등산 수송 경제적인 스토브
확장하다

네트워크 수준에서 수행되는 능동적 공격입니다. 원격 공격 분류

05/06/20 37.3K

인터넷은 일, 공부, 여가 등 우리의 삶의 방식을 완전히 변화시킵니다. 이러한 변화는 우리가 이미 알고 있는 영역(전자 상거래, 실시간 정보에 대한 접근, 커뮤니케이션 기능 향상 등)과 우리가 아직 알지 못하는 영역 모두에서 발생할 것입니다.

기업이 모든 전화 통화를 인터넷을 통해 완전히 무료로 할 때가 올 수도 있습니다. 사생활에서는 부모가 자녀가 어떻게 지내는지 언제든지 알 수 있는 특별한 웹 사이트가 나타날 수 있습니다. 우리 사회는 이제 막 인터넷의 무한한 가능성을 깨닫기 시작했습니다.

소개

인터넷의 인기가 엄청나게 높아짐과 동시에 개인 데이터, 중요한 기업 자원, 국가 기밀 등이 공개될 수 있는 전례 없는 위험이 발생하고 있습니다.

매일 해커들은 한편으로는 점점 더 정교해지고 다른 한편으로는 실행하기 쉬워지는 특수 공격을 사용하여 이러한 리소스에 액세스하려고 시도함으로써 이러한 리소스를 위협합니다. 여기에는 두 가지 주요 요인이 기여합니다.

첫째, 이것은 인터넷의 광범위한 보급입니다. 현재 수백만 개의 장치가 인터넷에 연결되어 있으며 가까운 미래에는 수백만 개의 장치가 인터넷에 연결될 것이므로 해커가 취약한 장치에 액세스할 가능성이 점점 더 커지고 있습니다.

또한, 인터넷의 광범위한 사용으로 인해 해커들이 정보를 교환할 수 있게 되었습니다. 글로벌 규모로. "해커", "해킹", "해킹", "크랙" 또는 "프리크"와 같은 키워드를 간단히 검색하면 수천 개의 사이트가 표시되며, 그 중 다수에는 악성 코드와 사용 방법이 포함되어 있습니다.

둘째, 이는 사용하기 쉬운 운영 체제 및 개발 환경의 가장 광범위한 배포판입니다. 이 요소는 해커에게 필요한 지식과 기술 수준을 급격히 감소시킵니다. 이전에는 사용하기 쉬운 애플리케이션을 만들고 배포하려면 해커가 좋은 프로그래밍 기술을 가지고 있어야 했습니다.

이제 해커 도구에 액세스하려면 원하는 사이트의 IP 주소만 알고 있으면 되며, 마우스 클릭 한 번으로 공격을 수행할 수 있습니다.

네트워크 공격 분류

네트워크 공격은 표적이 되는 시스템만큼 다양합니다. 일부 공격은 매우 복잡하지만 다른 공격은 자신의 활동의 결과를 상상조차 하지 못하는 일반 운영자의 능력 내에 있습니다. 공격 유형을 평가하려면 TPC/IP 프로토콜의 본질적인 한계 중 일부를 알아야 합니다. 그물

인터넷은 사람들 사이의 의사소통을 위해 만들어졌습니다. 정부 기관교육 과정을 지원하는 대학과 과학적 연구. 이 네트워크의 제작자는 그것이 얼마나 널리 퍼질지 전혀 몰랐습니다. 결과적으로 사양은 이전 버전인터넷 프로토콜(IP)에는 보안 요구 사항이 부족했습니다. 이것이 바로 많은 IP 구현이 본질적으로 취약한 이유입니다.

수년 후, 많은 불만(Request for Comments, RFC) 끝에 마침내 IP에 대한 보안 조치가 구현되기 시작했습니다. 그러나 IP 프로토콜에 대한 보안 조치가 초기에 개발되지 않았기 때문에 모든 구현은 이 프로토콜에 내재된 위험을 줄이는 다양한 네트워크 절차, 서비스 및 제품으로 보완되기 시작했습니다. 다음으로, IP 네트워크에 일반적으로 사용되는 공격 유형을 간략하게 살펴보고 이에 대응하는 방법을 나열하겠습니다.

패킷 스니퍼

패킷 스니퍼는 무차별 모드에서 작동하는 네트워크 카드를 사용하는 응용 프로그램입니다. 이 모드에서는 네트워크 어댑터가 처리를 위해 물리적 채널을 통해 수신된 모든 패킷을 응용 프로그램으로 보냅니다.

이 경우 스니퍼는 특정 도메인을 통해 전송되는 모든 네트워크 패킷을 차단합니다. 현재 스니퍼는 완전히 합법적인 네트워크에서 운영됩니다. 이는 결함 진단 및 트래픽 분석에 사용됩니다. 그러나 일부 네트워크 응용 프로그램은 데이터를 텍스트 형식으로 전송하기 때문에( 텔넷, FTP, SMTP, POP3 등.), 스니퍼를 사용하면 유용하고 때로는 기밀 정보(예: 사용자 이름 및 비밀번호)를 찾을 수 있습니다.

사용자가 여러 애플리케이션과 시스템에 동일한 로그인과 비밀번호를 사용하는 경우가 많기 때문에 로그인 및 비밀번호 가로채기는 큰 위협이 됩니다. 많은 사용자는 일반적으로 모든 리소스와 애플리케이션에 액세스하기 위한 단일 비밀번호를 가지고 있습니다.

애플리케이션이 클라이언트-서버 모드에서 실행되고 인증 데이터가 읽을 수 있는 텍스트 형식으로 네트워크를 통해 전송되는 경우 이 정보는 다른 회사 또는 외부 리소스에 액세스하는 데 사용될 가능성이 높습니다. 해커는 인간의 약점을 너무 잘 알고 악용합니다(공격 방법은 종종 사회 공학적 방법을 기반으로 함).

그들은 우리가 동일한 비밀번호를 사용하여 많은 리소스에 액세스한다는 사실을 잘 알고 있으므로 비밀번호를 알아낸 후 리소스에 액세스하는 데 성공하는 경우가 많습니다. 중요한 정보. 최악의 경우 해커는 사용자 리소스에 대한 시스템 수준 액세스 권한을 획득하고 이를 사용하여 언제든지 네트워크와 해당 리소스에 액세스하는 데 사용할 수 있는 새 사용자를 생성합니다.

다음 도구를 사용하면 패킷 스니핑 위협을 줄일 수 있습니다.:

입증. 강력한 인증은 패킷 스니핑에 대한 가장 중요한 방어입니다. "강력하다"는 것은 우회하기 어려운 인증 방법을 의미합니다. 이러한 인증의 예로 OTP(일회용 비밀번호)가 있습니다.

OTP는 가지고 있는 것과 알고 있는 것을 결합하는 2단계 인증 기술입니다. 이중 인증의 전형적인 예는 일반 ATM의 작동으로, 첫 번째는 플라스틱 카드로, 두 번째는 입력한 PIN 코드로 사용자를 식별합니다. OTP 시스템에서 인증을 위해서는 PIN 코드와 개인 카드도 필요합니다.

"카드"(토큰)란 무작위 원칙에 따라 고유한 일회용 비밀번호를 생성하는 하드웨어 또는 소프트웨어 도구를 의미합니다. 해커가 알아낸 경우 주어진 비밀번호스니퍼를 사용하면 이 정보는 쓸모가 없게 됩니다. 왜냐하면 이 시점에서 비밀번호는 이미 사용되어 폐기되었기 때문입니다.

스니핑을 방지하는 이 방법은 비밀번호를 가로채는 경우에만 효과적입니다. 다른 정보(예: 이메일 메시지)를 가로채는 스니퍼는 여전히 효과적입니다.

전환된 인프라. 네트워크 환경에서 패킷 스니핑을 방지하는 또 다른 방법은 전환형 인프라를 만드는 것입니다. 예를 들어 조직 전체가 전화 접속 이더넷을 사용하는 경우 해커는 자신이 연결된 포트로 들어오는 트래픽에만 액세스할 수 있습니다. 전환된 인프라는 스니핑 위협을 제거하지는 못하지만 심각도를 크게 줄여줍니다.

안티스니퍼. 스니핑을 방지하는 세 번째 방법은 네트워크에서 실행되는 스니퍼를 인식하는 하드웨어나 소프트웨어를 설치하는 것입니다. 이러한 도구는 위협을 완전히 제거할 수는 없지만 다른 많은 네트워크 보안 도구와 마찬가지로 공통 시스템보호. 안티스니퍼는 호스트 응답 시간을 측정하고 호스트가 불필요한 트래픽을 처리해야 하는지 여부를 결정합니다. LOpht Heavy Industries에서 제공하는 이러한 제품 중 하나가 AntiSniff입니다.

암호화. 이 하나 효과적인 방법패킷 스니핑에 맞서 싸우고 있습니다. 비록 가로채기를 방지하지 못하고 스니퍼의 작업을 인식하지 못하지만 이 작업을 쓸모없게 만듭니다. 통신 채널이 암호화되어 안전하다면 해커는 메시지를 가로채는 것이 아니라 암호문(즉, 이해할 수 없는 비트 시퀀스)을 가로채는 것입니다. Cisco 네트워크 계층 암호화는 IP 프로토콜을 사용하는 장치 간 보안 통신을 위한 표준 방법인 IPSec를 기반으로 합니다. 기타 암호화 네트워크 관리 프로토콜로는 SSH(Secure Shell) 및 SSL(Secure Socket Layer) 프로토콜이 있습니다.

IP 스푸핑

IP 스푸핑은 기업 내부 또는 외부의 해커가 인증된 사용자를 사칭할 때 발생합니다. 이는 두 가지 방법으로 수행될 수 있습니다. 해커는 승인된 IP 주소 범위 내에 있는 IP 주소를 사용하거나 특정 네트워크 리소스에 대한 액세스가 허용되는 승인된 외부 주소를 사용할 수 있습니다.

IP 스푸핑 공격은 종종 다른 공격의 시작점이 됩니다. 전형적인 예는 다른 사람의 주소에서 시작하여 해커의 실제 신원을 숨기는 DoS 공격입니다.

일반적으로 IP 스푸핑은 클라이언트와 서버 애플리케이션 간에 또는 피어 장치 간의 통신 채널을 통해 전송되는 정상적인 데이터 흐름에 잘못된 정보나 악의적인 명령을 삽입하는 것으로 제한됩니다.

양방향 통신을 위해 해커는 모든 라우팅 테이블을 변경하여 트래픽을 잘못된 IP 주소로 보내야 합니다. 그러나 일부 해커는 응용 프로그램으로부터 응답을 얻으려고 시도조차 하지 않습니다. 주요 목표가 시스템에서 중요한 파일을 가져오는 것이라면 응용 프로그램의 응답은 중요하지 않습니다.

해커가 라우팅 테이블을 변경하고 트래픽을 잘못된 IP 주소로 보내는 경우, 그는 모든 패킷을 수신하고 마치 승인된 사용자인 것처럼 응답할 수 있습니다.

다음 조치를 통해 스푸핑 위협을 완화할 수 있지만 제거할 수는 없습니다.

  • 액세스 제어. IP 스푸핑을 방지하는 가장 쉬운 방법은 액세스 제어를 올바르게 구성하는 것입니다. IP 스푸핑의 효율성을 줄이려면 네트워크 내부에 있어야 하는 소스 주소를 사용하여 외부 네트워크에서 들어오는 모든 트래픽을 거부하도록 액세스 제어를 구성하십시오.

    사실, 이는 내부 주소만 인증된 경우 IP 스푸핑을 방지하는 데 도움이 됩니다. 일부 외부 네트워크 주소도 인증된 경우 이 방법은 효과가 없습니다.

  • RFC 2827 필터링. 네트워크의 사용자가 다른 사람의 네트워크를 스푸핑하는 것을 방지하고 훌륭한 온라인 시민이 될 수 있습니다. 이렇게 하려면 소스 주소가 조직의 IP 주소 중 하나가 아닌 모든 나가는 트래픽을 거부해야 합니다.

    RFC 2827이라고 하는 이러한 유형의 필터링은 인터넷 서비스 공급자(ISP)에서도 수행할 수 있습니다. 결과적으로 특정 인터페이스에서 예상되는 소스 주소가 없는 모든 트래픽은 거부됩니다. 예를 들어, ISP가 IP 주소 15.1.1.0/24에 대한 연결을 제공하는 경우 15.1.1.0/24에서 발생하는 트래픽만 해당 인터페이스에서 ISP의 라우터로 허용되도록 필터를 구성할 수 있습니다.

