보냅니다.

 

공격자는 자신의 MAC 주소를 다른 컴퓨터의 IP 주소와 연결된 것처럼 속이고 네트워크에 방송합니다.

 

다른 컴퓨터들은 이 정보를 받아서 그 IP 주소로 데이터를 보낼 때, 실제로는 공격자의 컴퓨터로 보내게 됩니다.

 

결과적으로, 공격자는 원래 그 IP 주소로 보내려던 정보를 받게 되어, 중간에서 정보를 엿볼 수 있게 됩니다.

 

말하자면 우편 배달부가 도로명 주소(IP주소)를 찾아서 우편(데이터) 어떤 집에 배달을 시작하려고 하는데, 배달을 할 때에는 도로명 주소와 지리적(물리적) 주소(MAC 주소)가 매핑되어 쓰여 있는 표를 참고해서 배달한다. 이 때 중간자(MITM)가 몰래 이 표의 도로명 주소 옆에 원래의 물리적 주소가 아닌, 자신의 물리적 주소를 써넣는다. 우편 배달부는 우편이 가야 할 도로명 주소를 따라 배달을 시작하는데, 아파트 단지의 우편 분류함(라우터나 스위치)에 도착해서는 그 옆에 쓰여 있는 지리적 주소를 따라 우편을 배달한다. 그런데 그 물리적 주소는 중간자의 주소임으로 우편을 가로챈 셈이 되는 것이다. 이 때 단순히 한 가구가 아닌 아닌 아파트 전체의 도로명 주소나 우편 분류함의 도로명 주소를 자신의 물리적 주소로 적어넣을 시 그 피해 규모는 더 커진다. 한 아파트에 드나드는 모든 우편을 중간자가 꺼내볼 수 있는 것이다. 하지만 아파트 주민과 우체부, 그리고 우편분류실 직원들은 이를 까맣게 모른다.

 

간단히 말해, ARP 스푸핑은 공격자가 네트워크에서 자신을 다른 컴퓨터로 가장하게 만들어, 그 컴퓨터로 보내려던 정보를 받게 하는 방법이다.

 

즉, 공격자는 이 공격을 통해 자신을 다른 기기로 가장한다.

이렇게 하면, 네트워크 상의 다른 기기들은 공격자를 해당 기기로 오해하게 된다.

예를 들어, 만약 공격자가 자신을 '기기 A'라고 속이면, 네트워크 상의 다른 기기들은 '기기 A'로 보내는 모든 정보를 사실은 공격자에게 보내게 된다.

그래서 공격자는 '기기 A'로 보내는 모든 정보를 가로챌 수 있게 된다..

 

이런 방식으로, 공격자는 네트워크 상의 통신을 중간에서 가로채거나 수정할 수 있게 된다.

이는 매우 심각한 보안 위협을 초래하며, 이를 방지하기 위한 다양한 방어 기법과 도구들이 개발되어 왔다.

 

막기위한 방법

 

정적 ARP 테이블 사용: 정적 ARP 테이블은 네트워크 관리자가 수동으로 IP 주소와 MAC 주소를 연결해 놓은 테이블입니다. 이 방법은 자동으로 업데이트되는 동적 ARP 테이블과는 달리 공격자가 쉽게 조작할 수 없으므로 ARP 스푸핑 공격을 어렵게 만듭니다. 우편 배달부가 배달할 주소와 수신자의 정보를 미리 정해진 목록에서 확인하게 하는 것입니다. 중간자가 배달 목록을 변경하려고 해도, 목록은 이미 확정되어 있어 변경할 수 없으므로 배달은 정확한 주소로만 이루어집니다.

 

ARP 스푸핑 감지 및 방지 소프트웨어 사용: 여러 보안 솔루션들은 ARP 스푸핑을 감지하고 막을 수 있습니다. 이런 소프트웨어는 ARP 테이블의 변화를 지속적으로 모니터링하고 의심스러운 변경 사항이 발견되면 경고하거나 해당 요청을 차단합니다. 이는 마치 우편 배달부가 각 배달지에 도착할 때마다 중앙에서 배달 주소와 수신자의 정보를 확인하는 것과 같습니다. 만약 배달 정보가 중간에 변경되었다면, 중앙은 배달부에게 경고하고 올바른 주소로 배달하도록 안내합니다.

