TCP/IP 네트워크 공격 유형

1. 스캐닝 공격

- 본격적인 공격에 앞서 수행하는 일종의 사전 정찰

- 포트 스캔 : 원격지 호스트를 대상으로 어떤 포트 번호를 사용 중인지 확인하는 기법으로 TCP 헤더의 플래그 항목을 이용해 수행.

- 엔맵 : 포트 스캐너의 대명사. TCP Full Open 스캔 기법, TCP Half Open 스캔 기법, TCP FIN 스캔 기법, TCP X-mas 스캔 기법 등이 있다. apt-get install nmap

- Full Open 스캔: nmap 127.0.0.1 -p 22 -sT, TCP 3단계 연결을 완성을 통해 확인하기 때문에 포트 스캔 기록을 남길 수 있다.

구분	해당 포트 사용 중	해당 포트 미사용 중
송신자	SYN 플래그 전송	SYN 플래그 전송
수신자	ACK, SYN 플래그 전송	ACK, RST 플래그 전송
송신자	ACK 플래그 전송
송신자	RST 플래그 전송

- Half Open 스캔: nmap 127.0.0.1 -p 22 -sS, SSH 서비스 동작 여부를 TCP 3단계 연결 미완성을 통해 확인한다. SSH 사용중이라면 ACK, SYN플래그로 응답이 오는데 그때 RST 플래그를 보내 3단계 연결 설정을 완성하지 않는다.

구분	해당 포트 사용 중	해당 포트 미사용 중
송신자	SYN 플래그 전송	SYN 플래그 전송
수신자	ACK, SYN 플래그 전송	ACK, RST 플래그 전송
송신자	RST 플래그 전송

- FIN 스캔: nmap 127.0.0.1 -p 22 -sF 명령어와 같이 설정하면 FIN 플래그를 보낸다. 해당 포트를 사용중이면 아무 응답도 오지 않는다.

구분	해당 포트 사용 중	해당 포트 미사용 중
송신자	FIN 플래그 전송	FIN 플래그 전송
수신자		ACK, RST 플래그 전송

- X-mas 스캔: nmap 127.0.0.1 -p 22 -sX 명령어와 같이 설정한다. 방화벽에서는 SYN 플래그만 차단하기 때문에 다른 플래그는 방화벽을 통과해 공격 대상자에게 전해진다. 이때도 해당 포트를 사용중이면 아무 응답도 오지 않는다.

구분	해당 포트 사용 중	해당 포트 미사용 중
송신자	URG, PSH, FIN 플래그 전송	URG, PSH, FIN 플래그 전송
수신자		ACK, RST 플래그 전송

2. 스니핑 공격

- 패킷 분석

- TCP/IP 방식에는 암호화 기능이 없어서 안에 내용을 볼 수 있다.

ex) 와이어샤크를 이용하면 HTTP 페이로드에서 데비안 계정과 비밀번호를 획득할 수도 있다.

- 이러한 공격에 대응하기 위해 VPN 기법이 등장했다.

 

3. 스푸핑 공격

- 출발지 주소 등을 은폐하거나 변경하는 기법으로 주소 체계 전반을 대상으로 수행하는 공격 기법

구분	관련 계층	공격 내용
ARP 스푸핑	데이터 링크	목적지 맥 주소 조작
IP 스푸핑	네트워크	출발지 IP 주소 조작
DNS 스푸핑	응용	목적지 IP 주소 조작

참고: https://sonseungha.tistory.com/486

[정보보호개론] 스푸핑 공격 (Spoofing)

4. 플러딩 공격

- 출발지 IP 주소를 수시로 변경하면서 상대방에게 불필요한 데이터를 계속 전송해 인위적으로 부하를 유발하는 기법

- IP 스푸핑 기법과 결합해 수행.

- DDoS 공격

 

 

5. 물리 계층

- 신호를 잡으면 데이터를 받아올 수 있음.

ex) 광 섬유의 중간 지점에서 광 섬유만을 구부려 약간의 광 신호를 검출하기

      무선 키보드에서 발생하는 신호를 이용해 AES 암호 알고리즘 복호화하기

      GPS 전파 교란 공격도 일종의 DDos 공격

 

6. 응용 계층

- HTTP GET 플러딩 공격: 특정 사이트에서 F5 키를 누르면 웹 브라우저는 GET 지시자를 이용해 웹 서버에게 지속적으로 기본 페이지를 요청한다. 방화벽에서 동시 접속 제한 설정을 해서 막는다.

구분	공격 내용
HTTP GET 플러딩 공격	반복적으로 GET 지시자 발생
슬로우리스 공격	헤더와 바디의 경계를 조작
러디 공격	헤더의 컨텐츠 길이 조작