모든 공급자가 이러한 유형의 필터링을 구현할 때까지는 그 효율성이 가능한 것보다 훨씬 낮습니다. 또한 필터링 대상 장치로부터 멀어질수록 정확한 필터링이 어려워집니다. 예를 들어, 액세스 라우터 수준에서 RFC 2827 필터링을 수행하려면 기본 네트워크 주소(10.0.0.0/8)에서 모든 트래픽을 전달해야 하지만, 배포 수준(특정 아키텍처에서)에서는 트래픽을 보다 정확하게 제한할 수 있습니다(주소 - 10.1.5.0/24).

IP 스푸핑에 대처하는 가장 효과적인 방법은 패킷 스니핑의 경우와 동일합니다. 즉, 공격을 완전히 무효화해야 합니다. IP 스푸핑은 인증이 IP 주소를 기반으로 하는 경우에만 작동할 수 있습니다.

따라서 추가적인 인증 방법을 도입하면 이러한 공격이 쓸모 없게 됩니다. 가장 좋은 추가 인증 유형은 암호화입니다. 이것이 가능하지 않은 경우 일회용 비밀번호를 사용한 이중 인증을 사용하면 좋은 결과를 얻을 수 있습니다.

서비스 거부

서비스 거부(DoS)는 의심할 여지 없이 가장 잘 알려진 해킹 공격 형태입니다. 또한 이러한 유형의 공격은 100% 보호를 생성하기가 가장 어렵습니다. 해커들 사이에서 DoS 공격은 아이들의 장난으로 간주되며 DoS를 조직하려면 최소한의 지식과 기술이 필요하기 때문에 DoS 공격을 사용하면 경멸적인 웃음이 나옵니다.

그럼에도 불구하고 DoS가 네트워크 보안을 담당하는 관리자의 세심한 관심을 끄는 것은 바로 구현의 용이성과 엄청난 규모의 피해 때문입니다. DoS 공격에 대해 자세히 알아보려면 다음과 같은 가장 유명한 유형을 고려해야 합니다.

  • TCP SYN 플러드;
  • 죽음의 핑;
  • 부족 홍수 네트워크(TFN) 및 부족 홍수 네트워크 2000(TFN2K);
  • 트린코;
  • Stacheldracht;
  • 삼위 일체.

안전 정보를 얻을 수 있는 훌륭한 소스는 비상 대응팀입니다. 컴퓨터 문제(Computer Emergency Response Team, CERT)는 DoS 공격 퇴치에 관한 훌륭한 연구 결과를 발표했습니다.

DoS 공격은 다른 유형의 공격과 다릅니다. DoS 공격은 네트워크에 액세스하거나 해당 네트워크에서 정보를 얻는 것을 목표로 하지 않습니다. 그러나 DoS 공격은 네트워크, 운영 체제 또는 응용 프로그램의 허용 가능한 한도를 초과하여 네트워크를 정상적으로 사용할 수 없도록 만듭니다.

일부 서버 애플리케이션(예: 웹 서버 또는 FTP 서버)의 경우 DoS 공격에는 해당 애플리케이션에서 사용 가능한 모든 연결을 장악하고 이를 점유 상태로 유지하여 일반 사용자에게 서비스를 제공하지 못하게 할 수 있습니다. DoS 공격은 TCP 및 ICMP와 같은 일반적인 인터넷 프로토콜을 사용할 수 있습니다( 인터넷 제어 메시지 프로토콜).

대부분의 DoS 공격은 소프트웨어 버그나 보안 허점을 대상으로 하는 것이 아니라 시스템 아키텍처의 일반적인 약점을 대상으로 합니다. 일부 공격은 원치 않는 불필요한 패킷이나 네트워크 리소스의 현재 상태에 대한 오해의 소지가 있는 정보를 네트워크에 대량으로 유입시켜 네트워크 성능을 저하시킵니다.

이러한 유형의 공격은 공급자와의 조정이 필요하기 때문에 예방하기 어렵습니다. 공급자에서 네트워크를 압도하려는 트래픽을 중지하지 않으면 모든 대역폭이 점유되므로 더 이상 네트워크 입구에서 이 작업을 수행할 수 없습니다. 공격할 때 이런 유형의여러 장치를 통해 동시에 수행되는 분산 DoS 공격(분산 DoS, DDoS)에 대해 이야기하고 있습니다.

DoS 공격의 위협은 다음 세 가지 방법으로 줄일 수 있습니다.

  • 스푸핑 방지 기능. 라우터와 방화벽에 스푸핑 방지 기능을 올바르게 구성하면 DoS 위험을 줄이는 데 도움이 됩니다. 이러한 기능에는 최소한 RFC 2827 필터링이 포함되어야 하며, 해커가 자신의 실제 신원을 위장할 수 없다면 공격을 수행할 가능성은 거의 없습니다.
  • DoS 방지 기능. 라우터와 방화벽에서 DoS 방지 기능을 올바르게 구성하면 공격의 효과가 제한될 수 있습니다. 이러한 기능은 특정 시간에 반쯤 열린 채널의 수를 제한하는 경우가 많습니다.
  • 트래픽 속도 제한. 조직에서는 ISP(인터넷 서비스 공급자)에게 트래픽 양을 제한하도록 요청할 수 있습니다. 이러한 유형의 필터링을 사용하면 네트워크를 통과하는 중요하지 않은 트래픽의 양을 제한할 수 있습니다. 일반적인 예는 진단 목적으로만 사용되는 ICMP 트래픽의 볼륨을 제한하는 것입니다. (D)DoS 공격은 종종 ICMP를 사용합니다.

비밀번호 공격

해커는 무차별 대입 공격, 트로이 목마, IP 스푸핑, 패킷 스니핑 등 다양한 방법을 사용하여 비밀번호 공격을 수행할 수 있습니다. IP 스푸핑이나 패킷 스니핑 등을 통해 로그인 정보와 비밀번호를 알아내는 경우가 많지만, 해커들이 여러 차례 접속 시도를 통해 비밀번호와 로그인을 추측하는 경우가 많다. 이러한 접근 방식을 단순 검색(무차별 대입 공격)이라고 합니다.

이러한 공격에서는 공용 리소스(예: 서버)에 대한 액세스 권한을 얻으려는 특수 프로그램을 사용하는 경우가 많습니다. 결과적으로 해커에게 리소스에 대한 액세스 권한이 부여되면 비밀번호가 선택된 일반 사용자의 권한으로 해당 리소스를 받게 됩니다.

이 사용자에게 상당한 액세스 권한이 있는 경우 해커는 사용자가 비밀번호와 로그인을 변경하더라도 유효하게 유지되는 향후 액세스를 위한 "패스"를 생성할 수 있습니다.

사용자가 회사, 개인 및 인터넷 시스템 등 많은 시스템에 액세스하기 위해 동일한(아주 좋은) 비밀번호를 사용할 때 또 다른 문제가 발생합니다. 비밀번호의 강도는 가장 약한 호스트의 강도와 동일하므로 해당 호스트를 통해 비밀번호를 알아낸 해커는 동일한 비밀번호가 사용되는 다른 모든 시스템에 액세스할 수 있습니다.

일반 텍스트 비밀번호를 사용하지 않으면 비밀번호 공격을 피할 수 있습니다. 일회용 비밀번호 및/또는 암호화 인증을 사용하면 이러한 공격의 위협을 사실상 제거할 수 있습니다. 불행하게도 모든 애플리케이션, 호스트 및 장치가 위의 인증 방법을 지원하는 것은 아닙니다.

일반 비밀번호를 사용할 때는 추측하기 어려운 비밀번호를 만드세요. 최소 비밀번호 길이는 8자 이상이어야 합니다. 비밀번호에는 대문자, 숫자, 특수 문자(#, %, $ 등)가 포함되어야 합니다.

최고의 비밀번호는 추측하기 어렵고 기억하기 어렵기 때문에 사용자가 종이에 적어야 합니다. 이를 방지하기 위해 사용자와 관리자는 최근의 다양한 기술 발전을 사용할 수 있습니다.

예를 들어, 포켓 컴퓨터에 저장할 수 있는 비밀번호 목록을 암호화하는 응용 프로그램이 있습니다. 결과적으로, 사용자는 하나의 복잡한 비밀번호만 기억하면 되며, 다른 모든 비밀번호는 애플리케이션에 의해 안정적으로 보호됩니다.

관리자가 비밀번호 추측을 방지하는 방법에는 여러 가지가 있습니다. 그 중 하나는 해커가 Windows NT 환경에서 암호를 추측하는 데 자주 사용하는 L0phtCrack 도구를 사용하는 것입니다. 이 도구는 사용자가 선택한 비밀번호가 추측하기 쉬운지 여부를 빠르게 보여줍니다. 자세한 내용은 http://www.l0phtcrack.com/을 방문하세요.

중간자 공격

중간자 공격의 경우 해커는 네트워크를 통해 전송된 패킷에 액세스해야 합니다. 예를 들어, 공급자로부터 다른 네트워크로 전송되는 모든 패킷에 대한 액세스는 해당 공급자의 직원이 얻을 수 있습니다. 이러한 유형의 공격에는 패킷 스니퍼, 전송 프로토콜 및 라우팅 프로토콜이 자주 사용됩니다.

공격은 정보 도용, 현재 세션 가로채기, 사설 네트워크 리소스에 대한 액세스 획득, 트래픽 분석 및 네트워크와 사용자에 대한 정보 획득, DoS 공격 수행, 전송된 데이터 왜곡 및 무단 정보 입력을 목적으로 수행됩니다. 네트워크 세션에 들어갑니다.

중간자 공격은 암호화를 통해서만 효과적으로 대처할 수 있습니다. 해커가 암호화된 세션에서 데이터를 가로채면 화면에 나타나는 것은 가로채는 메시지가 아니라 의미 없는 문자 집합입니다. 해커가 암호화 세션에 대한 정보(예: 세션 키)를 획득하면 암호화된 환경에서도 중간자 공격이 가능해질 수 있습니다.

애플리케이션 수준 공격

애플리케이션 수준 공격은 여러 가지 방법으로 수행될 수 있습니다. 그 중 가장 일반적인 것은 서버 소프트웨어(sendmail, HTTP, FTP)의 잘 알려진 약점을 사용하는 것입니다. 이러한 약점을 악용함으로써 해커는 응용 프로그램을 실행하는 사용자(일반적으로 일반 사용자가 아니라 시스템 액세스 권한이 있는 권한 있는 관리자)로서 컴퓨터에 액세스할 수 있습니다.

응용 프로그램 수준 공격에 대한 정보는 관리자가 수정 모듈(패치)을 사용하여 문제를 수정할 수 있는 기회를 제공하기 위해 널리 게시됩니다. 불행하게도 많은 해커들도 이 정보에 접근하여 개선할 수 있습니다.

애플리케이션 수준 공격의 주요 문제점은 해커가 방화벽 통과가 허용된 포트를 자주 사용한다는 것입니다. 예를 들어, 웹 서버의 알려진 약점을 악용하는 해커는 TCP 공격에서 포트 80을 사용하는 경우가 많습니다. 웹 서버는 사용자에게 웹 페이지를 제공하므로 방화벽은 이 포트에 대한 액세스를 제공해야 합니다. 방화벽의 관점에서 보면 공격은 포트 80의 표준 트래픽으로 처리됩니다.

애플리케이션 수준 공격을 완전히 제거할 수는 없습니다. 해커들은 인터넷상의 응용 프로그램에서 새로운 취약점을 지속적으로 발견하고 게시하고 있습니다. 여기서 가장 중요한 것은 좋은 시스템 관리입니다. 이러한 유형의 공격에 대한 취약성을 줄이기 위해 취할 수 있는 몇 가지 조치는 다음과 같습니다.

  • 운영 체제 및 네트워크 로그 파일을 읽거나 특수 분석 응용 프로그램을 사용하여 분석합니다.
  • 애플리케이션 취약점 보고 서비스인 Bugtrad(http://www.securityfocus.com)에 가입하세요.

네트워크 인텔리전스

네트워크 인텔리전스는 공개적으로 사용 가능한 데이터와 애플리케이션을 사용하여 네트워크 정보를 수집하는 것을 의미합니다. 네트워크에 대한 공격을 준비할 때 해커는 일반적으로 네트워크에 대해 가능한 한 많은 정보를 얻으려고 합니다. 네트워크 정찰은 DNS 쿼리, 핑 및 포트 스캐닝의 형태로 수행됩니다.

