정보처리산업기사 D-2

ARP 스푸핑

: 공격자는 특정 호스트의 맥 주소를 자신의 맥주소로 위조한 ARP Reply 패킷을 만들어 희생자에게 지속해서 전송

: 희생자의 ARP 캐시 테이블에 특정 호스트의 MAC 주소가 공격지의 MAC 주소로 변경되어 특정 호스트를 목적지로 하는 패킷이 공격자 호스트로 전달되어 스니핑이 발생

희생자 호스트의 맥 주소 테이블을 확인할 수 있는 윈도우 명령어 : arp -a 

 

관리자가 직접 ARP 캐시 테이블의 각 항목을 정적으로 설정한다. 이를 위한 윈도우 명령어 형식은 arp -s

 

ACK : 송신측에 보낸 데이터가 정상 수신됨

RST : 설정된 연결을 중단

SYN : 연결을 설정 

FIN : 설정된 연결 종료

 

스머프 : 출발지 IP를 희생자 IP로 위조한 후 증폭 네트워크로 ICMP 에코 리퀘스트 메시지를 브로드캐스트 함으로써 대량의 ICMP 에코 리플라이 메시지가 희생자에 전달되어 서비스 거부를 유발시ㅣ는 공격기법

대응방안 : 증폭 네트워크로 사용되는 것을 막기 위해 다른 네트워크로부터 자신의 네트워크로 들어오는 Directed Broadcast 패킷을 허용하지 않도록 라우터 설정 

 

랜드공격 : 출발지 IP 와 목적지 IP가 같은 패킷을 만들어 보냄으로써 수신자가 자기 자신에게 응답을 보내게 하여 시스템의 가용성을 침해하는 공격 

대응방안 : 출발지 IP 와 목적지 IP가 동일한 패킷을 허용하지 않도록 라우터 설정 

해결책 : 침입 차단 시스템 또는 OS패치를 통해 출발지 IP주소와 목적지 IP주소가 동일한 패킷 차단 

 

 

UDP Flooding : 대량의 UDP 패킷 전송 -> 네트워크 대역폭 소진

트리누 : Attacker, Master, Agent로 공격 네트워크 구성

 

DNS 증폭 DRDoS

 

무선랜 구축을 위해 무선 AP에 적용할 보안설정

1. 물리적 보안대책 확보

2. 관리자 모드 접속 비밀번호 설정

3. SSID를 새로운 값으로 변경

4. SSID를 브로드캐스트 하지 않고 숨김 모드로 설정

 

WEP 암호 방식 문제점

1. 짧은 길이의 초기벡터 값의 사용으로 인해 IV 값이 재사용될 가능성이 높음

2. 불안전한 RC4 암호 알고리즘 사용으로 인한 암호키 노출 가능성 높음

3. 짧은 길이의 암호키 사용으로 인한 공격 가능성 높음

4. 암호키 노출로 인한 무선 전송 데이터의 노출 위험성 높음

 

IPsec 

: 전송모드와 터널모드

: AH 프로토콜 전송모드 사용 시 IP 헤더의 변경 가능한 필드를 제외한 IP 패킷 전체를 인증하고, 터널 모드 사용 시 New IP 헤더의 변경 가능한 필드를 제외한 New IP 패킷 전체 인증

 

#conf t

Router(config)# line vty 0

Router(config-line)#password algisa

Router(config-line)# exit 

vty(virtural terminal) 포트는 원격지에서 텔넷 등을 통해 접속하는 가상 터미널 포트로 접속 패스워드로 알기사 설정 

 

ARP 캐시 정적 설정 -> 동적으로 캐시 정보 조작 금지

네트워크상 ARP 트래픽을 실시간으로 모니터링하는 도구를 이용하여 ARP 조작 트래픽 탐지

 

스머프 공격

공격자가 출발지 IP를 희생자 IP로 위조후 증폭 네트워크로 ICMP메시지를 브로드캐스트 하고 있으며

해당 증폭 네트워크의 다수 호스트에 의해 메시지가 희생자에게 전달 

라우터에 directed broadcast를 허용하지 않도록 한다. 

 

앱 보안

 

DNS 서버에 대한 질의를 수행하지 않고 도메인에 대한 IP 주소를 알아내기 위한 설정 파일

윈도우 PC 환경에서 DNS 스푸핑 공격에 대응하기 위해서는 주요 접속 서버의 도메인명에 대한 IP 주소를 파일에 저장

: hosts 파일 

 

파밍 

: DNS 또는 hosts 파일을 변조하여 사용자가 진짜 사이트로 오인하여 접속하도록 유도한 뒤에 개인정보 등을 훔치는 형태의 수법 

 

로컬 DNS 캐시 정보 확인 명령어 : ipconfig / displaydns 

 

웹브라우저의 URL에 대한 DNS 질의

: 1. 로컬시스템에 저장된 DNS 캐시 정보 

2. hosts.ics 파일

3. hosts 파일

4. DNS 서버 질의 

 

DNS 캐시 포이즈닝 공격

: 캐시 정보를 공격자가 조작해 사용자의 DNS 질의 시 캐시의 조작된 정보를 받음으로써 공격자가 만든 가짜 사이트로 접속 유도 

 

DNSSEC : 기존 DNS에 공개키 암호화 방식의 보안 기능을 추가하여 데이터 원천 인증과 데이터 무결성 등 보안 서비스 제공

데이터 위변조 방지

tcp 53 번포트 

 

200 OK

404 Not found 

500 Internal server error 

 

클라이언트쪽에서 인증요청, 데이터 송수신 요청 하는 FTP 모드 : 수동(passive)

능동모드는 서버의 21/tcp 포트를 이용하여 접속하고

20/tcp 포트를 이용해 데이터 전송

 

TFTP (Trivial FTP) : 송수신 프로토콜, 69/udp 사용, 인증과정 없음 

 

SNMP : 네트웤 관리를 위해 시스템이나 네트워크 장비에 설정하는 프로토콜로 원격으로 실시간 상태 모니터링 및 환경설정 기능 수행

IP 네트워크상의 장비로부터 정보를 수집 및 관리하며 정보를 수정하여 장치의 동작을 변경하는데 사용되는 인터넷 표준 프로토콜

SNMP(응용계층) 161번 포트 TRAP 메시지는 162번 포트

community sting : 초기값은 public/private 최근 version3 

 

syslog : 다양한 장비의 로그 메시지를 원격 로그 수집기로 보내 로깅과 분석을 수행하기 위한 UDP 기반 인터넷 표준 프로토콜

SMTP 25 메일 보낼 때 

POP3 110 메일 가져오고 삭제 

IMAP 143 가져와도 존재 

 

REJECT 메일 모두 거부

스팸메일 릴레이 차단설정을 위한 설정 파일 : access 파일

PGP