 

네트워크 세그멘테이션 및 VLAN 사용: 네트워크를 여러 세그먼트나 가상 지역 네트워크(VLAN)로 분할하면 ARP 스푸핑 공격의 피해 범위를 제한할 수 있습니다. 공격자가 특정 세그먼트나 VLAN에만 접근할 수 있다면, 그 범위 밖의 기기들은 공격으로부터 안전하게 보호될 것입니다. 여러 개의 아파트 단지로 배달 구역을 나누는 것과 같습니다. 각 단지의 배달 목록은 서로 다르게 관리되고, 배달부는 자신의 단지 내에서만 배달을 하게 됩니다. 중간자가 한 단지의 배달 목록을 변경하더라도, 다른 단지의 배달은 영향을 받지 않게 됩니다.

 

ICMP Redirect 경로 변경 막기 이는 마치 우편 배달부가 배달 경로를 중간에 변경하려는 시도를 받을 때 항상 중앙 우체국과 확인하는 것과 유사합니다. 누군가가 배달부에게 "이 길이 더 빠르다"고 알려주려 해도, 배달부는 항상 중앙 우체국의 지시대로만 배달 경로를 변경하게 됩니다. 따라서 중간자가 배달 경로를 변경하려는 시도는 실패하게 됩니다.

 

어제에 이어 기본 설정으로 보안 조절하는 실습을 진행한다

 

ICMP Redirect 경로 변경 막기

Reverse Path Filtering으로 DDoS(IP Spoofing) 막기

 

DDoS 공격이란?

DDoS(Distributed Denial of Service) 공격은 여러 대의 컴퓨터가 조직적으로 타겟 서버나 네트워크에 대량의 트래픽을 보내 서비스를 중단시키는 공격입니다. 이러한 공격은 다양한 컴퓨터나 디바이스가 함께 작업하여 대상의 자원을 고갈시키며, 정상적인 사용자들이 서비스에 접근하지 못하게 만듭니다.

간단한 설명:

해커가 여러 대의 컴퓨터를 사용하여 한 서버에 동시에 많은 요청을 보내 서버를 마비시키는 공격.

비유로 설명:

이를 상점에 대한 고객 서비스로 비유하면, 마치 공격자가 상점의 문앞에 수백 명의 사람들을 동원해 몰려들게 하여, 진짜 고객들이 상점 안으로 들어가거나 상점 직원들이 제대로 일을 처리할 수 없게 만드는 것과 유사합니다. 상점 직원들이 이렇게 가짜 고객들에게 쓰러져 있을 때, 진짜 고객들은 상점 안으로 들어갈 수 없게 되어, 상점은 실질적으로 "서비스 거부" 상태가 됩니다.

 

DoS(Denial of Service) 공격과 DDoS(Distributed Denial of Service) 공격은 비슷한 목적을 가지고 있지만, 수행 방식에서 차이가 있습니다.

DoS (Denial of Service) 공격

 

단일 출발지: 공격자의 단일 시스템이나 몇 개의 시스템에서 공격이 이루어집니다.

 

목표: 특정 서버나 서비스의 자원을 고갈시켜 정상적인 서비스를 사용하지 못하게 만드는 것이 목표입니다.

 

예시: SYN Flood 공격과 같이 특정 서버에 대량의 연결 요청을 보내 서버를 마비시키는 방식 등이 있습니다.

DDoS (Distributed Denial of Service) 공격

 

다중 출발지: 여러 대의 컴퓨터나 장치가 동시에 공격에 참여합니다. 이 장치들은 종종 봇넷을 형성하며, 공격자에 의해 제어됩니다.

 

목표: DoS와 동일하게 특정 서버나 서비스의 자원을 고갈시키는 것이 목표입니다. 단, 분산된 공격 방식으로 인해 더 강력하고 방어하기 어렵습니다.

 

예시: Smurf 공격과 같이 다수의 장치에서 동시에 ICMP Echo Request를 보내 대량의 응답을 유발하는 방식 등이 있습니다.