DNS 쿼리는 특정 도메인을 소유한 사람과 해당 도메인에 할당된 주소를 이해하는 데 도움이 됩니다. DNS에 의해 밝혀진 주소를 핑하면 주어진 환경에서 실제로 어떤 호스트가 실행되고 있는지 확인할 수 있습니다. 해커는 호스트 목록을 받은 후 포트 스캐닝 도구를 사용하여 컴파일합니다. 전체 목록이 호스트가 지원하는 서비스. 마지막으로 해커는 호스트에서 실행되는 애플리케이션의 특성을 분석합니다. 그 결과 해킹에 활용될 수 있는 정보를 얻게 된다.

네트워크 인텔리전스를 완전히 제거하는 것은 불가능합니다. 예를 들어 에지 라우터에서 ICMP 에코 및 에코 응답을 비활성화하면 핑 테스트는 제거되지만 네트워크 오류를 진단하는 데 필요한 데이터는 손실됩니다.

또한 예비 핑 테스트 없이 포트를 스캔할 수 있습니다. 존재하지 않는 IP 주소를 스캔해야 하므로 시간이 더 걸릴 뿐입니다. 네트워크 및 호스트 수준 IDS 시스템은 일반적으로 관리자에게 지속적인 네트워크 정찰을 효과적으로 알리므로 다가오는 공격에 더 잘 대비하고 시스템이 지나치게 궁금해하는 네트워크의 ISP(인터넷 서비스 공급자)에게 경고할 수 있습니다.

  1. 최신 버전의 운영 체제 및 애플리케이션과 최신 수정 모듈(패치)을 사용합니다.
  2. 시스템 관리 외에도 IDS(공격 탐지 시스템)를 사용합니다. 두 가지 보완적인 ID 기술입니다.
    • NIDS(Network IDS System)는 특정 도메인을 통과하는 모든 패킷을 모니터링합니다. NIDS 시스템이 알려졌거나 예상되는 공격의 서명과 일치하는 패킷 또는 일련의 패킷을 발견하면 경보를 생성하거나 세션을 종료합니다.
    • IDS 시스템(HIDS)은 소프트웨어 에이전트를 사용하여 호스트를 보호합니다. 이 시스템은 단일 호스트에 대한 공격에만 대처합니다.

작업 시 IDS 시스템은 특정 공격 또는 공격 유형의 프로필인 공격 서명을 사용합니다. 서명은 트래픽이 해커로 간주되는 조건을 정의합니다. 실제 세계의 IDS 유사품은 경고 시스템이나 감시 카메라로 간주될 수 있습니다.

IDS의 가장 큰 단점은 경보 생성 기능입니다. 허위 경보 수를 최소화하고 네트워크에서 IDS 시스템의 올바른 기능을 보장하려면 시스템을 주의 깊게 구성해야 합니다.

신뢰의 위반

엄밀히 말하면 이러한 유형의 행동은 공격이나 폭행이라는 단어의 완전한 의미가 아닙니다. 이는 네트워크에 존재하는 신뢰 관계를 악의적으로 이용하는 것을 나타냅니다. 이러한 남용의 전형적인 예는 기업 네트워크 주변 부분의 상황입니다.

이 세그먼트에는 DNS, SMTP 및 HTTP 서버가 포함되는 경우가 많습니다. 이들 서버는 모두 동일한 세그먼트에 속하기 때문에 이들 중 하나를 해킹하면 다른 서버도 모두 해킹하게 됩니다. 왜냐하면 이러한 서버는 네트워크의 다른 시스템을 신뢰하기 때문입니다.

또 다른 예로는 방화벽 내부에 설치된 시스템과 신뢰 관계를 맺고 있는 방화벽 외부에 설치된 시스템을 들 수 있다. 외부 시스템이 손상되면 해커는 신뢰관계를 이용해 방화벽으로 보호되는 시스템에 침투할 수 있다.

네트워크 내 신뢰 수준을 더욱 엄격하게 제어하면 신뢰 위반 위험을 줄일 수 있습니다. 방화벽 외부에 있는 시스템은 방화벽으로 보호되는 시스템으로부터 절대적 신뢰를 받아서는 안 됩니다.

신뢰 관계는 특정 프로토콜로 제한되어야 하며, 가능하다면 IP 주소 이외의 매개변수로 인증되어야 합니다.

포트 포워딩

포트 전달은 손상된 호스트를 사용하여 거부될 방화벽을 통해 트래픽을 전달하는 신뢰 남용의 한 형태입니다. 세 개의 인터페이스가 있고 각 인터페이스가 특정 호스트에 연결되어 있는 방화벽을 상상해 봅시다.

외부 호스트는 공유 호스트(DMZ)에 연결할 수 있지만 방화벽 내부에 설치된 호스트에는 연결할 수 없습니다. 공유 호스트는 내부 및 외부 호스트 모두에 연결할 수 있습니다. 해커가 공유 호스트를 장악하면 외부 호스트의 트래픽을 내부 호스트로 직접 리디렉션하는 소프트웨어를 설치할 수 있습니다.

이는 화면의 규칙을 위반하지 않지만 리디렉션의 결과로 외부 호스트는 보호된 호스트에 직접 액세스할 수 있습니다. 이러한 액세스를 제공할 수 있는 애플리케이션의 예로는 netcat이 있습니다. 자세한 내용은 http://www.avian.org에서 확인할 수 있습니다.

포트 전달을 방지하는 주요 방법은 강력한 신뢰 모델을 사용하는 것입니다(이전 섹션 참조). 또한 호스트 IDS 시스템(HIDS)은 해커가 호스트에 소프트웨어를 설치하는 것을 방지할 수 있습니다.

승인되지 않은 접근

대부분의 네트워크 공격은 정확하게 무단 액세스를 얻기 위해 수행되므로 무단 액세스를 별도의 공격 유형으로 식별할 수는 없습니다. Telnet 로그인을 추측하려면 해커는 먼저 자신의 시스템에서 Telnet 힌트를 얻어야 합니다. Telnet 포트에 연결하면 화면에 "이 리소스를 사용하려면 인증이 필요합니다."라는 메시지가 나타납니다(" 이 리소스를 사용하려면 승인이 필요합니다.»).

이후에도 해커가 계속해서 액세스를 시도하는 경우 무단으로 간주됩니다. 이러한 공격의 소스는 네트워크 내부에 있을 수도 있고 외부에 있을 수도 있습니다.

무단 액세스를 방지하는 방법은 매우 간단합니다. 여기서 가장 중요한 것은 승인되지 않은 프로토콜을 사용하여 시스템에 액세스하는 해커의 능력을 줄이거나 완전히 제거하는 것입니다.

예를 들어, 외부 사용자에게 웹 서비스를 제공하는 서버의 Telnet 포트에 해커가 액세스하는 것을 방지하는 것을 고려해 보십시오. 이 포트에 액세스하지 않으면 해커가 공격할 수 없습니다. 방화벽의 주요 임무는 가장 간단한 무단 액세스 시도를 방지하는 것입니다.

바이러스 및 트로이 목마 애플리케이션

최종 사용자 워크스테이션은 바이러스와 트로이 목마에 매우 취약합니다. 바이러스는 최종 사용자의 워크스테이션에서 원치 않는 특정 기능을 수행하기 위해 다른 프로그램에 삽입되는 악성 프로그램입니다. 예를 들어 command.com 파일(Windows 시스템의 주요 해석기)에 작성되어 다른 파일을 지우고 발견한 다른 모든 버전의 command.com도 감염시키는 바이러스가 있습니다.

트로이 목마는 소프트웨어 삽입물이 아니라 언뜻 보면 유용한 응용 프로그램처럼 보이지만 실제로는 해로운 역할을 하는 실제 프로그램입니다. 전형적인 트로이 목마의 예로는 사용자의 워크스테이션을 위한 간단한 게임처럼 보이는 프로그램이 있습니다.

그러나 사용자가 게임을 하는 동안 프로그램은 해당 사용자의 주소록에 있는 모든 가입자에게 이메일로 자신의 복사본을 보냅니다. 모든 구독자는 게임을 우편으로 받아 추가 배포가 가능합니다.

바이러스 및 트로이 목마와의 싸움은 사용자 수준은 물론 네트워크 수준에서도 작동하는 효과적인 바이러스 백신 소프트웨어를 사용하여 수행됩니다. 바이러스 백신 제품은 대부분의 바이러스와 트로이 목마를 탐지하고 확산을 차단합니다.

바이러스에 대한 최신 정보를 얻으면 바이러스를 더욱 효과적으로 퇴치하는 데 도움이 됩니다. 새로운 바이러스와 트로이 목마가 출현함에 따라 기업에서는 새로운 버전의 바이러스 백신 도구와 애플리케이션을 설치해야 합니다.

이 기사를 작성할 때 Cisco Systems에서 제공한 자료가 사용되었습니다.

좋다 나쁘다

강의 33 네트워크 공격의 종류와 종류

33강

주제: 네트워크 공격 유형 및 유형

원격 네트워크 공격은 통신 채널을 통해 프로그래밍 방식으로 수행되는 분산 컴퓨팅 시스템에 대한 정보 파괴 효과입니다.

소개

이기종 네트워크 환경에서 통신을 구성하기 위해 일련의 TCP/IP 프로토콜이 사용되어 서로 다른 유형의 컴퓨터 간의 호환성을 보장합니다. 이 프로토콜 세트는 호환성과 글로벌 인터넷 리소스에 대한 액세스 제공으로 인해 인기를 얻었으며 인터네트워킹의 표준이 되었습니다. 그러나 TCP/IP 프로토콜 스택의 편재성으로 인해 약점도 드러났습니다. 특히 이 때문에 분산 시스템은 해당 구성 요소가 일반적으로 개방형 데이터 전송 채널을 사용하고 공격자가 전송된 정보를 수동적으로 도청할 수 있을 뿐만 아니라 전송된 트래픽을 수정할 수도 있기 때문에 원격 공격에 취약합니다.

원격 공격 탐지의 어려움과 상대적인 구현 용이성(현대 시스템의 중복된 기능으로 인해)으로 인해 이러한 유형의 불법 행위는 위험 정도 측면에서 최우선 순위에 있으며 위협에 적시에 대응하는 것을 방해합니다. 그 결과 공격자는 공격을 성공적으로 구현할 가능성이 높아집니다.

공격 분류

충격의 성격상

수동적인

활동적인

분산 컴퓨팅 시스템(DCS)에 대한 수동적 영향은 시스템 작동에 직접적인 영향을 미치지 않지만 동시에 보안 정책을 위반할 수 있는 일부 영향입니다. RVS의 작동에 직접적인 영향이 없기 때문에 수동적 원격 영향(RPI)을 탐지하기 어렵다는 사실이 정확하게 나타납니다. DCS에서 일반적인 PUV의 가능한 예는 네트워크의 통신 채널을 수신하는 것입니다.

DCS에 대한 적극적인 영향 - 채택된 보안 정책을 위반하는 시스템 자체의 작동(기능 손상, DCS 구성 변경 등)에 직접적인 영향을 미치는 영향입니다. 거의 모든 유형의 원격 공격은 적극적인 영향을 미칩니다. 이는 손상 효과의 본질에 활성 원리가 포함되어 있기 때문입니다. 능동적 영향과 수동적 영향의 명확한 차이점은 구현 결과 시스템에 일부 변경이 발생하기 때문에 탐지의 근본적인 가능성입니다. 수동적 영향을 사용하면 흔적이 전혀 남지 않습니다(공격자가 시스템에서 다른 사람의 메시지를 보기 때문에 동시에 아무 것도 변경되지 않습니다).

영향력의 목적에 따라

시스템 기능 위반(시스템 접근)

정보자원(IR)의 무결성 위반

IR 기밀성 위반

분류가 이루어지는 이 기능은 본질적으로 서비스 거부, 공개 및 무결성 위반이라는 세 가지 기본 유형의 위협을 직접적으로 예측하는 것입니다.

거의 모든 공격에서 추구하는 주요 목표는 정보에 대한 무단 액세스를 얻는 것입니다. 정보를 얻는 데에는 왜곡과 차단이라는 두 가지 기본 옵션이 있습니다. 정보를 가로채는 옵션은 정보를 변경할 가능성 없이 정보에 접근할 수 있다는 의미입니다. 따라서 정보를 가로채는 것은 정보의 기밀성을 침해하는 결과를 낳습니다. 네트워크의 채널을 듣는 것은 정보를 가로채는 예입니다. 이 경우, 정보에 대한 불법적인 접근이 이루어집니다. 가능한 옵션그녀의 교체. 정보의 비밀유지를 위반하는 것은 소극적인 영향을 의미하는 것도 분명합니다.

