[정보보안] spoofing(스푸핑) & sniffing(스니핑) & Dos(서비스 거부)

작성자:

[정보보안] spoofing(스푸핑) & sniffing(스니핑) & Dos(서비스 거부)

스푸핑

spoof은 '속이다, 사기치다'의 뜻으로, 인터넷 내에서 여러가지 의미로 사용되며,

외부의 악의적 네트워크 침입자가 웹사이트를 구성해 사용자들의 방문을 유도,
인터넷 프로토콜인 TCP/IP의 구조적 결함을 이용해 사용자의 시스템 권한을 획득한 뒤,
정보를 빼가는 해킹 수법을 말한다.

유명업체의 명의로 스팸 메일을 발송하거나 위조 사이트로 접속을 유도하는 등의 기술이 있다.


 IP 스푸핑 : 로그인하려는 컴퓨터가 허가받은 IP를 도용해 로그인을 하는 기법

 ARP 스푸핑 : MAC주소를 속여 랜에서의 통신 흐름을 왜곡시키는 기법

예를들어, 서버의 MAC 주소가 AA, 클라이언트가 BB, 공격자가 CC라고 가정할 때,

 공격자는 서버와 클라이언트에게 가짜 MAC주소인 CC를 알려주게 되는데,

서버와 클라이언트는 통신 대상을 CC로 알기 때문에, 공격자에게 패킷을 보내게 되고
공격자는 서버가 클라이언트에게 보내고자 했던 패킷을 클라이언트에게 전달,
클라이언트가 서버에게 보내고자 했던 패킷은 서버에게 전달함으로써,
공격자는 사용자 몰래 모니터로 편안히 패킷의 흐름을 볼 수 있게 되는것이다.

앞서 언급된 것처럼 IP 주소를 속이면 IP스푸핑,
DNS를 속이면 DNS스푸핑이라고 하며,
DNS스푸핑 공격을 통해 개인정보를 수집하면 그것을 파밍(Pharming)이라고 한다.

스푸핑의 한 예 : ARP Spoofing

ARP Redirect와 큰 차이는 없지만, 공격자가 공격대상의 MAC주소를 알고 있고, 단순히 도청만 하는 것이 아니라 거짓 패킷을 보낸다는 특징을 가지고 있다.
따라서 호스트 대 호스트 공격이 가능하다.


스니핑


sniffing이란 단어의 사전적 의미는 '코를 킁킁거리다', '냄새를 맡다' 등의 뜻이 있습니다.
사전적인 의미와 같이 해킹 기법으로서 스니핑은 네트워크 상에서 자신이 아닌 다른 상대방들의 패킷 교환을 엿듣는 것을 의미합니다.
간단히 말하여 네트워크 트래픽을 도청하는 과정을 스니핑이라고 할 수 있습니다.
이런 스니핑을 할 수 잇도록 하는 도구를 스니퍼(Sniffer)라고 하며 스니퍼를 설치하는 과정은 전화기 도청 장치를 설치하는 과정에 비유될 수 있습니다.
스니핑은 네트워크상에서 전송자와 수신자 사이에 주고 받는 데이터를 패킷 수준으로 분석하여 계정, 비밀번호, 프로토콜, 시스템 정보 등 유의미한 내용을 알아내기 위한 해킹기법입니다.
스니핑을 이해하기 위해 먼저 이더넷 로컬 네트워크의 동작원리를 이해해야합니다.
이더넷 로컬 네트워크 내의 모든 호스트는 동일한 선으로 공유하도록 설계되었으며, 호스트를 식별하기 위해 물리적인 MAC 주소를 사용합니다.
따라서 전송하는 주체는 자신의 MAC주소와 수신 주체의 MAC주소, 그리고 데이터를 포함하여 전송하게 되고, 로컬 네트워크 내의 모든 호스트는 수신 MAC주소를 확인하여 본인이 아닐 경우 해당 패킷을 폐기하는 방식으로 동작합니다.
그러나 로컬 네트워크를 동작하게 만드는 하드웨어 장치인 랜카드의 모드를 Promiscuous로 변경하게 되면 모든 패킷을 버리지 않기 때문에 다른 호스트들간의 통신 내용 또한 수신할 수 있는 것입니다.

스니핑의 예 : ARP Redirect

기본적으로 2계층 공격, 랜에서 공격

랜의 모든 호스트 대 라우터

라우터의 MAC주소를 알아내어, 공격대상에게 자신의 MAC 주소가 다루터인 것처럼 속인 후, 브로드캐스트를 주기적으로 하여 패킷을 스니핑하는 공격방법이다.
2계층 스위칭 환경에서 실시되며, 브로드캐스트를 이용하기 때문에 모든 호스트를 대상으로 한다.