비유로 설명

 

DoS: 한 사람이 계속해서 희생자에게 전화를 걸어서 전화기가 바쁜 상태가 되게 하거나 희생자가 지치도록 만드는 공격. 이는 희생자가 다른 중요한 전화를 받을 수 없게 만들 수 있다.

 

DDoS: 수많은 사람들이 동시에 희생자에게 전화를 걸어서 전화기가 바쁜 상태가 되거나 희생자가 지쳐서 무너지게 하는 공격. 이러한 분산된 공격은 훨씬 강력하며 희생자가 다루기 어렵다.

DoS는 일반적으로 한 두 대의 시스템에서 발생하는 반면, DDoS는 여러 대의 시스템이 동시에 공격을 수행하기 때문에 훨씬 강력하고 방어하기 어려운 특징이 있습니다.

 

 

 

IP Spoofing을 이용한 DDoS 공격이란?

해커가 임의의 가짜 IP 주소를 생성하여 타겟 서버에 특정 서비스를 요청하는 것은 DDoS 공격의 한 형태로 볼 수 있습니다.

이런 방식은 IP 스푸핑을 이용한 DDoS 공격이라고 불립니다. 공격자는 여러 대의 제어된 컴퓨터 (봇넷)를 사용하여, 다양한 소스 IP 주소로 위장하여 대상 서버에 대량의 트래픽을 보냅니다. 이러한 방법으로, 공격의 추적을 어렵게 하고, 서버나 네트워크의 자원을 고갈시켜 서비스 거부 상태를 유발할 수 있습니다.

이렇게 임의의 IP 주소를 사용하는 것은 공격의 출처를 숨기기 위한 전략일 뿐만 아니라, 네트워크 자원을 빠르게 고갈시키는 효과도 있을 수 있으며, 타겟 서버의 보안 시스템을 우회하는 데도 사용될 수 있습니다.

 

 

해커는 임의의 가짜 IP 주소를 무제한으로 생성해서 타겟 서버에 특정 서비스를 요청하는 ip spoofing DDoS(Distributed DoS) 공격을 수행하기도 한다. 출발지 IP 주소를 희생자의 IP 주소로 바꾸어 브로드캐스트에 ICMP echo request를 보내 희생자가 다량의 ICMP echo reply를 받아 서버가 다운되게 하는 smurf 공격과 ip spoofing이라는 점에서 유사한 면이 있다. (참고로 만약 여러 대가 대량의 SYN를 보내어 서버가 할 일을 못하게 하는 SYN FLOOD 공격을 한다면 ip spoofing은 아니지만 이것도 DDoS 공격으로 볼 수 있다. 이 모든 공격은 단일 호스트가 공격을 시도할 시 DoS, 여러 대의 호스트가 공격에 동원된다면 DDoS로 볼 수 있다.)

이를 막기 위해서는 들어오는 패킷의 출발지 주소를 검사하여 사설 IP 주소나 불분명한 출발지 주소를 가진 패킷을 차단하기 위해 Reverse Path Filtering(rp_filter) 기법을 사용할 수 있다.

 

우리는 DoS 공격을 시도해본다.

BT5r3에서 진행

백트랙에서 wireshark를 열어서 start 해준다 도스 공격을 하는 것이다.

JavaScript

복사

hping3 --icmp -- rand-source 192.168.100.131 -d 65000 --flood => 공격자의 ip를 타겟 서버와 동일하게 하고 65000개의 패킷을 보내라(홍수처럼)

​

 

 

 

 

 

 

 

ip spoofing에 대항하는 Faked(Rogue) IP Filtering

Faked IP filtering을 비유로 설명하면, 건물의 입장을 관리하는 경비원이 특정 사람의 신분증을 확인하고, 신분증이 가짜인 것을 발견하면 그 사람을 들어오게 하지 않는 것과 유사합니다. 가짜 IP 주소는 실제와 다른 위치나 신원을 나타내므로, 이를 차단하는 것은 네트워크의 보안을 높이는 데 중요합니다.

 

네트워크에서 가짜 또는 부적합한 IP 주소를 사용하는 트래픽을 필터링하는 보안 기법입니다. 이 방법은 특정 IP 주소 범위에 대해 허용되지 않은 출발지 또는 목적지 주소를 가진 패킷을 차단하며, 이를 통해 IP Spoofing과 같은 공격을 방지할 수 있습니다.