정보를 대체하는 능력은 시스템 개체 간의 정보 흐름을 완벽하게 제어하거나 다른 사람을 대신하여 다양한 메시지를 전송하는 능력으로 이해되어야 합니다. 따라서 정보를 대체하면 정보의 무결성이 침해된다는 것이 분명합니다. 이러한 정보 파괴적 영향이 대표적인 예입니다. 적극적인 영향력. 정보의 무결성을 침해하도록 설계된 원격 공격의 예로는 "False RVS 개체" 원격 공격(RA)이 있습니다.

가용성에 따라 피드백공격받은 물체와 함께

피드백 포함

피드백 없음(단방향 공격)

공격자는 공격 대상 개체에 일부 요청을 보내고 이에 대한 응답을 기대합니다. 결과적으로 공격자와 공격자 사이에 피드백이 나타나 공격자가 공격 대상의 모든 종류의 변화에 ​​적절하게 대응할 수 있게 됩니다. 이것이 공격 대상의 피드백이 있을 때 수행되는 원격 공격의 핵심입니다. 이러한 공격은 RVS에서 가장 일반적입니다.

개방 루프 공격은 공격 대상 개체의 변경 사항에 반응할 필요가 없다는 점이 특징입니다. 이러한 공격은 일반적으로 공격 대상 개체에 단일 요청을 전송하여 수행됩니다. 공격자는 이러한 요청에 대한 응답이 필요하지 않습니다. 이러한 UA는 단방향 UA라고도 합니다. 단방향 공격의 예로는 일반적인 DoS 공격이 있습니다.

충격이 시작되는 조건에 따라

다른 영향과 마찬가지로 원격 영향도 특정 조건에서만 발생하기 시작할 수 있습니다. RVS에는 세 가지 유형의 조건부 공격이 있습니다.

공격 대상 개체의 요청에 대한 공격

공격받은 객체에 예상되는 이벤트 발생 시 공격

무조건 공격

공격의 잠재적인 대상이 특정 유형의 요청을 전송하면 공격자의 영향이 시작됩니다. 이러한 공격은 공격 대상 개체의 요청에 대한 공격이라고 할 수 있습니다. 이 유형의 UA는 RVS에 가장 일반적입니다. 인터넷에서 이러한 요청의 예로는 DNS 및 ARP 요청이 있고 Novell NetWare에서는 SAP 요청이 있습니다.

공격받은 개체에 대해 예상되는 이벤트가 발생했을 때의 공격입니다. 공격자는 공격 대상 원격 대상의 OS 상태를 지속적으로 모니터링하고, 이 시스템에서 특정 이벤트가 발생하면 영향을 미치기 시작합니다. 공격받은 개체 자체가 공격의 시작자입니다. 이러한 이벤트의 예로는 Novell NetWare에서 LOGOUT 명령을 실행하지 않고 서버와의 사용자 세션이 중단되는 경우가 있습니다.

무조건적인 공격은 운영체제와 공격 대상의 상태에 관계없이 즉시 수행됩니다. 따라서 이 경우 공격자는 공격의 개시자이다.

시스템의 정상적인 작동이 중단되면 다른 목표가 추구되며 공격자가 데이터에 불법적으로 접근할 것으로 예상되지 않습니다. 그 목표는 공격받은 개체의 OS를 비활성화하고 다른 시스템 개체가 이 개체의 리소스에 액세스하는 것을 불가능하게 만드는 것입니다. 이러한 유형의 공격 예로는 DoS 공격이 있습니다.

공격 대상에 대한 공격 대상의 위치별

분절 내

분절간

일부 정의:

공격의 소스(공격 대상)는 공격을 주도하고 직접적인 영향을 미치는 프로그램(아마도 운영자)입니다.

호스트 - 네트워크의 요소인 컴퓨터입니다.

라우터는 네트워크에서 패킷을 라우팅하는 장치입니다.

서브네트워크는 글로벌 네트워크의 일부인 호스트 그룹으로, 라우터가 동일한 서브넷 번호를 할당한다는 점에서 다릅니다. 또한 서브넷은 라우터를 통한 호스트의 논리적 연결이라고 말할 수도 있습니다. 동일한 서브넷 내의 호스트는 라우터를 사용하지 않고 서로 직접 통신할 수 있습니다.

네트워크 세그먼트는 물리적 수준의 호스트 조합입니다.

원격 공격의 관점에서는 공격 주체와 대상의 상대적인 위치, 즉 서로 다른 세그먼트에 있는지, 동일한 세그먼트에 있는지가 매우 중요합니다. Intra-Segment 공격 시 공격 대상과 공격 대상은 동일한 Segment에 위치하게 됩니다. Intersegment 공격의 경우 공격 대상과 공격 대상이 서로 다른 네트워크 세그먼트에 위치합니다. 이 분류 기능을 사용하면 공격의 소위 "원거리 정도"를 판단할 수 있습니다.

아래에서는 세그먼트 내 공격이 세그먼트 간 공격보다 수행하기가 훨씬 쉽다는 것을 보여줍니다. 또한 세그먼트 간 원격 공격은 세그먼트 내 원격 공격보다 훨씬 더 큰 위험을 초래합니다. 이는 세그먼트 간 공격의 경우 표적과 공격자가 서로 수천 킬로미터 떨어진 곳에 위치할 수 있어 공격을 물리치기 위한 조치를 크게 방해할 수 있기 때문이다.

영향이 수행되는 ISO/OSI 참조 모델의 수준에 따라

물리적

도관

회로망

수송

세션

대표

적용된

국제표준화기구(ISO)는 RBC도 속하는 개방형 시스템 상호연결(OSI)을 설명하는 ISO 7498 표준을 채택했습니다. 각 네트워크 통신 프로토콜과 각 네트워크 프로그램은 어떤 방식으로든 OSI 참조 7계층 모델에 투영될 수 있습니다. 이러한 다단계 투영을 통해 OSI 모델 측면에서 네트워크 프로토콜이나 프로그램에 사용되는 기능을 설명할 수 있습니다. UA는 네트워크 프로그램이므로 ISO/OSI 참조 모델에 대한 투영의 관점에서 고려하는 것이 논리적입니다.

간단한 설명일부 네트워크 공격

데이터 조각화

IP 데이터 패킷이 네트워크를 통해 전송될 때 패킷은 여러 조각으로 나눌 수 있습니다. 이후 목적지에 도달하면 이러한 조각으로 패킷이 재구성됩니다. 공격자는 대량의 조각 전송을 시작할 수 있으며, 이로 인해 수신 측에서 소프트웨어 버퍼 오버플로가 발생하고 경우에 따라 시스템 충돌이 발생할 수 있습니다.

핑 플러딩 공격

이 공격을 수행하려면 공격자가 빠른 인터넷 채널에 액세스할 수 있어야 합니다.

ping 프로그램은 ECHO REQUEST 유형의 ICMP 패킷을 보내 시간과 식별자를 설정합니다. 수신 시스템의 커널은 ICMP ECHO REPLY 패킷을 사용하여 이러한 요청에 응답합니다. 이를 수신한 후 ping은 패킷 속도를 표시합니다.

표준 작동 모드에서는 패킷이 일정한 간격으로 전송되며 사실상 네트워크에 부하가 없습니다. 그러나 "공격적" 모드에서는 ICMP 에코 요청/응답 패킷의 홍수로 인해 작은 회선에 정체가 발생하여 유용한 정보를 전송할 수 없게 됩니다.

IP에 캡슐화된 비표준 프로토콜

IP 패킷에는 캡슐화된 패킷(TCP, UDP, ICMP)의 프로토콜을 지정하는 필드가 포함되어 있습니다. 공격자는 이 필드의 비표준 값을 사용하여 표준 정보 흐름 제어 도구로 기록되지 않는 데이터를 전송할 수 있습니다.

스머프 공격

스머프 공격에는 피해자 컴퓨터를 대신하여 브로드캐스트 ICMP 요청을 네트워크에 보내는 것이 포함됩니다.

결과적으로 이러한 브로드캐스트 패킷을 수신한 컴퓨터는 피해자 컴퓨터에 응답하여 통신 채널 처리량이 크게 감소하고 경우에 따라 공격받은 네트워크가 완전히 격리됩니다. 스머프 공격은 매우 효과적이고 광범위합니다.

대응: 이 공격을 인식하려면 채널 부하를 분석하고 처리량 감소 이유를 파악해야 합니다.

DNS 스푸핑 공격

이 공격의 결과로 IP 주소와 도메인 이름 간의 강제 통신이 DNS 서버 캐시에 도입됩니다. 공격이 성공하면 DNS 서버의 모든 사용자는 다음과 같은 잘못된 정보를 받게 됩니다. 도메인 이름및 IP 주소. 이 공격은 동일한 도메인 이름을 가진 다수의 DNS 패킷이 특징입니다. 이는 일부 DNS 교환 매개변수를 선택해야 하기 때문입니다.

대응: 이러한 공격을 탐지하려면 DNS 트래픽의 내용을 분석하거나 DNSSEC를 사용해야 합니다.

IP 스푸핑 공격

인터넷에서 발생하는 수많은 공격은 소스 IP 주소 스푸핑과 관련되어 있습니다. 이러한 공격에는 내부 네트워크의 다른 컴퓨터를 대신하여 피해자 컴퓨터에 메시지를 보내는 syslog 스푸핑도 포함됩니다. 시스템 로그를 유지하기 위해 syslog 프로토콜을 사용하므로, 피해자 컴퓨터에 허위 메시지를 보내 정보를 유도하거나 무단 접속 흔적을 은폐할 수 있다.

대응책: 동일한 인터페이스의 소스 주소를 가진 패킷의 인터페이스 중 하나에서 수신을 모니터링하거나 내부 네트워크의 IP 주소를 가진 패킷의 외부 인터페이스에서 수신을 모니터링하여 IP 주소 스푸핑과 관련된 공격 탐지가 가능합니다. .

패키지 부과

공격자는 잘못된 반환 주소가 포함된 패킷을 네트워크로 보냅니다. 이 공격을 통해 공격자는 다른 컴퓨터 간에 설정된 연결을 자신의 컴퓨터로 전환할 수 있습니다. 이 경우 공격자의 접근권한은 공격자의 컴퓨터로 서버 연결이 전환된 사용자의 권한과 동일하게 된다.

스니핑 - 채널 청취

로컬 네트워크 세그먼트에서만 가능합니다.

거의 모든 네트워크 카드는 공통 로컬 네트워크 채널을 통해 전송되는 패킷을 가로채는 기능을 지원합니다. 이 경우 워크스테이션은 동일한 네트워크 세그먼트에 있는 다른 컴퓨터로 주소가 지정된 패킷을 받을 수 있습니다. 따라서 네트워크 세그먼트의 모든 정보 교환이 공격자에게 제공됩니다. 이 공격을 성공적으로 구현하려면 공격자의 컴퓨터가 공격받는 컴퓨터와 동일한 로컬 네트워크 세그먼트에 있어야 합니다.

라우터의 패킷 가로채기

라우터의 네트워크 소프트웨어는 라우터를 통해 전송된 모든 네트워크 패킷에 액세스할 수 있으므로 패킷 가로채기가 가능합니다. 이 공격을 수행하려면 공격자는 네트워크에 있는 하나 이상의 라우터에 대한 액세스 권한을 가지고 있어야 합니다. 일반적으로 너무 많은 패킷이 라우터를 통해 전송되므로 전체 패킷을 가로채는 것은 거의 불가능합니다. 그러나 공격자가 나중에 분석하기 위해 개별 패킷을 가로채서 저장할 수도 있습니다. 사용자 비밀번호와 이메일이 포함된 FTP 패킷을 가장 효과적으로 차단합니다.

ICMP를 사용하여 호스트에 잘못된 경로를 강제 적용

인터넷에는 현재 라우터 변경에 대해 호스트에 알리는 기능 중 하나인 ICMP(인터넷 제어 메시지 프로토콜)라는 특수 프로토콜이 있습니다. 이 제어 메시지를 리디렉션이라고 합니다. 라우터를 대신하여 네트워크 세그먼트의 모든 호스트에서 공격받은 호스트로 잘못된 리디렉션 메시지를 보낼 수 있습니다. 결과적으로 호스트의 현재 라우팅 테이블이 변경되고 향후 이 호스트의 모든 네트워크 트래픽은 예를 들어 잘못된 리디렉션 메시지를 보낸 호스트를 통과하게 됩니다. 이런 방식으로 인터넷의 한 세그먼트 내에 잘못된 경로를 적극적으로 적용하는 것이 가능합니다.

