제3과목 12. 해킹 및 공격 기법 관련 용어
페이지 정보
본문
12. 해킹 및 공격 기법 관련 용어
⑴ 해킹 및 공격 기법 관련 용어
① 스니핑 (Sniffing)
네트워크 모니터링 툴을 이용해서 네트워크상에서 전송되는 패킷을 분석해서 정보를 알아내는 것.
원래 동일한 회선을 사용하는 같은 네트워크내의 컴퓨터는 다른 컴퓨터가 통신하는 모든 트래픽을 볼 수 있지만 모든 트래픽을 받아들이면 비효율적이므로 LAN 카드는 자신의 MAC address를 갖지 않는 트래픽을 무시하는 필터링 기능을 가지고 있다.
그런데 스니퍼는 바로 이 필터링 기능의 설정을 모든 트래픽을 볼 수 있도록 하는 "Promiscuous mode"로 변경하고 네트워크 상의 모든 패킷을 도청할 수 있게 된다.
② 버퍼 오버플로우 (Buffer Overflow)
버퍼(buffer)란 프로그램 처리 과정에 필요한 데이터가 일시적으로 저장되는 공간으로 메모리의 스택(stack) 영역과 힙(heap) 영역이 여기에 속한다.
버퍼 오버플로우란 말 그대로 이 버퍼를 넘치게(overflow) 하는 것으로서 메모리에 할당된 버퍼의 양을 초과하는 데이터를 입력하여 프로그램의 복귀 주소(return address)를 조작, 궁극적으로 해커가 원하는 코드를 실행하는 것이다.
③ IP Spoofing
호스트나 라우터로 하여금 해커의 패킷이 인증된 네트워크로 부터 온 것으로 착각하게 만드는 해킹 기법. 통신의 확인 과정을 거치는 TCP/IP 프로토콜의 약점을 역이용한 공격 방법이다. 최종적으로는 신뢰할 수 있는 시스템의 IP 주소로 위장함으로써 불법적인 접속이 가능하게 된다.
DoS 공격은 IP Spoofing 기법을 부분적으로 사용하는 경우가 대부분이다. 공격 대상 시스템(Victim)에 접근할 때 IP spoofing을 통하여 신뢰할 수 있는 호스트로 속임으로써 DoS 공격의 효과를 증대시킨다.
④ DoS 공격(Denial of Service Attack)
a. DoS 공격의 정의
공격 목표 호스트(Victim)로 대량의 네트워크 트래픽을 발생시켜 해당 호스트의 정상적인 운영을 방해함으로써 네트워크 서비스 기능을 일시적으로 또는 완전히 정지시키는 공격의 유형 전체를 DoS 공격이라고 한다.
b. Dos 공격의 특징
DoS 공격은 공격 방법이 비교적 단순하고 공격자의 추적이 어려우며 완전한 대책이 없는 경우가 많고 그 효과가 즉시 나타난다.
c. DoS 공격의 원리
Dos 공격의 원리는 간단하다. 공격 대상 호스트의 특정 서비스에 대해서 공격 대상 호스트가 처리할 수 있는 한계를 초과하는 요청을 보내는 것이다. 그렇게 함으로써 공격 대상 호스트를 "서비스 불능(Denial-of-Service)"상태로 만드는 것이다.
d. DoS 공격의 종류
■ 죽음의 핑 : PING은 원래 최고 65535byte로 크기가 제한되어 있다. 제한 이상의 큰 크기의 ICMP Echo 요청 패킷을 보내서 시스템을 기절(!)시킨다. 즉 교착상대로 만들거나 재시작시키는 것이다.
■ Teardrop : IP 패킷의 분할과 재조립 과정의 offset의 약점을 이용하는 공격. 서로 중첩되도록 헤더를 조작한 한 쌍의 IP 패킷 조각들을 전송하여 재조합 과정에서 내부 버퍼를 오버 플로우 시키는 것이다.
■ LAND 공격 : TCP 연결 요청 패킷인 SYN 패킷 헤더의 발신자 주소 및 포트를 조작하여 전송함으로써 네트워크에 SYN 패킷이 포화상태가 되도록 한다. 즉 공격 대상 호스트에 대해 송신 IP 주소와 수신 IP 주소 모두에 대상 호스트의 주소를 넣은 TCP SYN 패킷을 송신하는 것이다. 이렇게 하면 해당 호스트는 패킷을 수신할 때마다 시스템 리소스를 소비하여 나중에는 정상적인 통신에도 응답할 수 없는 상태가 되는 것이다. (IP Spoofing이 전제된다.)
■ SYN Flooding : DoS 공격의 일종으로 TCP 프로토콜을 이용한 연결에서의 Half-Open 원리를 이용하는 공격. 공격 대상 호스트에 반복적으로 TCP 연결 요청(SYN 패킷)을 보낸 뒤에 연결 수락 패킷이 와도 응답하지 않는다. SYN 패킷을 받으면 해당 호스트는 그때마다 TCP 소켓을 오픈해야 하는데 해커의 호스트는 연결 요청만 할 뿐 수락 패킷에 대응하여 통신 패킷을 보내지 않고 오히려 계속 SYN 패킷을 전송하므로 계속 TCP 패킷을 열어야 하기 때문에 결국 시스템 리소스를 과도하게 사용하게 된다.
■ Smurf 공격 : 해당 네트워크의 라우터로 하여금 브로드캐스트 어드레스를 이용하여 서브넷의 모든 호스트에 ICMP echo를 요구한다. 네트워크에 많은 수의 호스트가 있다면 상당히 많은 양의 IMCP echo요구 패킷을 생성하게 되므로 네트워크는 대역폭을 대폭 소비하고 호스트는 대량의 ICMP 패킷으로 인해 시스템 리소스를 낭비하게 되어 통신 불능 상태에 이르게 된다.
⑤ DDoS (Distributed Denial of Service) 공격
DoS 공격의 발전된 형태로서 DoS 공격이 하나의 호스트가 실행하는 것이라면 DDoS는 여러 호스트를 이용해서 동시 다발적으로 이루어지는 것이라고 할 수 있다. 일반적으로 DDoS 공격은 수많은 '좀비(zombie)' 호스트를 이용하여 하나의 공격 대상 호스트를 공격한다.