비유:

Rogue IP Filtering을 설명하기 위한 비유로 우편 서비스를 생각해볼 수 있습니다.

 

일반적인 우편 배송: 사람들은 자신의 주소와 받는 사람의 주소를 명확히 적고, 그 주소로 편지를 발송합니다. 우체국은 주소가 정확하게 적힌 편지만 배송합니다.

 

Faked (Rogue) IP Filtering과 유사한 상황: 어떤 사람이 허위의 발신자 주소를 사용하여 편지를 보내려고 합니다. 이런 행동은 사기 행위나 혼란을 일으킬 수 있으므로, 우체국은 발신자 주소와 수신자 주소가 유효한지 확인하는 절차를 갖추고 있습니다. 발신자의 주소가 우체국의 기록과 일치하지 않거나 수신자의 주소가 유효하지 않으면, 그 편지는 배송되지 않고 차단됩니다.

이런 식으로, Faked (Rogue) IP Filtering은 네트워크 내에서 가짜 주소를 사용하는 트래픽을 차단하여, 네트워크의 안전성을 높이고 여러 형태의 공격을 방지하는 역할을 합니다.

 

 

해커가 자신의 IP나 MAC 주소를 속이고(Spoofing OR Redirecting) 네트워크로 들어와서 정상적인 호스트인척하면서 주변 호스트들의 정보를 빼는 수가 있다. 내부 LAN에서는 노드가 주변의 노드들을 브로드캐스트로 찾기 때문에 해커 노드를 promisc 모드로 만들어 두면 오가는 모든 패킷을 볼 수 있다.

⇒ 이런 경우 NAC(Network Access Control) 도구인 Packet Fence를 사용해서 걸러 내거나 Spoofing 패킷과 Redirect 패킷의 기록을 남기는 log_martians(‘화성인’이라는 의미)를 설정해서 외부 접속을 로그파일로 저장하고 검토해서 이상하고 의심스런 IP 주소를 TCPwrapper의 /etc/hosts.deny 파일에 기록하거나, Fail2Ban 도구로 막을 수 있다.

 

다양한 공격에 대한 대응 방법들

 

Packet Fence: 이 NAC (Network Access Control) 도구는 네트워크에 액세스하는 클라이언트의 컴플라이언스를 검사하고, 보안 정책을 적용하여 부적절한 트래픽을 걸러냅니다. 네트워크 경비원처럼, 누가 들어올 수 있는지 확인하고 부적절한 트래픽은 밖으로 내보냅니다. 인증되지 않은 액세스, 맬웨어나 바이러스의 퍼짐, 내부 네트워크의 취약점 악용 등을 막을 수 있습니다.

 

log_martians: 이 설정은 리눅스에서 사용되며, 소스 라우팅이나 특이한 경로를 가진 패킷과 같이 이상한 패킷을 로깅합니다. 이는 이상 트래픽의 추적과 분석에 도움이 됩니다. 이상한 패킷이 있으면 기록장에 남겨서 나중에 뭐가 문제였는지 확인할 수 있게 해줍니다. 마치 경비원이 이상한 사람을 보고 일지에 기록하는 것과 같습니다. 이상한 패킷의 로깅은 잘못된 라우팅, 소스 스푸핑, 리플렉션 공격 등과 같은 비정상 트래픽을 감지하는 데 도움이 됩니다.

 

/etc/hosts.deny와 TCPwrapper: TCPwrapper와 함께 사용되는 /etc/hosts.deny 파일은 특정 호스트 또는 네트워크의 액세스를 거부할 수 있게 해줍니다. 특정 사람이나 차량이 건물에 들어오지 못하게 하려면 보안 명단에 넣는 것처럼, 특정 IP 주소가 서버에 접근하지 못하게 차단합니다. IP 스푸핑, 브루트 포스 공격, 특정 IP 주소 또는 네트워크 세그먼트에서 오는 원치 않는 트래픽 등을 차단하는데 사용됩니다.