ICMP Redirect

스니핑 공격!!

보통의 네트워크는 라우터나 게이트웨이가 하나이지만, 하나의 라우터로 감당하기 어려울 때는 라우터나 게이트웨이를 2개 이상 운영하여 로드밸런싱을 구현하게 된다.

이 때, 로드밸런싱 방법의 하나로 ICMP Redirect를 사용할 수 있는데, ICMP Redirect 공격은 이러한 경우를 강제적으로 만들어 공격하는 방법이다.
정상적인 ICMP Redirect의 경우에는

  1. 외부 웹서버에 접속하기 위해 라우팅 테이블을 확인
  2. 라우터A에 패킷을 전송
  3. 라우터A는 패킷을 확인 후, 효율적 처리를 위해 라우터B에 패킷을 전송하도록 호스트에게 ICMP Redirect 패킷을 전송
  4. ICMP Redirect 패킷을 수신한 호스트는 라우팅 테이블을 갱신
  5. 라우터B에 패킷 전송
의 절차를 거치며, ICMP Redirect 공격은 이것을 악용하여 공격자가 네트워크에 존재하는 또 다른 라우터라고 속여 공격한다.

ARP Spoofing과의 차이로 ARP Spoofing은 모든 트래픽에 대한 Redirect를 가능하게 하지만, ICMP Redirect는 특정한 목적지 주소를 가진 패킷만을 Redirect 하게 된다는 특징을 가지고 있다.

DOS(Denial of Service, 서비스 거부)

  • 정보 시스템의 데이터나 자원을 적당한 사용자가 적절한 대기시간 내 사용을 방해하는 행위
  • 컴퓨터에 침입해서 자료를 삭제하거나, 훔치는것이 아니라 당한 신호를 받지 못하도록 방해를 하는 작용
  • Dos의 예
    • Ping of Death
    • SYN Flooading
    • DDos 공격
    • smurf attack 공격
    • DUP Flooading
    • Targa, Bonk, Boink
한곳에서 계속 데이터(트래픽)를 보내면 다른곳에서는 서비스를 받을 수 없음


 출처
Someday I'll be a full stack developer.

댓글

댓글 쓰기

이 블로그의 인기 게시물

[Python] # -*- coding: utf-8 -*-를 쓰는 이유

작성자:
[Python] # -*- coding: utf-8 -*-를 쓰는 이유 파이썬2의 기본 인코딩은 ascii 이다 파이썬2는 한글을 쓸때 골치아프다.  파이썬 스크립트에서 한글을 사용하게 될 때 파이썬은 ascii 인코딩일 것으로 예상하고 해석하려고 하지만 한글을 ascii로 해석이 불가능하기 때문에 SyntaxError발생 영어만 사용하면 별로 신경 쓸게 없지만 한글은 euc-kr , utf-8 이 공존하기 때문이다. 그냥 골치아픈것도 아니고 unicode와 조합되어서도 골치아프다. unicode 관련 부분의 경우 최초부터 지원한게 아니라 파이썬 2.4부터 지원을 추가되어서 문자열을 의미하는 타입이 str 와 unicode 가 존재해서 더 골치가 아프다 파이썬3에서는 기본값이 UTF-8이기 때문에 기본값에서 벗어나거나 다른 tool( ex: IDE또는 텍스트 편집기)를 사용하는 경우에만 사용 즉, 파이썬에 관한 다른 인코딩을 사용하고자 할때만 사용하면 됨 파이썬의 기본 인코딩은 ascii 이다. 스크립트 파일이 ascii인코딩일거라고 가정하고 읽어서 파싱하려고하는데 ascii로 해석이 불가능한 한글이라는 단어가 존재하기 때문에 SyntaxError(문법 에러)가 발생 이를 해결하기 위해서는 아래와 같은 스크립트 파일 첫줄에 파일의 인코딩을 명시해주면 된다. #-*- coding: utf-8 -*-  파이썬2.x의 기본 인코딩은 ascii 이다. 파이썬 스크립트에서 한글을 사용하게 될 때 파이썬은 ascii 인코딩일 것으로 예상하고 해석하려고 하지만 한글을 ascii로 해석이 불가능 하기 때문에 SyntaxError가 발생 한다. 출처 : https://libsora.so/posts/python-hangul/
자세한 내용 보기