표준은 TCP 연결을 통해 전송되는 일반 데이터와 함께 긴급(대역 외) 데이터 전송도 제공합니다. TCP 패킷 형식 수준에서는 0이 아닌 긴급 포인터로 표현됩니다. Windows가 설치된 대부분의 PC에는 필요에 따라 3개의 IP 포트(137, 138, 139)를 사용하는 NetBIOS 네트워크 프로토콜이 있습니다. 포트 139를 통해 Windows 시스템에 연결하고 그곳으로 몇 바이트의 OutOfBand 데이터를 보내는 경우 NetBIOS 구현은 이 데이터로 무엇을 해야 할지 모르면 단순히 시스템이 정지되거나 재부팅됩니다. Windows 95의 경우 이는 일반적으로 TCP/IP 드라이버의 오류와 OS가 재부팅될 때까지 네트워크 작업이 불가능함을 나타내는 파란색 텍스트 화면처럼 보입니다. 서비스 팩이 없는 NT 4.0은 재부팅되고, 서비스 팩 2 팩이 있는 NT 4.0은 블루 스크린으로 충돌합니다. 네트워크 정보로 판단하면 Windows NT 3.51과 Windows 3.11 for Workgroups 모두 이러한 공격에 취약합니다.

포트 139로 데이터를 전송하면 NT 4.0이 재부팅되거나 서비스 팩 2가 설치된 경우 "블루 스크린"이 발생합니다. 135 및 일부 다른 포트로 유사한 데이터를 전송하면 RPCSS.EXE 프로세스에 상당한 로드가 발생합니다. Windows NT WorkStation에서는 이로 인해 상당한 속도 저하가 발생하며 Windows NT Server가 사실상 정지됩니다.

신뢰할 수 있는 호스트 스푸핑

이러한 유형의 원격 공격을 성공적으로 구현하면 공격자는 신뢰할 수 있는 호스트를 대신하여 서버와 세션을 수행할 수 있습니다. (신뢰할 수 있는 호스트 - 서버에 합법적으로 연결된 스테이션) 이러한 유형의 공격 구현은 일반적으로 공격자가 제어하는 ​​신뢰할 수 있는 스테이션을 대신하여 공격자의 스테이션에서 교환 패킷을 보내는 것으로 구성됩니다.

공격 탐지 기술

네트워크 및 정보 기술은 너무 빠르게 변화하므로 액세스 제어 시스템, 방화벽 및 인증 시스템을 포함한 정적 보호 메커니즘은 많은 경우 효과적인 보호를 제공할 수 없습니다. 따라서 보안 위반을 신속하게 탐지하고 예방하려면 동적 방법이 필요합니다. 기존 접근 제어 모델을 사용하여 식별할 수 없는 위반을 탐지할 수 있는 기술 중 하나가 침입 탐지 기술입니다.

기본적으로 공격 탐지 프로세스는 기업 네트워크에서 발생하는 의심스러운 활동을 평가하는 프로세스입니다. 즉, 침입 탐지는 컴퓨팅이나 네트워크 리소스를 겨냥한 의심스러운 활동을 식별하고 대응하는 프로세스입니다.

네트워크 정보 분석 방법

공격 탐지 시스템의 효율성은 수신된 정보를 분석하는 데 사용되는 방법에 따라 크게 달라집니다. 1980년대 초에 개발된 최초의 침입 탐지 시스템은 통계적 방법을 사용하여 공격을 탐지했습니다. 현재 전문가 시스템과 퍼지 논리로 시작하여 신경망 사용으로 끝나는 여러 가지 새로운 기술이 통계 분석에 추가되었습니다.

통계적 방법

통계적 접근 방식의 주요 장점은 이미 개발되고 입증된 수학적 통계 장치를 사용하고 대상의 행동에 적응한다는 것입니다.

첫째, 분석된 시스템의 모든 주제에 대한 프로파일이 결정됩니다. 참조 프로필에서 사용된 프로필의 모든 편차는 승인되지 않은 활동으로 간주됩니다. 분석에는 가능한 공격과 공격이 이용하는 취약점에 대한 지식이 필요하지 않기 때문에 통계적 방법은 보편적입니다. 그러나 이러한 기술을 사용하면 다음과 같은 문제가 발생합니다.

"통계" 시스템은 사건의 순서에 민감하지 않습니다. 어떤 경우에는 동일한 이벤트가 발생 순서에 따라 비정상적이거나 정상적인 활동의 특징을 나타낼 수 있습니다.

이상행위를 적절하게 식별하기 위해 침입탐지시스템이 모니터링하는 특성의 경계(임계값) 값을 설정하는 것이 어렵다.

"통계" 시스템은 시간이 지남에 따라 공격자에 의해 "훈련"되어 공격 행동이 정상적인 것으로 보일 수 있습니다.

또한 사용자에게 일반적인 행동 패턴이 없거나 사용자에게 승인되지 않은 작업이 일반적인 경우에는 통계적 방법을 적용할 수 없다는 점도 고려해야 합니다.

전문가 시스템

전문가 시스템은 인간 전문가의 지식을 포착하는 일련의 규칙으로 구성됩니다. 전문가 시스템의 활용은 공격 정보를 규칙 형태로 공식화하는 일반적인 공격 탐지 방법이다. 예를 들어 이러한 규칙은 일련의 작업이나 서명으로 작성될 수 있습니다. 이러한 규칙 중 하나라도 충족되면 승인되지 않은 활동이 있는지에 대한 결정이 내려집니다. 이 접근 방식의 중요한 장점은 허위 경보가 거의 전혀 없다는 것입니다.

전문가 시스템 데이터베이스에는 현재 알려진 대부분의 공격에 대한 스크립트가 포함되어 있어야 합니다. 지속적으로 최신 상태를 유지하려면 전문가 시스템에 데이터베이스를 지속적으로 업데이트해야 합니다. 전문가 시스템은 로그 데이터에 대한 좋은 가시성을 제공하지만 필요한 업데이트는 무시되거나 관리자가 수동으로 수행할 수 있습니다. 최소한 이로 인해 역량이 약화되는 전문가 시스템이 탄생하게 됩니다. 최악의 경우 적절한 유지 관리가 부족하면 전체 네트워크의 보안이 저하되어 사용자가 실제 보안 수준에 대해 오해할 수 있습니다.

가장 큰 단점은 알려지지 않은 공격을 격퇴할 수 없다는 것입니다. 더욱이, 이미 알려진 공격에 대한 작은 변화라도 공격 탐지 시스템의 기능에 심각한 장애가 될 수 있습니다.

신경망

대부분의 최신 공격 탐지 방법은 규칙 기반 또는 통계적 접근 방식 중 일부 형태의 제어된 공간 분석을 사용합니다. 제어되는 공간은 로그 또는 네트워크 트래픽일 수 있습니다. 분석은 관리자 또는 침입 탐지 시스템 자체가 생성한 사전 정의된 규칙 세트를 기반으로 합니다.

시간이 지남에 따라 또는 여러 공격자 간에 공격을 분리하는 것은 전문가 시스템을 사용하여 탐지하기 어렵습니다. 다양한 공격과 해커로 인해 임시적이라 할지라도 전문가 시스템 규칙 데이터베이스에 대한 지속적인 업데이트는 전체 범위의 공격에 대한 정확한 식별을 보장하지 않습니다.

신경망의 사용은 전문가 시스템의 이러한 문제를 극복하는 방법 중 하나입니다. 고려 중인 특성이 데이터베이스에 내장된 규칙을 준수하는지에 대해 사용자에게 명확한 답을 줄 수 있는 전문가 시스템과 달리 신경망은 정보를 분석하고 데이터가 데이터베이스에 포함된 특성과 일치하는지 평가할 수 있는 기회를 제공합니다. 인식하도록 훈련되었습니다. 신경망 표현의 일치 정도는 100%에 도달할 수 있지만 선택의 신뢰성은 작업의 예를 분석하는 시스템의 품질에 전적으로 달려 있습니다.

첫째, 신경망은 미리 선택된 도메인 예제 샘플을 사용하여 올바르게 식별하도록 훈련됩니다. 신경망의 반응을 분석하고 만족스러운 결과를 얻을 수 있도록 시스템을 조정합니다. 초기 훈련 기간 외에도 신경망은 도메인별 데이터를 분석하면서 시간이 지남에 따라 경험을 쌓습니다.

남용을 탐지하는 데 있어 신경망의 중요한 이점은 고의적인 공격의 특성을 "학습"하고 이전에 네트워크에서 관찰된 것과 다른 요소를 식별하는 능력입니다.

설명된 각 방법에는 여러 가지 장점과 단점이 있으므로 이제 설명된 방법 중 하나만 구현하는 시스템을 찾는 것이 거의 어렵습니다. 원칙적으로 이러한 방법은 조합하여 사용됩니다.

티켓 1. 정보 보안의 기본 개념 및 정의: 공격, 취약점, 보안 정책, 보안 메커니즘 및 서비스. 공격 분류. 네트워크 보안 및 보안 모델 정보 시스템

취약점 - 수행하는 데 사용할 수 있는 시스템의 약점 공격.

위험 - 특정 확률 공격특정 방법을 사용하여 수행됩니다. 취약점. 궁극적으로 각 조직은 어느 수준이 허용 가능한지 결정해야 합니다. 위험. 이 결정은 조직이 채택한 보안 정책에 반영되어야 합니다.

보안 정책 — 정보 자산이 조직 내에서 그리고 정보 시스템 간에 처리, 보호 및 배포되는 방법을 결정하는 규칙, 지침 및 관행 제공하기 위한 기준 세트 보안 서비스.

공격 - 정보 시스템의 보안을 침해하는 모든 행위. 좀 더 공식적으로는 다음과 같이 말할 수 있습니다. 공격- 다음을 사용하여 상호 연결된 작업 또는 일련의 작업입니다. 취약점이 정보 시스템을 침해하고 보안 정책을 위반하게 됩니다.

보안 메커니즘 - 탐지 및/또는 방지하는 소프트웨어 및/또는 하드웨어 공격.

보안 서비스 - 시스템 및/또는 전송된 데이터의 정책 정의 보안을 제공하거나 구현을 결정하는 서비스 공격. 서비스하나 이상의 보안 메커니즘을 사용합니다.
^

네트워크 보안 모델 네트워크 공격 분류


모두 공격두 가지 클래스로 나눌 수 있습니다: 수동적인그리고 활동적인.

I. 수동적 공격

이것을 패시브라고 합니다 공격 , 어느와 전송된 메시지를 수정하고 보낸 사람과 받는 사람 사이의 정보 채널에 자체 메시지를 삽입하는 기능이 없습니다. 목적 수동적 공격전송된 메시지와 트래픽 분석만 청취할 수 있습니다.

이것을 활성이라고 합니다 공격 , 어느와 전송된 메시지를 수정하고 자신의 메시지를 삽입하는 기능이 있습니다. 다음 유형이 구별됩니다. 적극적인 공격:

^ II. 적극적인 공격

서비스 거부 - DoS 공격(서비스 거부)

서비스 거부는 네트워크 서비스의 정상적인 기능을 방해합니다. 특정 수신자에게 전송된 모든 메시지를 가로챌 수 있습니다. 이것의 또 다른 예 공격이는 상당한 트래픽을 생성하여 네트워크 서비스가 합법적인 클라이언트의 요청을 처리할 수 없게 만드는 것입니다. 전형적인 예는 다음과 같습니다. 공격 TCP/IP 네트워크에서 공격자는 TCP 연결 설정을 시작하는 패킷을 보내지만 이 연결 설정을 완료하는 패킷은 보내지 않는 SYN 공격입니다. 결과적으로 서버에 과부하가 걸리고 서버가 합법적인 사용자에게 연결하지 못할 수 있습니다.

^ 정보 시스템 보안 모델

위에서 설명한 네트워크 보안 모델에 맞지 않는 다른 보안 관련 상황이 있습니다. 이러한 상황의 일반적인 패턴은 다음과 같이 설명할 수 있습니다.

이 모델은 원치 않는 액세스를 방지하는 정보 시스템 보안의 개념을 보여줍니다. 네트워크를 통해 액세스할 수 있는 시스템에 불법적으로 침투하려는 해커는 단순히 해킹을 즐기는 것일 수도 있고, 정보 시스템을 손상시키거나 자신의 목적을 위해 정보 시스템에 무언가를 도입하려고 할 수도 있습니다. 예를 들어, 해커의 목표는 시스템에 저장된 신용 카드 번호를 얻는 것일 수 있습니다.