 

Fail2Ban: 이 도구는 로그 파일을 모니터링하여 의심스러운 행동을 감지하고, 그러한 행동을 하는 IP 주소를 일정 시간 동안 차단합니다. 이를 통해 브루트 포스 공격과 같은 일반적인 보안 위협을 막을 수 있습니다. 특정 IP 주소에서 의심스러운 행동이 감지되면 잠시 차단하는 것입니다. 마치 어떤 사람이 문을 계속 두드리면 잠시 문을 잠그는 것과 유사합니다. 브루트 포스 공격, 디도스 공격, 악성 로그인 시도 등을 감지하고 차단하는 데 효과적입니다.

 

 

 

해커가 자신의 IP나 MAC 주소를 속이고

TCPwrapper의 /etc/hosts.deny와 /etc/hosts.allow 파일이 있는데 /etc/hosts.deny 파일에 의심스러운 IP주소를 기록할 수 있다.

JavaScript

복사

cat /proc/sys/net/ipv4/conf/default/log_martians 0 => 0이면 기록을 안한다는 의미 echo 1 > /proc/sys/net/ipv4/conf/default/log_martians cat /proc/sys/net/ipv4/conf/default/log_martians 1 => 1로 임시적으로 변경해서 기록을 하도록 했다

​

 

 

 

Ping이나 tracert에 응답하지 않기(중요!)

⇒ 이런 ping of death 공격을 막으려면 브로드캐스트로 요청되는 echo request ICMP 패킷에 응답하지 않게 하거나, 라우터와 서버에 패킷 필터링을 걸어서 패킷 량을 조절해두면 된다.

JavaScript

복사

sysctl -a => 모든 설정들 볼 수 있다 (1050개나 됨)

​

 

 

 

 

 

 

Buffer Overflow 공격

글을 쓸 때 한 페이지에 정해진 공간을 초과하여 글을 계속 쓰는 것은 Buffer Overflow의 기본 개념과 매우 유사합니다. 넘어간 글이 다른 중요한 정보와 섞이면, 그 정보가 노출되거나, 해당 정보를 이용하여 시스템에 공격을 가할 수 있게 됩니다.

이 비유를 Buffer Overflow 공격과 연결하면, 공간을 초과해서 쓴 데이터가 프로그램의 다른 중요한 부분을 덮어쓰게 되어 예상치 못한 행동을 유발하거나 공격자에게 유리한 상황을 만들 수 있게 됩니다.

 

프로그램의 결함을 이용해서 실행 중인 프로세스를 빼앗아 악성 코드를 실행시키거나, 시스템을 강제 종료시키거나, 권한상승을 통해서 관리자 쉘을 얻게 해주는 buffer(프로그램이 실행될 때 일시적으로 사용하는 메모리 영역) 오버플로를 막을 수 있어야 한다. 일반적으로 프로그램은 버퍼 메모리에 확보된 자신의 메모리 영역(메모리 주소)에서 실행되므로 이 영역을 넘는 데이터를 저장할 수 없다. 하지만 버그나 악성코드 등으로 이 저장 공간 영역을 넘어서는 데이터를 넣으면 오버되는 용량만큼 이웃한 메모리 영역으로 들어가게 되어서 이웃한 메모리에 들어있는 데이터가 실행되거나 외부로 내용이 드러나게 된다. 이런 공격이 버퍼 오버플로이다.

예전과 다르게 최근의 프로그램들에서는 이런 버퍼 오버플로 공격이 어렵지만 C나 C++로 작성된 프로그램은 자유롭게 메모리 영역을 드나들 수 있어서 위험하므로 C/C++로 작성된 프로그램을 보면 주의를 기울여야 한다. 최근에는 동적 메모리 할당(malloc: memory allocation)을 이용하기 때문에 오히려 더 버퍼 오버플로 공격이 쉬워지기도 한다.

*IRQ(Interrupt Request)

시스템의 주변장치(키보드, 마우스, NIC, 모니터, ...)가 CPU에게 관심을 기울여 달라는 의미인데 숫자로 자신을 표현한다. IRQ를 보려면 바탕화면의 내 PC 우클릭>속성>장치 관리자>네트워크 어댑터 클릭>Realtek PCI2 ~ 우클릭>속성>다섯 번째 리소스 탭으로 가면 메모리 범위와 IRQ가 보인다.

