- 네트워크 상에서 전문 도구를 이용해 공격대상 네트워크의 상태를 조사하여 정보 수집
- 포트가 열려있을 경우: RST
- 포트가 닫혀있을 경우: RST + ACK
- 포트가 열려있을 경우: 응답없음
- 포트가 닫혀있을 경우: ICMP Unreachable 패킷
- 포트가 열려있을 경우: 응답없음
- 포트가 닫혀있을 경우: RST
- 공격대상 시스템의 로그에 기록되지 않는다.
- 방화벽은 통과할 수 있지만 IDS를 완전히 피할 수는 없다.
- 공격대상에게 공격자의 위치를 숨길 수 있다.
- FIN 스캔: TCP FIN 플래그를 설정한 패킷을 공격 대상 시스템에 전송
- X-MAS 스캔: TCP 플래그 값을 모두 설정하거나 일부 값을 설정한 패킷을 공격 대상 시스템에 전송
- Null 스캔: TCP 플래그 값을 설정하지 않은 패킷을 공격 대상 시스템에 전송
- TCP 해더를 두 개의 패킷으로 나누어 공격 대상 시스템에 전송
- 첫 번째 패킷에는 출발지 IP주소와 목적지 IP주소를 저장, 두 번째 패킷에는 스캔하고자 하는 포트 번호를 저장하여 전송
- 스캐너와 스캔 대상 시스템 사이에 설치된 방화벽의 종류와 정책을 판단
- 스캐너와 스캔 대상 시스템 사이에 설치된 방화벽의 종류와 정책을 판단
- 스캔 대상 시스템 및 네트워크 영역을 설정한다.
- 열려있는 포트 번호에 대한 목록을 보여준다.
- 열린 포트에 대한 상태 정보(OS 종류, 방화벽 설치 여부)를 보여준다.
- 제공 서비스에 대한 내용을 보여준다.
- 시스템에서 사용하는 MAC 주소에 대한 정보를 보여준다.
- nmap
- fping: 멀티캐스트 방식 ping
- sing
- FTP 서버가 데이터를 전송할 때 목적지를 검사하지 않는다는 점을 이용
- 익명 FTP 서버를 경유하여 특정 호스트의 포트를 스캔
- 방화벽의 ACL(Access Control List)를 알아내는 방법
- 방화벽까지의 TTL보다 1만틈 더 큰 TTL 값을 생성하여 보냄
- 방화벽이 패킷을 차단할 경우, 응답 없음
- 방화벽이 패킷을 전달할 경우, 패킷은 다음 라우터에서 사라지며 ICMP Time Exceeded 메시지를 보낸다.
- 공격자는 ICMP Time Exceeded 메시지를 받은 포트에 대해 열린 포트임을 알 수 있다.
- 윈도우에서 시스템 정보 수집, 사용자 목록화, 공유 자원 목록화 등을 수행하기 위해 사용되는 프로토콜
| 바이러스 | 웜 | 트로이목마 | |
|---|---|---|---|
| 자기 복제 유무 | O (주목적 X) | O (과부하 유발해 가용성 공격) | X |
| 전파 경로 | 사용자가 전송매체 통해 감염된 파일을 옮김 | 네트워크를 통해 스스로 전파 | 사용자가 정상 프로그램으로 오인하여 실행 |
| 형태 | 감염대상 필요 | 독자적 존재 | 유틸리티 내 코드 형태로 삽입 |
| 주요 증상 | 해당 컴퓨터의 시스템 및 파일 손상 | 네트워크/컴퓨터 성능 저하 | 백도어 설치, 원격 제어 등 |
- 이메일
- P2P
- 공유 폴더
- MS사의 SQL Server를 대상으로 전파되어 서비스 거부 공격 실시
- SQL Server의 버퍼 오버플로 취약점을 이용
- UDP를 사용하여 패킷을 전송
- 감염된 파일의 길이가 증가되지 않은 것처럼
- 여러 단계의 암호화와 다양한 기법으로 바이러스 분석을 어렵게 함
- 부트 바이러스
- 매크로 바이러스
- 파일 바이러스
- 암호화된 바이러스
- 스텔스 바이러스: 바이러스 전체를 숨김
- 폴리모픽 바이러스: 모양을 변경
- 메타모픽 바이러스: 모양 & 활동방법 변경
- 크라임웨어(crimeware): 온라인을 통해 불법적 행동 수행
- 스파이웨어(spyware)
- 애드웨어(adware)
- 오토런 바이러스
- 랜섬웨어(ransomware)
- 논리폭탄: 정상 프로그램에 은폐된 루틴을 삽입하여 논리적 조건이 이루어지면 루틴에 삽입된 명령 실행
- 봇(bot): 몰래 잡입해 있다가 해커의 조정에 따라 시스템을 감염
- 백도어/트랩도어
- 브라우저 하이재커
- 루트킷(rootkit): 관리자 권한을 획득, 공격자가 설치한 파일을 숨김 설정, 프로세스의 보호 설정을 해제, 환경설정 파일/시스템 파일 변경
- 다운로더
- 혹스(Hoax): 거짓 정보나 괴담 등을 실어 사용자를 속이는 가짜 컴퓨터 바이러스
- 악성 자바 코드
- 악성 ActiveX
- 사이버 반달리즘
- 후킹(hooking): 운영체제의 시스템 호출이나 주변기기와의 인터페이스 메시지를 가로채는 기술, 키보드 사용 내역을 가로채는데 사용
- 디페이스: 웹서버를 해킹하여 웹사이트의 화면을 위변조
- 로컬 백도어: 사용자 계정 필요, 시스템에 로그인한 뒤 관리자로 권한 상승
- 원격 백도어
- 시스템 설정 변경 백도어: cron 데몬 사용 (정해진 시간에 프로그램 실행 예약)
- 이메일 + 위조된 하이퍼링크(가짜 웹페이지)
- 호스트 파일 조작, DNS 캐시 포이즈닝, 브라우저 변조
- 문자메시지 + 위조된 링크
- 지인 또는 특정 유명인으로 가장하여 활동
- 친분이 있는 송신자로 위장해 ID 및 패스워드 정보를 요구
- 네트워크 계층과 전송 계층에서 동작 (TCP/IP 헤더 부분만 이용)
- 처리속도 빠르다.