[소프트웨어공학] NS(Nassi-Schneiderman) 차트

작성자:
이미지
[소프트웨어공학] NS(Nassi-Schneiderman) 차트 NS(나씨 슈나이더만) 차트 모듈 명세서를 글로 쓸수도 있지만 N-S차트로 그림으로 그릴 수 있다. 플로우차트는 생각보다는 사용횟수가 많지 않다.  손으로 그리기가 까다롭기 때문이다. 이에 비해 NS차트는 더 쉽게 그릴 수 있어 생각을 더 쉽게 정리할 수 있다. 물론 NS차트만으로 모든것이 해결되는것은 아니다. 프로그램은 정해진 일을 정해진 방법으로 하도록 컴퓨터에 명령을 내리는 것이다. 컴퓨터는 정해진 일과 정해진 방법이 무엇인지 알수 없다. 왜냐하면 기계니까 따라서 우리는 두 가지 관점에서 프로그램을 만들어 갈 수 있다. 1. 무엇을 해야 하는지 생각해보기 컴퓨터에게 시킬일이 무엇이며 어떤 결과를 받아 보고 싶은지 정리 2. 어떻게 해야 하는지 생각해보기 사용자로부터 입력이 되는것과 입력없이 알 수 있는것들 가지고 어떤 처리를 어떤 순서로 진행해서 결과를 만들지 NS차트는 어떻게 원하는 결과를 얻을 수 있는지를 정리해 볼 수 있는 도구이다. NS차트 구성요소는 처리, 반복, 분기의 일반적인 프로그래밍 언어의 구성요소를 표현할 수 있다. 먼저 순차처리 네모 박스에 입력, 출력, 연산을 기록한다. 선택구조는 IF문이나 CASE문을 사용하여 처리 흐름을 기록한다. 반복구조는 While문이나 For문을 사용하여 조건에 따른 반복처리를 기술한다. 1에서 100까지 합을 구하는 ns차트 NS차트의 특징 논리의 기술에 중점을 둔 도형을 이용한 표현 방법이다. 그리기가 어렵다.(전문성이 있어야 잘 그린다) 순차, 선택, 반복으로 표현한다. 임의의 제어 이동이 어렵다. goto구조가 어렵다. 그래픽 설계 도구이다. 상자 도표라고도 한다 프로그램으로 구현이 쉽다. 조건이 복합되어 있는 곳의 처리를 명확히 식별하기에 적합하다. if문이 여러개일 때 가능 출
자세한 내용 보기

[컴퓨터네트워크] Telnet이란?

작성자:
[컴퓨터네트워크] Telnet이란? 원격 접속 서비스로서 특정 사용자가 네트워크를 통해 다른 컴퓨터에 연결하여 그 컴퓨터에서 제공하는 서비스를 받을 수 있도록 하는 인터넷 표준 프로토콜 Telnet(텔넷)을 이용하면 네트워크에 있는 컴퓨터를 자신의 컴퓨터처럼 파일 전송, 파일 생성, 디렉토리 생성 등을 자유롭게 할 수 있다. 단, 보안문제로 사용률이 감소하고 원격 제어를 위해 SSH로 대체되는 추세 Telnet 보안 Telnet 세션은 암호화 및 무결성 검사를 지원하지 않는다. 패스워드가 암호화되어 있지 않아 스니퍼를 이용하여 제3자에게 노출 될 수 있다. UNIX 시스템에서 해커가 in.telnetd를 수정하여 클라이언트의 특정 터미널 종류에 대해 인증과정 없이 쉘을 부여할 수 있다. 그럼 텔넷과 SSH의 차이점은? 사용자가 쓰기에는 텔넷과 SSH는 차이점이 없습니다. 단지 차이점은 로그인, 프로그램 실행, 하드디스크 체크, 로그아웃 등 작업들을 하기 위해 사용자와 서버간의 통신 방법의 차이입니다. 사용자가 어떤 작업을 서버에 알려주기 위해 네트워크를 통해서 서버에 TCP/IP패킷정보를 전달하고 결과값을 다시 서버에서 받게 됩니다. 여기서 텔넷은 정보를 byte스트림형식으로 주고 받고, ssh는 DES, RSA 등 고급 암호화를 통해 통신을 합니다. 그러므로 텔넷 환경에서는 정보노출 위험이 큽니다. SSH는 암호화 뿐만 아니라 압축 기술도 사용하는데, 암호화 때문에 트래픽이 텔넷보다 크게 늘어나지 않습니다. 단지 약간의 부하가 더 생길수도 있다고 합니다. 따라서 정보가 누출될 수 있는 텔넷보다는 어느정도 정보의 안정성을 책임질 수 있는 SSH를 많이 사용합니다. 출처 https://m.blog.naver.com/PostView.nhn?blogId=ahnsh09&logNo=40171391492&proxyReferer=https%3A%2F%2Fwww.g
자세한 내용 보기