원치 않는 액세스의 또 다른 유형은 편집기, 컴파일러 등과 같은 응용 프로그램 및 소프트웨어 유틸리티에 영향을 미치는 무언가를 컴퓨터 시스템에 배치하는 것입니다. 그래서 2가지 종류가 있어요 공격:


  1. 시스템에 저장된 데이터를 얻거나 수정하기 위한 목적으로 정보에 접근합니다.

  2. ^ 공격귀하가 서비스를 사용하는 것을 방지하기 위해 서비스에 대한 조치입니다.
바이러스와 웜이 그 예입니다. 공격. 그런 공격플로피 디스크를 사용하거나 네트워크를 통해 수행할 수 있습니다.

^ 보안 서비스 원치 않는 접근을 방지하는 는 두 가지 범주로 나눌 수 있습니다.


  1. 첫 번째 범주는 감시 기능 측면에서 정의됩니다. 이것들 메커니즘인증된 사용자에게만 액세스를 제한하기 위해 비밀번호 기반 로그인 절차와 같은 로그인 절차를 포함합니다. 이것들 메커니즘또한 방지하는 다양한 보호 스크린(방화벽)도 포함되어 있습니다. 공격 TCP/IP 프로토콜 스택의 다양한 수준에서 특히 웜, 바이러스의 침투를 방지하고 기타 유사한 것을 방지할 수 있습니다. 공격.

  2. 2차 방어선은 접근을 통제하고 사용자 활동을 분석하는 다양한 내부 모니터로 구성됩니다.
정보 시스템의 보안을 보장할 때 주요 개념 중 하나는 다음과 같습니다. 권한 부여 - 특정 리소스 및/또는 개체에 대한 액세스 권한을 정의하고 부여합니다.

정보 시스템의 보안은 다음 기본 원칙을 기반으로 해야 합니다.


  1. 정보 시스템 보안은 조직의 역할 및 목표와 일치해야 합니다. 이 시스템설치되었습니다.

  2. 정보 보안을 보장하려면 통합적이고 전체적인 접근 방식이 필요합니다.

  3. 정보 보안은 특정 조직의 관리 시스템의 필수적인 부분이어야 합니다.

  4. 정보 보안은 경제적으로 타당해야 합니다.

  5. 안전에 대한 책임은 명확하게 정의되어야 합니다.

  6. 정보 시스템의 보안은 정기적으로 재평가되어야 합니다.

  7. 큰 중요성정보시스템의 보안을 보장하기 위해서는 사회적 요소뿐만 아니라 행정적, 조직적, 물리적 보안 조치도 필요합니다.

1. 패킷 차단.

패킷 스니퍼(영어 sniff - sniff)는 무차별 모드에서 작동하는 네트워크 인터페이스를 사용하는 응용 프로그램입니다. 이 모드에서는 네트워크 어댑터를 사용하면 주소가 누구인지에 관계없이 물리적 채널을 통해 수신된 모든 패킷을 수신하고 처리를 위해 응용 프로그램으로 보낼 수 있습니다. 현재 스니퍼는 완전히 합법적인 네트워크에서 사용됩니다. 이는 결함 진단 및 트래픽 분석에 사용됩니다. 그러나 일부 네트워크 응용 프로그램은 데이터를 텍스트 형식(Telnet, FTP, SMTP, POP3 등)으로 전송하므로 스니퍼를 사용하면 유용하고 때로는 민감한 정보(예: 사용자 이름 및 비밀번호)가 노출될 수 있습니다.

로그인 및 비밀번호를 가로채면 큰 위험이 발생합니다. 애플리케이션이 클라이언트-서버 모드에서 실행되고 인증 데이터가 읽을 수 있는 텍스트 형식으로 네트워크를 통해 전송되는 경우 이 정보는 다른 회사 또는 외부 리소스에 액세스하는 데 사용될 가능성이 높습니다. 최악의 경우 공격자는 시스템 수준에서 사용자 리소스에 대한 액세스 권한을 얻고 이를 사용하여 언제든지 네트워크와 해당 리소스에 액세스하는 데 사용할 수 있는 새 사용자를 생성합니다.

2. IP 스푸핑.

IP 스푸핑(영어 spoof - hoax에서 유래)은 기업 내부 또는 외부의 공격자가 인증된 사용자를 가장할 때 발생합니다. 이는 두 가지 방법으로 달성할 수 있습니다.

a) 승인된 IP 주소 범위 내의 IP 주소 사용

IP 스푸핑 공격은 종종 다른 공격의 시작점이 됩니다. 전형적인 예는 다른 사람의 주소에서 시작하여 공격자의 실제 신원을 숨기는 DoS 공격입니다.

일반적으로 IP 스푸핑은 클라이언트와 서버 애플리케이션 간에 또는 피어 장치 간의 통신 채널을 통해 전송되는 정상적인 데이터 흐름에 잘못된 정보나 악의적인 명령을 삽입하는 것으로 제한됩니다. 양방향 통신의 경우 공격자는 모든 라우팅 테이블을 수정하여 트래픽을 잘못된 IP 주소로 보내야 합니다.

공격자가 라우팅 테이블을 변경하고 네트워크 트래픽을 잘못된 IP 주소로 보내는 경우 공격자는 모든 패킷을 수신하고 마치 승인된 사용자인 것처럼 응답할 수 있습니다.

3. 서비스 거부.

서비스 거부(DoS로 약칭함)는 의심할 여지 없이 가장 잘 알려진 네트워크 공격 형태입니다. 또한 이러한 유형의 공격은 100% 보호를 생성하기가 가장 어렵습니다. DoS를 구성하려면 최소한의 지식과 기술이 필요합니다. 그럼에도 불구하고 공격자가 DoS 공격을 하게 만드는 것은 구현의 단순성과 엄청난 규모의 피해 때문입니다.

이 공격은 다른 유형의 공격과 크게 다릅니다. 공격자는 네트워크에 액세스하거나 해당 네트워크에서 정보를 얻을 의도가 없지만 DoS 공격은 네트워크, 운영 체제 또는 응용 프로그램의 허용 한계를 초과하여 네트워크를 정상적으로 사용할 수 없도록 만듭니다. 일부 서버 애플리케이션(예: 웹 서버 또는 FTP 서버)의 경우 DoS 공격에는 해당 애플리케이션에서 사용 가능한 모든 연결을 장악하고 이를 점유 상태로 유지하여 일반 사용자에게 서비스를 제공하지 못하게 할 수 있습니다. DoS 공격은 TCP 및 ICMP와 같은 일반적인 인터넷 프로토콜을 사용할 수 있습니다.

일부 공격은 원치 않는 불필요한 패킷이나 네트워크 리소스의 현재 상태에 대한 오해의 소지가 있는 정보를 네트워크에 대량으로 유입시켜 네트워크 성능을 저하시킵니다. 이러한 유형의 공격이 여러 장치를 통해 동시에 수행되는 경우 분산 DoS 공격(영어 분산 DoS, 약어로 DDoS)에 대해 이야기합니다.

4. 비밀번호 공격.

공격자는 무차별 공격, 트로이 목마, IP 스푸핑, 패킷 스니핑 등 다양한 방법을 사용하여 비밀번호 공격을 수행할 수 있습니다. IP 스푸핑과 패킷 스니핑을 사용하여 로그인과 비밀번호를 알아낼 수 있는 경우가 많음에도 불구하고 공격자는 여러 번의 액세스 시도를 통해 비밀번호와 로그인을 추측하려고 시도하는 경우가 많습니다. 이 접근 방식을 단순 열거라고 합니다.

이러한 공격에는 공용 리소스(예: 서버)에 대한 액세스 권한을 얻으려고 시도하는 특수 프로그램이 사용됩니다. 결과적으로 공격자에게 리소스에 대한 액세스 권한이 부여되면 해당 리소스는 비밀번호가 선택된 사용자로 수신됩니다. 특정 사용자에게 상당한 액세스 권한이 있는 경우 공격자는 사용자가 비밀번호를 변경하더라도 유효하게 유지되는 향후 액세스를 위한 게이트웨이를 생성할 수 있습니다.

5. 중간자 공격.

중간자 공격의 경우 공격자는 네트워크를 통해 전송되는 패킷에 액세스해야 합니다. 예를 들어, 공급자로부터 다른 네트워크로 전송되는 모든 패킷에 대한 액세스는 해당 공급자의 직원이 얻을 수 있습니다. 이러한 유형의 공격에는 패킷 스니퍼, 전송 프로토콜 및 라우팅 프로토콜이 자주 사용됩니다. 공격은 정보 도용, 현재 세션 가로채기, 사설 네트워크 리소스에 대한 액세스 획득, 트래픽 분석 및 네트워크와 사용자에 대한 정보 획득, DoS 공격 수행, 전송된 데이터 왜곡 및 무단 정보 입력을 목적으로 수행됩니다. 네트워크 세션에 들어갑니다.

6. 애플리케이션 수준 공격.

애플리케이션 수준 공격은 여러 가지 방법으로 수행될 수 있습니다. 그 중 가장 일반적인 것은 서버 소프트웨어(sendmail, HTTP, FTP)의 잘 알려진 약점을 사용하는 것입니다. 이러한 약점을 이용하여 공격자는 응용 프로그램을 실행하는 사용자를 대신하여 컴퓨터에 액세스할 수 있습니다(일반적으로 이는 단순한 사용자가 아니라 시스템 액세스 권한을 가진 권한 있는 관리자입니다). 응용 프로그램 수준 공격에 대한 정보는 관리자가 수정 모듈(패치)을 사용하여 문제를 수정할 수 있는 기회를 제공하기 위해 널리 게시됩니다. 불행하게도 많은 해커들도 이 정보에 접근하여 개선할 수 있습니다.

애플리케이션 수준 공격의 주요 문제점은 공격자가 방화벽 통과가 허용된 포트를 자주 사용한다는 것입니다. 예를 들어, 웹 서버의 알려진 약점을 악용하는 공격자는 TCP 공격에서 포트 80을 사용하는 경우가 많습니다. 웹 서버는 사용자에게 웹 페이지를 제공하므로 방화벽은 이 포트에 대한 액세스를 제공해야 합니다. 방화벽의 관점에서 보면 공격은 포트 80의 표준 트래픽으로 처리됩니다.

7. 네트워크 인텔리전스.

네트워크 인텔리전스는 공개적으로 사용 가능한 데이터와 애플리케이션을 사용하여 네트워크 정보를 수집하는 것을 의미합니다. 네트워크에 대한 공격을 준비할 때 공격자는 일반적으로 네트워크에 대해 가능한 한 많은 정보를 얻으려고 합니다. 네트워크 정찰은 DNS 쿼리, 핑 및 포트 스캐닝의 형태로 수행됩니다. DNS 쿼리는 특정 도메인을 소유한 사람과 해당 도메인에 할당된 주소를 이해하는 데 도움이 됩니다. DNS에 의해 밝혀진 주소를 핑하면 주어진 환경에서 실제로 어떤 호스트가 실행되고 있는지 확인할 수 있습니다. 공격자는 호스트 목록을 받은 후 포트 검색 도구를 사용하여 해당 호스트가 지원하는 전체 서비스 목록을 컴파일합니다. 마지막으로 호스트에서 실행되는 애플리케이션의 특성을 분석합니다. 그 결과 해킹에 활용될 수 있는 정보를 얻게 된다.

8. 신뢰 위반.

엄밀히 말하면 이러한 유형의 행동은 공격이나 폭행이라는 단어의 완전한 의미가 아닙니다. 이는 네트워크에 존재하는 신뢰 관계를 악의적으로 이용하는 것을 나타냅니다. 이러한 남용의 전형적인 예는 기업 네트워크 주변 부분의 상황입니다. 이 세그먼트에는 DNS, SMTP 및 HTTP 서버가 포함되는 경우가 많습니다. 이들 서버는 모두 동일한 세그먼트에 속하기 때문에 이들 중 하나를 해킹하면 다른 서버도 모두 해킹하게 됩니다. 왜냐하면 이러한 서버는 네트워크의 다른 시스템을 신뢰하기 때문입니다. 또 다른 예로는 방화벽 내부에 설치된 시스템과 신뢰 관계를 맺고 있는 방화벽 외부에 설치된 시스템을 들 수 있다. 외부 시스템이 손상된 경우 공격자는 신뢰 관계를 사용하여 방화벽으로 보호되는 시스템에 침투할 수 있습니다.

9. 포트 포워딩.