 

C

복사

<nano buffer.c> 만들어서 안에 다음 내용 추가하기 #include <stdio.h> #include <stdlib.h> int main() { char *name; # 포인터 변수를 선언 char *command; name=(char *)malloc(10); # malloc() 함수로 name 변수에 메모리를 동적으로 할당한다 command=(char *)malloc(128); # command 변수에 메모리를 동적으로 할당한다 printf("address of name is :%d\n", name); # 변수의 주소를 정수로 보이게 함 printf("address of command is :%d\n", command); 차 16 printf("Difference between name and command is :%d\n", command-name); # 주소 printf("Hey, Enter your name :"); # 이름을 넣으라고 한 뒤 gets(name); # 이름을 받아서 printf("Hello %s\n", name); # 보여주고 system(command); # command를 인자로 해서 내장된 system() 함수를 실행시킴 }

​

C

복사

ls && gcc buffer.c -o buffer && ls ./buffer => buffer 실행

​

 

 

 

 

 

 

 

 

 

 

 

 

서버의 프로그램 설정 상 오류를 이용한 공격

HTTP 서버(포트 변경, XSS, 서버 오염 등)는 물론 DNS 서버(호스트들의 정보 입수, Zone transfer 이용, 가짜 호스트 심어두기 등), Mail 서버(스팸메일 발송, POP3/IMAP을 이용한 메일 해킹), FTP 서버(계정정보 추출, 시스템 파일에 접근), 그리고 SSH 서버(원격 조정) 등에서 설정상 오류로 인해서 취약점이 드러날 수 있다. ⇒ 서버 설정의 내용을 제대로 알지 못한 채 인터넷 등에서 다른 서버 설정을 그대로 따라서 자신의 서버 데몬이나 서버 프로그램에 설정하면 오히려 잘 보이지 않던 취약점이 생길 수도 있으므로 주의한다.

 

초기 패스워드를 계속 사용하는 것을 이용한 공격

많은 서버용 프로그램이나 네트워크 장비들은 초기의 낮은 보안 설정과 간단한 초기 비밀번호 등을 패스워드로 하여 출시하기 때문에 관리자가 이런 설정을 변경하지 않고 그대로 사용하는 경우가 많아 보안상 취약점이 되고 있다

⇒ 그래서 장비나 시스템을 구입하면 즉시 조직에 맞는 패스워드로 변경을 해두어야 안전하다.

 

 

 

API(애플리케이션) 오류를 통한 공격

또 여러 어플리케이션의 취약점도 많이 있는데 이 부분은 관리자가 아닌 솔루션 개발자가 해결해야 할 부분이기도 하지만 서버나 네트워크 관리자도 알고 있어야 한다.

네트워크/서버에서 문제가 생겼을 때 관리자의 설정 미숙인지 웹 개발자의 허술한 솔루션 때문인지 시시비비를 가려낼 때에는 Wireshark와 같은 패킷분석 도구로 드나드는 패킷을 검토하면 어디에서 문제가 있는지 가려낼 수 있다. 또한 설정 상 오류로 인한 취약점은 Nessuss나 OpenVAS와 같은 취약점 분석도구로도 잘 가려낼 수 있다.

⇒ 가급적 Secure Coding이 적용된 제품을 사용하면 좋다.

Secure Coding은 보안을 중시하는 프로그래밍 방법론입니다. 개발 프로세스 전반에 걸쳐 보안을 고려하여 소프트웨어의 취약점을 최소화하고, 공격으로부터 시스템을 보호하려는 목적으로 사용됩니다.

 

 

Session Hijacking

 

session : 타겟과 내가 연결되어 있는 상태를 말한다.

