728x90
- - 인위적으로 출발지 IP주소와 목적지 IP주소를 동일하게 설정하여 변조된 패킷을 전송함으로써, 해당 IP주소를 사용하는 시스템의 과부하 유발
- - TCP 프로토콜의 특정 Flags(SYN, ACK, FIN, RESET 등) 패킷을 대량으로 전송하여 웹서버의 자원 또는 회선 대역폭을 고갈시키는 DDoS 공격
※ Flags에 따라 SYN flooding, ACK Flooding, FIN Flooding 등으로 구분됨
※ TCP Flags : TCP 프로토콜을 이용하여 데이터를 주고받을 때 클라이언트와 서버가 서로 연결되었는지 확인하는 TCP 헤더 옵션
- - ICMP 프로토콜을 이용하는 패킷을 대량으로 전송하여 웹서버의 네트워크 대역폭을 고갈시키는 DDoS 공격
※ ICMP(Internet Control Message Protocol) : 호스트와 서버 사이에서 메시지를 제어하고 에러 발생을 알려주는 프로토콜
- - UDP 프로토콜을 이용하는 패킷을 대량으로 전송하여 웹서버의 네트워크 대역폭을 고갈시키는 DDoS 공격
※ UDP(User Datagram Protocol) : 인터넷상의 시스템들 간에 데이터를 메시지의 형태로 보내기 위해 사용되는 프로토콜로, 데이터가 목적지로 정확히 전달되었는지 보장하지 않음
DDoS 공격 (분산 서비스 거부 공격, Distributed Denial of Service Attack)
- - 다수의 좀비PC를 조종하여 대량의 트래픽을 특정 시스템에 전송함으로써 특정 네트워크 및 시스템의 과부하를 유발하고 정상적인 서비스를 방해하는 공격 형태
ARP 스푸핑(Address Resolution Protocol Spoofing)
- - 동일 네트워크(같은 빌딩, 아파트 등)에 존재하는 공격대상 PC의 IP주소를 해커 자신의 랜카드 주소(MAC)로 연결시켜 다른 PC에 전달되어야 할 정보를 중간에서 가로채는 공격기법
※ ARP : LAN환경에서 IP주소로 컴퓨터의 물리적 주소 (MAC 주소)를 찾을 때 사용되는 프로토콜
- - 해커가 DNS 서버를 해킹하거나, 패킷을 조작하여 특정 도메인에 대응하는 IP주소를 해커가 원하는 IP주소로 위조하는 기법
- 예를 들어 이용자는 국민은행(kbstar.com) 도메인 주소를 입력하였지만, 해커가 DNS서버 자체를 해킹하거나 이용자와 DNS서버 간의 패킷을 조작하여 해커사이트(hacker.com)로 접속시킴
- - 네트워크에 연결된 컴퓨터 구분을 위해 사용되는 IP주소를 속이는 행위로, TCP/IP 프로토콜 자체가 가진 구조적 결함을 이용한 공격
- 전송할 패킷의 발신지 IP주소를 타 컴퓨터의 IP주소로 위조하여 전송함으로써 수신측에서는 공격자인 발신지의 IP주소를 알기 어려움
※ 사례 : DDoS 공격을 할 때 발신지 IP주소를 위조하여, 공격근원지 추적을 어렵게 함
- - 컴퓨터가 다른 컴퓨터와 통신하는 과정에서 필요한 주소(IP, MAC, 이메일 주소 등)를 임의의 다른 값으로 변조하는 행위
※ 스푸핑(Spoofing)의 사전적 의미 : '속이기', '사기치기' 등
- 정상적인 이용자에게 전달될 메시지가 위조된 주소(해커)로 전달되므로 해커는 허가되지 않은 정보를 훔쳐보거나, 인증을 거친 이용자의 세션정보를 중간에서 가로채어 정상적인 서비스를 이용할 수 있음
- - DNS 프로토콜 자체의 취약점을 이용해 캐시 DNS에 저장된 질의 정보를 위·변조하여 공격자가 원하는 주소로 DNS 캐시 정보를 변경시키는 공격을 의미
- 이용자가 질의한 도메인에 대해 공격자가 지정한 사이트로 연결되도록 함으로써 피싱, 악성코드 유포 등에 악용 가능
- - 캐시(Cache)란 데이터를 임시로 저장해 두는 장소를 의미하는데, 이곳에 저장되는 정보를 다른 값으로 위․변조하는 행위
※ 이용자가 최근 열어본 홈페이지에 다시 접속할 때, 브라우저는 웹서버에서 정보를 가져오는 대신 PC에 저장된 캐시를 재사용하여, 불필요한 트래픽을 줄이고 빠른 속도를 제공
