Section 39 38강. Section 26. 네트워크 기반 공격의 이해

- 네트워크 스캐닝 : 취약한 방어망을 찾기 위함

 > 사이버 공격을 위한 정보 수집은 풋프린팅 → 스캐닝 → 목록화 3단계를 거침

 

- 풋프린팅

 > 공격 전에 공격대상에 대한 정보 수집을 하기 위해 사용하는 방법 중 하나

 > 일반적으로 사회공학 기법이 이용됨

 > 공격 대상이 스스로 공개한 여러 정보를 공격대상IP, 사용자 이름 및 계정 등과 같은 정보들을 수집

 

- 스캐닝

 > 실제 공격방법을 결정 또는 공격에 이용될 수 있는 네트워크 구조, 서비스 등의 정보를 얻기 위해 수행되는 방법

 > 스캐닝 작업을 통해 공격 대상의 보안장비 사용현황, 우회가능 네트워크 구조, 플랫폼 형태, OS커널 버전이 종류 등에 대한 정보를 알 수 있음

 > 포트스캔 분류

Sweep	Open Scan	Stealth Scan	Security Scan
ICMP Sweep	TCP Scan	FIN Scan	OS/System
TCP Sweep	UDP Scan	XMAS Scan	Network Device
UDP Sweep		NULL Scan	Application
		ACK Scan
		Fragment Scan

 ● Sweep : 네트워크 구조를 조사하기 위해 존재하는 시스템에 대한 작동 유무 검사

 ● Open Scan : 시스템에서 제공하는 서비스를 확인 하기 위해 사용

 ● Seealth Scan : Sweep + Open Scan으로 공격자의 노출이 되는 단점 보완 및 보안장비 우회기능 추가

 

- 포트 스캔 공격 종류

 > Sweep : 특정 네트워크에 속해 있는 시스템의 작동 유무를 판단하는 기법으로 사용하거나 소유하고 있는 IP주소와 네트워크 범위 파악 가능

 

 > Open Scan : 포트를 스캔하여 포트가 열려있다면 헤당 시스템이 활성화되어 있는 것으로 판단 및 해당 포트가 제공하는 서비스 예측 가능

 ● TCP Full Open Scan(TCP Connect Scan)

 포트 개방 시 : 공격자가 공격대상한테 SYN 공격대상은 공격자한테 SYN+ACK 공격자는 ACK로 응답

 포트 미개방 시 : 공격자가 공격대상한테 SYN보낼 시 공격대상은 RST+ACK로 파악

 * 신뢰성 있는 결과를 얻을 수 있으나 속도가 느리고 로그를 남기므로 탐지가 가능하다는 단점

 

 ● TCP Half Open Scan(TCP SYN Scan)

 포트 개방 시 : 공격자가 공격대상한테 SYN 공격대상은 공격자한테 SYN+ACK 공격자는 RST로 응답

 포트 미개방 시 : TCP Full Open Scan(TCP Connect Scan)과 동일

 * 로그를 남기지 않지만 공격자의 SYN 세그먼트 전송기록은 남게 되므로 스캐닝 공격에 대해 완전히 숨길 순 없음

 

 ● UDP Scan

 포트 개방 시 : 공격자가 UDP 패킷을 공격대상한테 발송 시 응답이 없음

 포트 미개방 시 : 공격자가 UDP 패킷을 공격대상한테 발송 시 ICMP Unreachable패킷 수신

 * UDP 패킷이 네트워크를 통해 전달 되는 동안 라우터나 방화벽 등에서 손실 될 가능성이 있어 신뢰하기 어려움

 

 ● Stealth Scan 및 종류

 > TCP헤더를 조작하여 특수한 패킷을 만든 후 스캔 대상 시스템에 보내 그 응답으로 포트 활성화 여부를 알 수 있음

 포트 개방 시 : FIN, Null, XMAS패킷 발송 시 응답이 없음

 포트 미개방 시 : FIN, Null, XMAS패킷 발송 시 Rst 패킷 수신 받음

 > TCP FIN(Finish) Scan : TCP 헤더 내에 FIN 플래그를 설정하여 공격대상 시스템에 전송

 > Null Scan : TCP 헤더 내에 플래그값을 설정하지 않고 전송하는 패킷

 > XMAS Scan : TCP 헤더 내에 ACK, FIN, RST, SYN, URG 등 플래그값을 랜덤으로 설정하여 전송

 

 ● TCP ACK Scan : 방화벽 정책 테스트 위함 공격(외부) ㅡ F/W ㅡ 내부 일 때 ACK를 보내

 구별 될 경우 : 상태 기반F/W

 구별되지 않을 경우 : 패킷필터링 F/W

 

 ● Decoy Scan : 다양한 위조 된 주소로 스캔하늡 ㅏㅇ식으로 관리자가 스캔을 누가하는 지 알아채기 어려움

---

- NMAP(Network Mapper) : 운영체제의 종류 및 사용 서비스에 대한 정보, FTP 서버의 취약점을 이용한 Bounce 공격을 수행할 수 있는 스캔 도구

---

- 포트 스캔 공격 대응책

 > 불필요한 패킷을 차단하도록 방화벽 설정

 > 불필요한 서비스는 종료 및 사용하지 않는 포트는 닫음

 > 침입탐지시스템(IDS)을 사용해 포트 스캔 탐지

 > 시스템 로그 감사

---

- 스니핑(Sniffing) : 소극적 공격으로서 

 > 네트워크 트래픽을 도청하는 과정을 스니핑이라고 함

 > 대응책은 패킷을 암호화함

 

 ● Hub 환경에서의 스니핑

 > 허브를 사용하고 있다면 원하든 원치 않든 간에 계쏙하여 다른 사람의 패킷을 받아보고 있음

 > 단, MAC주소를 보고 다른이들의 패킷일 경우 버려짐

 > 그러나 NIC를 promiscuous(무차별)모드로 동작되면 패킷을 버리지 않고 스니핑 도구를 통해 패킷 저장 및 분석 가능

 

 ● Switch 환경에서의 스니핑

 ① 스위치 재밍

 1) 스위치의 MAC Address Table 버퍼를 오버플로우시켜서 스위치가 허브처럼 동작하게 강제적으로 만드는 기법

 2) 스위치는 Fail Open 정책으로 실패 시 모두 허용해주는 정책을 따르는 장비

 * Fail Open(Fail Safe)으로 장애 발생 시 모든 트래픽 허용/가용성 중요

 * Fail Close(Fail Secure)으로 장애 발생 시 모든 트래픽 차단/보안성 중요

 

 ② ARP 스푸핑(Spoofing)

 1) 특정 호스트의 MAC 주소를 공격자 MAC주소로 위조한 ARP Reply 패킷을 생성

 2) 희생자의 ARP Cache에 공격자 MAC주소로 변경

 3) 희생자는 변경 된 MAC주소로 정보를 보내며 공격자는 그것을 스니핑한 후 원래의 대상한테 정보를 포워딩(Forwarding)함

 

 ③ ARP 리다이렉트(Redirect)

 1) 공격자가 자신이 라우터인것처럼 MAC주소를 위조하여 ARP Reply 패킷을 네트워크에 BroadCast함

 2) ARP 스푸핑에서 라우터까지 속여 모든 정보를 공격자를 걸쳐 포워딩하게됨