포트 전달은 손상된 호스트를 사용하여 거부될 방화벽을 통해 트래픽을 전달하는 신뢰 남용의 한 형태입니다. 세 개의 인터페이스가 있고 각 인터페이스가 특정 호스트에 연결되어 있는 방화벽을 상상해 봅시다. 외부 호스트는 공유 호스트(DMZ)에 연결할 수 있지만 방화벽 내부에 설치된 호스트에는 연결할 수 없습니다. 공유 호스트는 내부 및 외부 호스트 모두에 연결할 수 있습니다. 공격자가 공유 호스트를 장악하면 외부 호스트에서 내부 호스트로 직접 트래픽을 리디렉션하는 소프트웨어를 설치할 수 있습니다. 이는 화면의 규칙을 위반하지 않지만 리디렉션의 결과로 외부 호스트는 보호된 호스트에 직접 액세스할 수 있습니다. 이러한 액세스를 제공할 수 있는 애플리케이션의 예로는 netcat이 있습니다.

10. 무단 접근.

대부분의 네트워크 공격은 정확하게 무단 액세스를 얻기 위해 수행되므로 무단 액세스를 별도의 공격 유형으로 식별할 수는 없습니다. Telnet 로그인을 추측하려면 공격자는 먼저 자신의 시스템에서 Telnet 힌트를 얻어야 합니다. Telnet 포트에 연결하면 "이 리소스를 사용하려면 인증이 필요합니다."라는 메시지가 화면에 나타납니다. 이후에도 공격자가 계속해서 액세스를 시도하면 무단으로 간주됩니다. 이러한 공격의 소스는 네트워크 내부에 있을 수도 있고 외부에 있을 수도 있습니다.

11. 바이러스 및 트로이 목마 애플리케이션

최종 사용자 워크스테이션은 바이러스와 트로이 목마에 매우 취약합니다. 바이러스는 최종 사용자의 워크스테이션에서 원치 않는 특정 기능을 수행하기 위해 다른 프로그램에 삽입되는 악성 프로그램입니다. 예를 들어 command.com 파일(Windows 시스템의 주요 해석기)에 작성되어 다른 파일을 지우고 발견한 다른 모든 버전의 command.com도 감염시키는 바이러스가 있습니다.

트로이 목마는 소프트웨어 삽입물이 아니라 언뜻 보면 유용한 응용 프로그램처럼 보이지만 실제로는 해로운 역할을 하는 실제 프로그램입니다. 전형적인 트로이 목마의 예로는 사용자의 워크스테이션을 위한 간단한 게임처럼 보이는 프로그램이 있습니다. 그러나 사용자가 게임을 하는 동안 프로그램은 해당 사용자의 주소록에 있는 모든 가입자에게 이메일로 자신의 복사본을 보냅니다. 모든 구독자는 게임을 우편으로 받아 추가 배포가 가능합니다.

네트워크 공격 클래스에는 기업 네트워크에서 네트워크 트래픽의 의심스럽고 변칙적인 동작을 유발하는 공격이 포함됩니다. 이는 소위 네트워크 이상 현상입니다. 네트워크 이상 현상도 분류할 수 있습니다. 이는 하드웨어 및 소프트웨어 편차와 보안 문제라는 두 가지 주요 그룹으로 나눌 수 있습니다(그림 1.2.1).

1. 소프트웨어 및 하드웨어 편차.

정보 시스템 구성 요소의 소프트웨어 오류로 인해 비정상적인 모드로 전환되어 서비스 제공이 중단될 수 있습니다.

구성 오류가 번역됩니다. 기능성표준 설계 매개변수를 준수하지 않는 정보 시스템 구성 요소로 인해 전체 성능이 저하됩니다.

성능 위반은 계산된 값을 넘어서는 정보 시스템 매개변수의 이탈을 수반하며, 이는 서비스 제공 위반을 동반합니다.

하드웨어 오류로 인해 정보 시스템의 개별 구성 요소가 완전히 실패하고 전체 컴플렉스에 대한 별도 하위 시스템의 성능 저하가 발생할 수 있습니다.

2. 보안 위반.

네트워크 토폴로지를 분석하고 공격 가능한 서비스를 탐지하기 위해 네트워크 스캐닝이 수행됩니다. 스캔 과정에서 특정 포트에 접속하여 네트워크 서비스에 연결을 시도합니다. 개방형 스캔의 경우 스캐너는 3방향 핸드셰이크 절차를 수행하고 폐쇄형(스텔스) 스캔의 경우 연결을 완료하지 않습니다. 단일 호스트를 스캔할 때 서비스(포트) 열거가 발생하므로 이 이상 현상은 하나의 스캐너 IP 주소에서 여러 포트의 특정 IP 주소로 액세스하려는 시도가 특징입니다. 그러나 대부분의 경우 전체 서브넷이 검색되는데, 이는 공격받은 네트워크에 하나의 스캐너 IP 주소부터 검사 중인 서브넷의 여러 IP 주소까지 많은 패킷이 존재하는 경우 표시되며 때로는 순차 검색 방법을 사용하는 경우도 있습니다. 가장 유명한 네트워크 스캐너로는 nmap, ISS, satan, strobe, xscan 등이 있습니다.

트래픽 분석기 또는 스니퍼는 네트워크 트래픽을 가로채서 분석하도록 설계되었습니다. 가장 간단한 경우에는 하드웨어 컴플렉스의 네트워크 어댑터를 청취 모드로 전환하고 연결된 세그먼트의 데이터 흐름을 추가 연구에 사용할 수 있게 됩니다. 많은 응용 프로그램이 명확하고 암호화되지 않은 형식으로 정보를 전송하는 프로토콜을 사용하기 때문에 스니퍼의 작업으로 인해 보안 수준이 크게 저하됩니다. 스니퍼는 네트워크 작동에 심각한 이상 현상을 일으키지 않습니다. 가장 유명한 스니퍼는 tcpdump, ethereal, sniffit, Microsoft 네트워크 모니터, netxray, lan Explorer입니다.

컴퓨터 보안에서 취약성이라는 용어는 무단 영향으로부터 약하게 보호되는 정보 시스템의 구성 요소를 지정하는 데 사용됩니다. 취약점은 설계, 프로그래밍 또는 구성 오류로 인해 발생할 수 있습니다. 취약점은 이론적으로만 존재할 수도 있고 공격적인 소프트웨어 구현(Exploit)을 가질 수도 있습니다. 네트워크 측면에서는 다음과 같은 정보자원이 운영체제그리고 소프트웨어 서비스.

바이러스성 네트워크 활동은 네트워크 리소스를 사용하여 컴퓨터 바이러스 및 웜을 확산시키려는 시도의 결과입니다. 대부분의 경우 컴퓨터 바이러스는 네트워크 응용 프로그램 서비스의 단일 취약점을 악용하므로 바이러스 트래픽은 감염된 하나의 IP 주소에서 잠재적으로 취약한 서비스에 해당하는 특정 포트의 여러 IP 주소로 호출이 많이 발생하는 것이 특징입니다.

표 9.1.
프로토콜 이름 수준 프로토콜 스택 취약점 이름(특성) 위반 내용 정보 보안
FTP(파일 전송 프로토콜) – 네트워크를 통해 파일을 전송하기 위한 프로토콜
  • 기반 인증 일반 텍스트(비밀번호는 암호화되지 않은 상태로 전송됩니다)
  • 기본 액세스
  • 두 개의 개방형 포트 사용 가능
  • 기회 데이터 가로채기
텔넷 - 제어 프로토콜원격 터미널 신청, 대표, 세션 기반 인증 일반 텍스트(비밀번호는 암호화되지 않은 상태로 전송됩니다)
  • 기회 데이터 가로채기 계정(등록된 사용자 이름, 비밀번호).
  • 영수증 원격 액세스호스트에게
UDP- 데이터 전송 프로토콜연결이 없는 수송 버퍼 과부하를 방지하는 메커니즘이 없습니다.
  • UDP 스톰 구현 가능성.
  • 패킷 교환으로 인해 서버 성능이 크게 저하됩니다.
ARP – IP 주소-물리적 주소 프로토콜 회로망 기반 인증 일반 텍스트(정보는 암호화되지 않은 상태로 전송됩니다) 공격자가 사용자 트래픽을 가로챌 가능성
RIP – 라우팅 정보 프로토콜 수송 경로 변경 제어 메시지의 인증 부족 공격자의 호스트를 통해 트래픽을 리디렉션하는 기능
TCP 제어 프로토콜옮기다 수송 패킷 서비스 헤더가 올바르게 채워졌는지 확인하는 메커니즘이 부족합니다. 교환 속도가 크게 감소하고 심지어 완전한 휴식 TCP 프로토콜을 통한 임의 연결
DNS – 니모닉 이름과 네트워크 주소 간의 통신을 설정하기 위한 프로토콜 신청, 대표, 세션 소스로부터 수신된 데이터의 인증을 검증하는 수단이 부족함 DNS 서버 응답 변조
IGMP – 라우팅 메시지 프로토콜 회로망 경로 매개변수 변경에 대한 메시지 인증 부족 Win 9x/NT/2000 시스템 정지
SMTP – 이메일 메시지 전달 서비스를 제공하기 위한 프로토콜 신청, 대표, 세션 이메일 메시지와 주소를 위조할 가능성 메시지를 보낸 사람
SNMP 제어 프로토콜네트워크의 라우터 신청, 대표, 세션 메시지 헤더 인증이 지원되지 않습니다. 네트워크 대역폭 과부하 가능성

네트워크를 통해 수행되는 위협은 다음과 같은 주요 특성에 따라 분류됩니다.

  1. 위협의 성격.

    수동적 - 정보 시스템의 작동에 영향을 미치지 않지만 보호된 정보에 대한 접근 규칙을 위반할 수 있는 위협입니다. 예: 스니퍼를 사용하여 네트워크를 "수신"합니다. 활성 – 정보 시스템의 구성 요소에 영향을 미치는 위협으로, 그 구현이 시스템 운영에 직접적인 영향을 미칩니다. 예: TCP 요청 폭풍 형태의 DDOS 공격.

  2. 위협의 목표(각각, 정보의 기밀성, 가용성, 무결성).
  3. 공격 시작 조건:
    • 공격자의 요청에 따라. 즉, 공격자는 공격 시작 조건이 되는 특정 유형의 요청 전송을 기대합니다.
    • 공격받은 개체에서 예상되는 이벤트가 발생할 때.
    • 무조건적 영향 - 공격자는 아무것도 기다리지 않습니다. 즉, 위협은 공격 대상 개체의 상태에 관계없이 즉시 구현됩니다.
  4. 피드백 가용성공격받은 개체와 함께:
    • 피드백을 통해 공격자는 일부 요청에 대한 응답을 받아야 합니다. 따라서 대상과 공격자 사이에는 피드백이 존재하므로 공격자는 공격 대상 개체의 상태를 모니터링하고 변경 사항에 적절하게 대응할 수 있습니다.
    • 피드백 없음 - 따라서 피드백이 없으며 공격자가 공격 대상 개체의 변경 사항에 반응할 필요가 없습니다.
  5. 공격받은 정보 시스템과 관련된 침입자의 위치: 세그먼트 내 및 세그먼트 간. 네트워크 세그먼트는 네트워크 주소가 있는 호스트, 하드웨어 및 기타 네트워크 구성 요소의 물리적 연결입니다. 예를 들어, 하나의 세그먼트는 토큰링을 기반으로 하는 공통 버스에 연결된 컴퓨터로 구성됩니다.
  6. 위협이 구현되는 ISO/OSI 참조 모델 계층: 물리적, 채널, 네트워크, 전송, 세션, 대표, 애플리케이션.

현재 네트워크에서 가장 일반적인 공격을 살펴보겠습니다. 프로토콜 스택 TCP/IP.

  1. 네트워크 트래픽 분석.이 공격은 스니퍼(sniffer)라는 특수 프로그램을 사용하여 구현됩니다. 스니퍼는 무차별 모드, 즉 네트워크 카드가 수신자에 관계없이 모든 패킷을 허용하는 소위 "무차별" 모드에서 작동하는 네트워크 카드를 사용하는 응용 프로그램입니다. 정상적인 상태에서는 이더넷 인터페이스에서 링크 계층 패킷 필터링이 사용되며, 수신된 패킷의 대상 헤더에 있는 MAC 주소가 현재의 MAC 주소와 일치하지 않는 경우 네트워크 인터페이스브로드캐스트가 아닌 경우 패킷이 삭제됩니다. "무차별" 모드에서는 다음을 기준으로 필터링합니다. 네트워크 인터페이스비활성화되고 현재 노드를 대상으로 하지 않는 패킷을 포함한 모든 패킷이 시스템에 허용됩니다. 이러한 프로그램 중 다수는 오류 진단이나 트래픽 분석과 같은 법적 목적으로 사용된다는 점에 유의해야 합니다. 그러나 위에서 검토한 표에는 비밀번호를 포함한 정보를 전송하는 프로토콜이 나열되어 있습니다. 공개 양식– FTP, SMTP, POP3 등 따라서 스니퍼를 사용하면 사용자 이름과 비밀번호를 가로채고 기밀 정보에 무단으로 액세스할 수 있습니다. 또한 많은 사용자가 동일한 비밀번호를 사용하여 많은 온라인 서비스에 액세스합니다. 즉, 인증이 취약한 형태로 네트워크의 한 곳에 취약점이 있을 경우 네트워크 전체가 어려움을 겪을 수 있다. 공격자는 인간의 약점을 잘 알고 있으며 사회 공학적 방법을 널리 사용합니다.