- - 전화기에 도청장치를 설치해 대화를 도청하는 것처럼, 해커가 네트워크 상에서 송수신되는 패킷을 수집하여 비밀번호 등을 알아내는 해킹기법
※ Sniffing의 사전적 의미 : ‘코를 킁킁거리다’, ‘냄새를 맡다’
- 정상적인 컴퓨터는 자신의 MAC주소로 오는 정보가 아니면 무시하고 받지 않는데 반해 스니핑 프로그램이 설치된 컴퓨터는 다른 컴퓨터로 가는 트래픽까지 모두 수집하여 정보를 획득
- - 특정 시스템이나 네트워크의 특성을 파악하기 위해 열린 포트, 서비스, 운영체제 및 응용프로그램 버전 등을 사전에 알아보는 행위로, 보안 분야에서는 해킹의 사전단계를 의미 (※ 스캐닝이라고 불리기도 함)
- 예를 들면, 해커는 공격대상 시스템에 21번(FTP) 포트가 열려있는지 스캔하고, 21번 포트가 열려있으면 이를 이용해 공격
※ TCP/21 : 인터넷상에서 서버와 클라이언트 간 파일전송 서비스를 위해 사용하는 포트
※ 컴퓨터 간에 통신을 할 때 1~65535까지의 포트번호 중 하나를 지정하여 특정 통신을 하며, 잘 알려진 포트에는 파일전송(21번), 원격접속(23번), 웹(80번) 등이 있음
- - 문자메시지(SMS)와 피싱(Phishing)의 합성어
- 스마트폰 이용자를 현혹하는 문자메세지와 악성링크를 통해 악성앱이 설치되도록 유도하여 결제를 유도하거나 개인정보, 금융정보 등을 탈취하는 금융사기 수법
※ 코로나-19 등 사회적 관심사, 이벤트 혜택, 카드결제, 택배나 등기우편, 검찰소환 등 이용자가 문자메시지를 무시하기 어렵도록 지능적으로 변모
- - 웹브라우저에서 정상적인 홈페이지 주소를 입력해도 위조된 홈페이지로 연결시켜 개인정보나 금융정보 등을 탈취하는 방식
※ 위조 사이트로 접속을 유도하는 '피싱'과 달리 '파밍'은 위조 사이트로 강제 이동시킴
- 해커는 개인PC를 악성코드에 감염시켜 호스트파일을 변조시키거나, DNS서버 자체를 해킹한 후 DNS 정보를 변조시키는 방법 등을 이용함
※ DNS(Domain Name System) : 사람이 인식하기 쉽게 문자로 만들어진 도메인 이름을 컴퓨터가 처리할 수 있는 IP주소로 변환하는 시스템
- - '개인정보(Private data)를 낚는다(fishing)'라는 의미의 합성어
- 해커가 사람의 마음을 현혹하여 개인정보를 탈취하거나, 사용자 스스로 송금 또는 결제하도록 유도하는 일종의 온라인 사기수법
- 초기에는 해커가 가짜 홈페이지를 구축한 뒤, 이용자에게 가짜 홈페이지에 개인정보를 입력하도록 유도하여 개인정보를 수집하는 행위를 의미하였음
- 최근에는 메신저, 음성 등을 포함한 포괄적인 사기형태를 일컬음
- - 컴퓨터 또는 시스템의 정당한 접근권한 없이 또는 허용된 접근권한을 초과하여 정보통신시스템에 침입하는 행위 [망법 제48조 1항, 3항에 의한 정의]
- 예를 들어, 아이디, 비밀번호 탈취 후 타인의 시스템에 접속하여 정보를 유출하거나 취약점을 악용하여 시스템에 침입 또는 파괴하는 행위
- 최근에는 악성코드 및 해킹기법을 복합적으로 활용하여 해킹하는 추세
☞ APT공격, DDoS 공격 등 세부 해킹유형에 대한 설명은 “해킹기법” 참조
KISA 보호나라&KrCERT/CC
KISA 보호나라&KrCERT/CC
www.krcert.or.kr
728x90
'Network tech > 네트워크 기초' 카테고리의 다른 글
| [컴퓨터 네트워크]"네트워크 중요성"과 인터넷의 기초" (0) | 2024.06.12 |
|---|---|
| [네트워크, network] 네트워크 기초 용어_5 (1) | 2023.11.19 |
| [네트워크, network] 네트워크 기초 용어_4 (1) | 2023.11.19 |
| [네트워크, network] 네트워크 기초 용어_3 (0) | 2023.11.19 |
| [네트워크, network] 네트워크 기초 용어_2 (1) | 2023.11.19 |