 

MitM(Man in the Middle)

실습하기

 

먼저 windows 7 pro 가상머신을 설치해준다.(이미 win7은 하나 있는 상황)

 

backtrack에 hunter

 

win7과 win7-2(나는 windows7) 각각에 다음과 같이 해준다

telnet 서버와 클라이언트 기능을 켜주고

 

 

 

제어판-관리도구-서비스-Telnet에서

 

 

 

 

 

 

 

hunt 압축 풀고 make로 설치하고 ./hunt로 실행시키기

 

 

 

read.me 파일을 보면 어떻게 해야하는지 알 수 있다

make를 하면 hunt 실행파일이 활성화된다

hunt를 실행시키면

 

 

 

 

132와 133과 살아있음을 알려주었다

 

 

 

 

 

 

윈도우 7-2로 가서 cmd 창을 열고

 

 

 

 

 

⇒ windows 둘 모두에서 telnet 연결이 안되어서

서버와 클라이언트 각각 프로그램 기능 추가에 가서 각 역할에 해당하는 것만 체크해주었다.

 

 

 

 

 

yes 하면서 클라이언트(7-1)에 가서 ping을 보낸다.

 

 

 

 

 

 

 

 

backtrack에 검은 쉘 창이 뜨게 된다.

 

 

 

클라이언

 

 

 

 

 

 

 

정보를 탈취할 수 있다.

 

 

 

 

 

SQL Injection 공격

해커는 SQL Injection도 사용한다. 대다수의 프론트 엔드 웹 사이트는 데이터를 보관하기 위해서 백 엔드 SQL 데이터베이스 시스템과 연동되어 운영된다. 사용자가 입력하는 문자열을 체크하는 기능이 내장되어져 있지 않으면 SQL 구문을 잘 아는 해커가 Havij, Blind SQL, SQL Ninja, DBpwAudit, 그리고 SQLPWnage 등 도구로 오류를 유발하는 SQL 구문을 작성해서 데이터베이스의 내용을 빼내는 공격을 수행한다. =>이런 공격을 막으려면 SQL 쿼리가 들어올 때 SQL 구문을 체크해주는 formatter 등이 실행되게 해두거나, 원격에서 SQL 서버로 접속하는 호스트와 사용자를 제한해 두어야 한다.

 

*Havij : 데이터베이스 해킹의 바이블

오류를 유발해 데이터베이스의 내용을 빼내는 공격

fail safe

 

 

OS Injection 공격

SQL Injection과 유사한 OS Injection도 있다. 해커는 Nmap와 같은 도구를 사용해서 타겟의 OS와 버전, 패치 등의 정보를 알아낸 다음, Googling해서 이들의 취약점을 알아내어 악성코드를 작성 한 뒤 침투하기도 한다. MySQL과 같은 데이터베이스는 CentOS와 같은 Linux 운영체제(OS) 위에 설치되어 운영되므로 MySQL이 취약하면 이를 공격한 뒤 MySQL이 실행되는 CentOS까지 침투하게 되는 경우이다. =>이런 공격을 막으려면 사용자의 입력 값을 먼저 검증해서 쉘에서 직접 외부 쉘 등의 명령어가 실행되지 않도록 Java나 Python으로 프로그래밍 해두면 정보의 유출을 막을 수 있다. /etc/httpd/conf/httpd.conf <=/var/www/html/index.html

 

 

Directory Traverse 공격

상위 디렉터리로 이동할 수 있게 하는 공격

Directory Traverse는 HTTP나 FTP에서 공개된 디렉터리인 Document Root나 Public 디렉터리에서 상위 디렉터리로 이동하는 공격을 말한다. 애플리케이션의 결함이나 설정 오류로 인해서 공개된 디렉터리 이외에 상위 디렉터리로 이동할 수 있게 되면 cd ../../../etc/passwd식으로 /나 /root 디렉터리로 올라갈 수 있게 되므로 위험하다. ⇒ 이런 공격을 막으려면 chroot 명령어로 공개된 디렉터리를 가상의 루트 디렉터리로 설정해두면 이 디렉터리 이상의 상위 디렉터리로 이동할 수 없게 되어 보안이 좋아진다. chroot /home/centos 하면 /home/centos가 최상위 디렉터리(/)처럼 되어서 /home/centos에서 cd ../../식의 상위 디렉터리 /로 이동하는 명령어가 먹히지 않는다. 뒤에서 이 부분도 실습해 두었다.

 

C

복사

gedit /etc/httpd/conf/httpd.conf

​

 

 

 

 

ARP spoofing, IP spoofing, Ping of Death, DoS공격, DDoS 공격, 다양한 공격과 방어 방법들