서비스 공격 유형 & 네트워크 침해 공격 유형

핵심 Keyword

1. 서비스 공격 유형 : Ping of Death, SMURFING, SYN Flooding, TearDrop, LAND Attack, DDos 공격

2. 네트워크 침해 공격 유형 : 세션 하이재킹 (Session Hijacking), 

---

서비스 거부 (DoS; Denial of Service) 공격

서비스 거부 공격이란 표적이 되는 서버의 자원을 고갈시킬 목적으로 다수의 공격자 또는 시스템에서 대량의 데이터를 한 곳의 서버에 집중적으로 전송함으로써, 표적이 되는 서버의 정상적인 기능을 방해하는 것입니다. 

 

Pint of Death (죽음의 핑)

Ping of Death 는 Ping 명령을 전송할 때 패킷의 크기를 인터넷 프로토콜 허용 범위 이상으로 전송하여 공격 대상의 네트워크를 마비시키는 서비스 거부 공격 방법입니다. 공격에 사용되는 큰 패킷은 수백 개의 패킷으로 분할되어 전송되는데, 공격 대상은 분할된 대량의 패킷을 수신함으로써 분할되어 전송된 각각의 패킷들의 ICMP Ping 메시지에 대한 응답을 처리하느라 시스템이 다운되게 됩니다. 

 

SMURFING (스머핑)

SMURFING 은 IP나 ICMP 의 특성을 악용하여 엄청난 양의 데이터를 한 사이트에 집중적으로 보냄으로써 네트워크를 불능 상태로 만드는 공격 방법입니다. 공격자는 송신 주소를 공격 대상지의 IP 주소로 위장하고 해당 네트워크 라우터의 브로드캐스트 주소를 수신지로 하여 패킷을 전송하면, 라우터의 브로드캐스트 주소로 수신된 패킷은 해당 네트워크 내의 모든 컴퓨터로 전송됩니다. 해당 네트워크 내의 모든 컴퓨터는 수신된 패킷에 대한 응답 메시지를 송신 주소인 공격 대상지로 집중적으로 전송하게 되는데, 이로 인해 공격 대상지는 네트워크 과부하로 인해 정상적인 서비스를 수행할 수 없게 됩니다. SMURFING 공격을 무력화하는 방법 중 하나는 각 네트워크 라우터에서 브로드캐스트 주소를 사용할 수 없게 미리 설정해 놓는 것입니다. 

 

SYN Flooding

TCP(Transmission Control Protocol) 는 신뢰성 있는 전송을 위해 3-way-handshake 를 거친 후에 데이터를 전송하게 되는데, SYN Flooding 은 공격자가 가상의 클라이언트로 위장하여 3-way-handshake 과정을 의도적으로 중단시킴으로써 공격 대상지인 서버가 대기 상태에 놓여 정상적인 서비스를 수행하지 못하게 하는 공격 방법입니다. SYN Flooding 에 대비하기 위해 수신지의 'SYN' 수신 대기 시간을 줄이거나 침입 차단 시스템을 활용합니다. 

 

TearDrop

데이터의 송&수신 과정에서 패킷의 크기가 커 여러 개로 분할되어 전송될 때 분할 순서를 알 수 있도록 Fragment Offset 값을 함께 전송하는데, TearDrop 은 이 Offset 값을 변경시켜 수신 측에서 패킷을 재조립할 때 오류로 인한 과부하를 발생시킴으로써 시스템이 다운되도록 하는 공격 방법입니다. TearDrop 에 대비하기 위해 Fragment Offset 이 잘못된 경우 해당 패킷을 폐기하도록 설정할 수 있습니다. 

 

LAND Attack (Local Area Network Denial Attack)

LAND Attack 은 패킷을 전송할 때 송신 IP 주소와 수신 IP 주소를 모두 공격 대상의 IP 주소로 하여 공격 대상에게 전송하는 것으로, 이 패킷을 받은 공격 대상은 송신 IP 주소가 자신이므로 자신에게 응답을 수행하게 되는데, 이러한 패킷이 계속해서 전성될 경우 자신에 대해 무한히 응답하게 하는 공격입니다. LAND Attack 에 대비하기 위해 송신 IP 주소와 수신 IP 주소의 적절성을 검사합니다. 

 

DDoS (Distributed Denial of Service, 분산 서비스 거부) 공격

DDoS 공격은 여러 곳에 분산된 공격 지점에서 한 곳의 서버에 대해 분산 서비스 공격을 수행하는 것입니다. 네트워크에서 취약점이 있는 호스트들을 탐색한 후 이들 호스트들에 분산 서비스 공격용 툴(데몬, Daemon)을 설치하여 에이전트(Agent)로 만든 후 DDoS 공격에 이용합니다. 

 

데몬 Daemon 의 유형

Trin00 
: 가장 초기 형태의 데몬으로, 주로 UDP Flooding 공격을 수행합

TFN(Tribe Flood Network)
: UDP Flooding 뿐만 아니라 TCP SYN Flood 공격, ICMP 응답 요청, 스머핑 공격 등을 수행합니다. 

TFN2K
: TFN 의 확장판입니다. 

Stacheldraht
: 이전 툴들의 기능을 유지하면서, 공격자, 마스터, 에이전트가 쉽게 노출되지 않도록 암호화된 통신을 수행합니다. 툴이 자동으로 업데이트되는 특징이 있습니다. 

 

세션 하이재킹 (Session Hijacking)

세션 하이재킹은 '세션을 가로채다'라는 의미로, 정상적인 연결을 RST 패킷을 통해 종료시킨 후 재연결 시 희생자가 아닌 공격자에게 연결하는 공격 기법입니다. TCP 세션 하이재킹은 공격자가 TCP 3-Way-Handshake 과정에 끼어듦으로써 서버와 상호 간의 동기화된 시퀀스 번호를 갖고 인가 되지 않은 시스템의 기능을 이용하거나 중요한 정보에 접근할 수 있게 됩니다.

세션 하이재킹의 정확한 정의는 다음과 같습니다. 세션 하이재킹은 상호 인증 과정을 거친 후 접속해 있는 서버와 서로 접속되어 클라이언트 사이의 세션 정보를 가로채는 공격 기법으로, 접속을 위한 인증 정보 없이도 가로챈 세션을 이용해 공격자가 원래의 클라이언트인 것처럼 위장하여 서버의 자원이나 데이터를 무단으로 사용하는 것을 의미합니다. TCP 3-Way-Handshake 과정이 끼어듦으로써 클라이언트와 서버 간이 동기화된 시퀀스 번호를 가로채 서버에 무단으로 접근하는 TCP 세션 하이재킹이 대표적입니다.