- 패킷에 미리 정해진 규칙 적용
- 종단 간 TCP 연결 허용
- 사용되는 정보: 발신지 IP주소와 목적지 IP주소, 발신지 포트번호와 목적지 포트번호, 트래픽의 방향, 프로토콜의 형태, 패킷의 상태(SYN/ACK)
- 세션 단위의 검사
- TCP 연결 상태 정보 검사
- 프로토콜 상태 정보 테이블 유지
- 종단 간 TCP 연결 허용
- 응용 계층에서 동작
- 전용 proxy
- 종단 간 TCP 연결 허용 X
- NAT 기능 제공
- 강력한 사용자 인증
- 로그 기능 제공
- 세션 계층에서 동작
- 공용 proxy
- 종단 간 TCP 연결 허용 X
- NAT 기능 제공
- 강력한 사용자 인증
- 로그 기능 제공
- 일반 라우터에 패킷 필터링 규칙을 적용하여 방화벽 역할 수행
- 배스천 호스트라고도 한다.
- 접근 제어, 프록시, 인증, 로깅 등 방화벽 기본 기능 수행
- 둘 이상의 네트워크 카드
- 외부 - 스크린라우터 - 배스천호스트 - 내부
- 외부 네트워크와 내부 네트워크 사이에 완충지대를 둔다.
- DMZ(Demilitarized Zone) 네트워크: 웹서버, DNS, 이메일 서버 등
- 외부, 내부 네트워크에서 모두 접속 가능
- 공인 IP 주소 부족 문제 해결
- 내부 시스템의 네트워크 구조 보호
- Normal NAT
- Reverse NAT
- Redirect NAT
- Exclude NAT
- 데이터 수집 → 데이터 필터링 및 축약 → 침입 분석 및 탐지 → 보고 및 대응
- 비교적 정확한 탐지
- 각 시스템 마다 설치 → 다양한 OS 지원 필요
- 시스템 로그, 계정 등 시스템 내부에서 생성되는 정보 분석
- Tripwire: 시스템의 특정한 파일의 변화를 모니터링하여 알려주는 도구
- 독립된 시스템으로 운용
- 선택적 위치에 설치
- 암호화된 패킷 분석 불가
- 패킷 헤더, 데이터 및 트래픽 양, 응용프로그램 로그 등을 분석
- SYN Flooding이나 Packet Storm과 같은 공격 탐지 가능
- tcpdump, wireshark(패킷 캡처)를 이용한 Snort
- 시그니처 안에 포함되면 침입으로 간주 → 미탐(False Negative): 침입이지만 침입이 아니라고 탐지
- 시그니처 업데이트 필요
- 제로데이 공격에 취약
- 정상적 범위에 속하지 않을 경우 침입으로 간주 → 오탐(False Positive): 침입이 아니지만 침입으로 탐지
- 실수 연산을 사용하므로 느리다.
- 제로데이 공격 탐지 가능
- 정상 범위 임계치 설정 어렵다.
- 전사적 보안 관리: 장비가 추가되어도 관리하기 편하도록 한꺼번에 관리
- 로그 수집 기능, 보안 정책 관리, 이벤트 분석 기능, 통합 보고서 기능, 보안 사고 징후 탐지
- 로그 통합해서 분석
- 로그 및 이벤트 수집, 이상현상/공격 실시간 탐지 가능
- 하나의 장비에 여러가지 보안기능을 탑재
- 네트워크 단말 보안
- 전용선 대신 공중망 서비스에 터널링(tunneling) 기법을 이용
- 전용선과 같은 보안과 서비스 품질 보장
- 원격 접속(Remote Access)
- 인트라넷(Intranet)
- 엑스트라넷(Extranet)
- 캡슐화
- 데이터링크 계층
- PPTP, L2F, L2TP(PPTP와 L2F 결합, 패킷 인증/암호화/키 관리 기능을 제공하지 못해서 IPSec과 같이 사용)