[보안기사] 정리3

기밀성(정보유출) 측면

세션하이재킹, IDS를 통한 비정상적인 RST요청, 패킷 재전송등이 발생하는지 모니터링 수행

SSH, HTTPS, IPSec 사용 (전송계층TCP)

 

 

무결성(정보 위/변조) 측면

MAC, IP, DNS 스푸핑

 

 

가용성(서비스 거부)

TCP, IP, HTTP 다량의 비정상적인 패킷 공격 DoS/DDoS

*SCTP(Stream Control Transmission Protocol)의 경우 4Way handshaking을 통하여 연결 요청에 대하여 Cookie 기반으로 인증하는 단계가 추가되어 TCP Syn blind attack에 대응이 가능

 

서비스 거부 공격

(1) 공격 대상 서버의 IP 주소로 Spoofing 한 ICMP echo 메시지를 브로드캐스트로 다수의 시스템에 전송을 하면, 다수의 시스템은 ICMP reply를 공격 대상 서버로 전송하여 시스템을 마비시키는Smurf 공격이 있다. 이 경우 브로드캐스트 주소로 전송된 ICMP 패킷에 응답하지 않도록 호스트를 설정하는 방법으로 대응이 가능하다.

 

(2) 또한 ping 명령을 내릴 때 ICMP 패킷을 정상 크기(64 KB)보다 아주 크게 만들어 보내면 Path MTU discovery 과정을 통해 해당 전송 경로상에서 가장 작은 MTU(Maximum Transmission unit) 사이즈에 맞춰 패킷이 잘게 쪼개지게 되는데, 이렇게 조각난 패킷을 모두 처리하기 위한 부하 증가를 유도하는 Ping of Death 공격이 있다. 이에 대한 대책은 내부 네트워크로 들어오는 ICMP 프로토콜을 차단하는 방법이 있다.

 

(3) 이 밖에 IP 단편화 시 재조립 하기 위한 offset 값을 비정상 값으로 조작하여 오버플로를 일으키게 하는 Teardrop 공격 등이 있다. 이 경우 대응 방법은 해당 취약점에 대한 보안 패치 적용이 필요하다.

 

(4) HTTP Get 메시지를 무한대로 전송하는 HTTP Get Flooding

 

(5) HTTP 헤더의 캐시 옵션을 무력화하여 부하를 발생시키는 Cache Control 공격

 

(6) HTTP 헤더 부분을 비정상적으로 조작하여 웹서버가 헤더 정보를 해석하기 위해 장시간 대기하도록 만드는 Slow HTTP Header Dos(Slowloris) 공격

 

(7) TCP 윈도우 크기를 감소시킨 후 HTTP 메시지를 전송하여 웹서버가 TCP 연결이 정상화되기 전까지 대기 상태에 빠지게 만드는 Slow HTTP Read DoS 공격

 

SNMP : 보안 측면에서는 관리자가 Agent에 정보를 요청할 때 사용하는 패스워드인 커뮤니티 스트링에 대한 보호가 필요