    이러한 유형의 공격으로부터 보호하는 방법에는 다음이 포함될 수 있습니다.

    • 강력한 인증예를 들어 일회용 비밀번호(일회성 암호). 비밀번호는 한 번만 사용할 수 있고 공격자가 스니퍼를 사용하여 이를 가로채더라도 아무런 가치가 없다는 아이디어입니다. 물론 이 보호 메커니즘은 비밀번호 가로채기로부터만 보호하며 이메일과 같은 다른 정보를 가로채는 경우에는 쓸모가 없습니다.
    • 안티 스니퍼는 네트워크 세그먼트에서 스니퍼의 작동을 감지할 수 있는 하드웨어 또는 소프트웨어입니다. 일반적으로 "초과" 부하를 결정하기 위해 네트워크 노드의 부하를 확인합니다.
    • 전환된 인프라. 네트워크 트래픽 분석은 하나의 네트워크 세그먼트 내에서만 가능하다는 것은 분명합니다. 네트워크가 여러 세그먼트(스위치 및 라우터)로 분할된 장치에 구축된 경우 이러한 장치의 포트 중 하나에 속하는 네트워크 부분에서만 공격이 가능합니다. 이는 스니핑 문제를 해결하지 못하지만 공격자가 "수신"할 수 있는 경계를 줄입니다.
    • 암호화 방법. 스니퍼 작업을 처리하는 가장 안정적인 방법입니다. 감청을 통해 얻을 수 있는 정보는 암호화되어 있으므로 아무 쓸모가 없습니다. 가장 일반적으로 사용되는 것은 IPSec, SSL 및 SSH입니다.
  2. 네트워크 스캔.네트워크 스캐닝의 목적은 네트워크에서 실행 중인 서비스, 열린 포트, 활성 상태를 식별하는 것입니다. 네트워크 서비스, 사용된 프로토콜 등, 즉 네트워크에 대한 정보를 수집합니다. 네트워크 검색에 가장 일반적으로 사용되는 방법은 다음과 같습니다.
    • DNS 쿼리는 공격자가 도메인 소유자, 주소 영역,
    • 핑 테스트 – 이전에 얻은 DNS 주소를 기반으로 작동 호스트를 식별합니다.
    • 포트 스캐닝 - 이러한 호스트, 열린 포트, 애플리케이션 등이 지원하는 전체 서비스 목록이 컴파일됩니다.

    가장 일반적이고 좋은 대책은 IDS를 사용하는 것입니다. IDS는 네트워크 스캐닝 징후를 성공적으로 찾아 관리자에게 이를 알립니다. 예를 들어 라우터에서 ICMP 에코 및 에코 응답을 비활성화하면 핑 위협을 제거할 수 있지만 동시에 네트워크 오류 진단에 필요한 데이터가 손실되므로 이 위협을 완전히 제거하는 것은 불가능합니다. .

  3. 비밀번호 공개.이 공격의 주요 목표는 비밀번호 보호를 극복하여 보호된 리소스에 대한 무단 액세스를 얻는 것입니다. 비밀번호를 얻기 위해 공격자는 간단한 무차별 대입, 사전 무차별 대입, 스니핑 등 다양한 방법을 사용할 수 있습니다. 가장 일반적인 방법은 가능한 모든 비밀번호 값에 대한 간단한 무차별 대입 검색입니다. 단순한 무차별 공격으로부터 보호하려면 추측하기 쉽지 않은 강력한 비밀번호를 사용해야 합니다. 길이는 6~8자이고 대문자와 소문자를 사용하고 특수 문자(@, #, $ 등)를 사용합니다.

    또 다른 정보 보안 문제는 대부분의 사람들이 모든 서비스, 애플리케이션, 사이트 등에 동일한 비밀번호를 사용한다는 것입니다. 또한 비밀번호의 취약성은 비밀번호 사용의 가장 취약한 영역에 따라 다릅니다.

    이러한 유형의 공격은 앞서 설명한 일회용 비밀번호나 암호화 인증을 사용하여 피할 수 있습니다.

  4. IP 스푸핑 또는 신뢰할 수 있는 네트워크 개체 대체.이 경우 신뢰된다는 것은 서버에 합법적으로 연결된 네트워크 개체(컴퓨터, 라우터, 방화벽 등)를 의미합니다. 위협은 신뢰할 수 있는 네트워크 개체를 가장하는 공격자로 구성됩니다. 이는 두 가지 방법으로 수행할 수 있습니다. 먼저, 인증된 IP 주소 범위 내의 IP 주소를 사용하거나, 특정 네트워크 자원에 대한 접근이 허용된 인증된 외부 주소를 사용하세요. 이러한 유형의 공격은 종종 다른 공격의 시작점이 됩니다.

    일반적으로 신뢰할 수 있는 네트워크 엔터티를 스푸핑하는 것은 네트워크 엔터티 간에 전송되는 정상적인 데이터 흐름에 잘못된 정보나 악의적인 명령을 삽입하는 것으로 제한됩니다. 양방향 통신의 경우 공격자는 모든 라우팅 테이블을 변경하여 트래픽을 잘못된 IP 주소로 보내야 하며, 이는 또한 가능합니다. 위협을 완화하려면(제거하지는 않음) 다음을 사용할 수 있습니다.

    • 액세스 제어. 네트워크 내부의 소스 주소를 사용하여 외부 네트워크에서 들어오는 모든 트래픽을 거부하도록 액세스 제어를 구성할 수 있습니다. 이 방법은 내부 주소만 인증된 경우에 유효하며, 인증된 외부 주소가 있는 경우에는 작동하지 않습니다.
    • RFC 2827 필터링 – 이 유형의 필터링을 사용하면 네트워크 사용자가 다른 네트워크를 스푸핑하려는 시도를 중지할 수 있습니다. 이렇게 하려면 소스 주소가 조직의 IP 주소 중 하나가 아닌 모든 나가는 트래픽을 거부해야 합니다. 이러한 유형의 필터링은 공급자가 수행하는 경우가 많습니다. 결과적으로 특정 인터페이스에서 예상되는 소스 주소가 없는 모든 트래픽은 거부됩니다. 예를 들어, ISP가 IP 주소 15.1.1.0/24에 대한 연결을 제공하는 경우 15.1.1.0/24에서 발생하는 트래픽만 해당 인터페이스에서 ISP의 라우터로 허용되도록 필터를 구성할 수 있습니다. 모든 공급자가 이러한 유형의 필터링을 구현할 때까지는 그 효율성이 가능한 것보다 훨씬 낮습니다.
    • 추가 인증 방법 구현. IP 스푸핑은 IP 기반 인증을 통해서만 가능합니다. 암호화 등의 추가 인증 수단을 도입하면 공격이 쓸모 없게 됩니다.
  5. 서비스 거부(DoS)- 컴퓨터 시스템에 장애를 일으키려는 목적으로 컴퓨터 시스템에 대한 공격, 즉 시스템의 합법적인 사용자가 시스템에서 제공하는 리소스에 액세스할 수 없거나 이러한 액세스가 어려운 조건을 만드는 것입니다.

    DoS 공격은 최근 가장 일반적이고 잘 알려진 공격으로, 이는 주로 구현의 용이성 때문입니다. DOS 공격을 구성하려면 최소한의 지식과 기술이 필요하며 네트워크 소프트웨어 및 네트워크 프로토콜의 단점을 기반으로 합니다. 공격이 세트로 진행되는 경우 네트워크 장치, 그들은 분산 DoS 공격(DDoS - 분산 DoS)에 대해 이야기합니다.

    오늘날 다음과 같은 5가지 유형의 DoS 공격이 가장 일반적으로 사용되며, 이에 대한 소프트웨어의 양이 많고 보호하기가 가장 어렵습니다.

    • 스머프- ICMP 핑 요청. 핑 패킷(ICMP ECHO 메시지)이 브로드캐스트 주소(예: 10.255.255.255)로 전송되면 해당 패킷은 해당 네트워크의 모든 시스템에 전달됩니다. 공격의 원리는 공격받은 호스트의 소스 주소와 함께 ICMP ECHO REQUEST 패킷을 보내는 것입니다. 공격자는 지속적인 핑 패킷 스트림을 네트워크 브로드캐스트 주소로 보냅니다. 모든 시스템은 요청을 받으면 ICMP ECHO REPLY 패킷으로 소스에 응답합니다. 따라서 응답 패킷 흐름의 크기는 호스트 수에 비례하여 증가합니다. 결과적으로, 혼잡으로 인해 전체 네트워크가 서비스 거부를 당하게 됩니다.
    • ICMP 홍수- 스머프와 유사한 공격이지만 지향성 브로드캐스트 주소에 대한 요청으로 생성된 증폭이 없습니다.
    • UDP 플러드- 공격받은 노드의 주소로 여러 개의 UDP(사용자 데이터그램 프로토콜) 패킷을 보냅니다.
    • TCP 플러드- 공격받은 노드의 주소로 여러 개의 TCP 패킷을 보냅니다.
    • TCP SYN 플러드- 이러한 유형의 공격을 수행할 때 공격받은 노드와의 TCP 연결을 초기화하기 위해 많은 수의 요청이 발행되며, 결과적으로 부분적으로 열린 연결을 추적하는 데 모든 리소스를 소비해야 합니다.

    웹 서버나 FTP 서버 응용 프로그램을 사용하는 경우 DoS 공격으로 인해 해당 응용 프로그램에 사용 가능한 모든 연결이 중단되고 사용자는 해당 응용 프로그램에 액세스할 수 없습니다. 일부 공격은 불필요한 패킷으로 인해 전체 네트워크를 다운시킬 수 있습니다. 이러한 공격에 대응하려면 공급자의 개입이 필요합니다. 왜냐하면 네트워크 입구에서 원치 않는 트래픽을 중지하지 않으면 대역폭을 점유하게 되기 때문에 공격이 중지되지 않기 때문입니다.

    다음 프로그램은 DoS 공격을 구현하는 데 가장 자주 사용됩니다.

    • 트리누- 역사적으로 UDP 플러드라는 단일 유형의 DoS 공격을 최초로 구성한 다소 원시적인 프로그램입니다. "trinoo" 제품군의 프로그램은 표준 보안 도구로 쉽게 탐지되며 보안에 대해 최소한 관심을 두는 사람들에게는 위협이 되지 않습니다.
    • TFN 및 TFN2K- 더 심각한 무기. Smurf, UDP 플러드, ICMP 플러드, TCP SYN 플러드 등 여러 유형의 공격을 동시에 구성할 수 있습니다. 이러한 프로그램을 사용하려면 공격자가 훨씬 더 숙련되어야 합니다.
    • DoS 공격을 구성하는 최신 도구 - 스타헬드라흐트("가시 철사"). 이 패키지를 사용하면 가장 많은 것을 정리할 수 있습니다. 다양한 방식브로드캐스트 핑 요청의 공격과 산사태. 또한 컨트롤러와 에이전트 간의 데이터 교환은 암호화되며 소프트웨어 자체에는 자동 수정 기능이 내장되어 있습니다. 암호화를 사용하면 공격자를 탐지하기가 매우 어렵습니다.

    위협을 완화하려면 다음을 사용할 수 있습니다.

    • 스푸핑 방지 기능 - 라우터 및 방화벽에서 스푸핑 방지 기능을 올바르게 구성하면 DoS 위험을 줄이는 데 도움이 됩니다. 이러한 기능에는 최소한 RFC 2827 필터링이 포함되어야 하며, 해커가 자신의 실제 신원을 위장할 수 없다면 공격을 수행할 가능성은 거의 없습니다.
    • DoS 방지 기능 - 라우터 및 방화벽에서 DoS 방지 기능을 올바르게 구성하면 공격의 효과가 제한될 수 있습니다. 이러한 기능은 특정 시간에 반쯤 열린 채널의 수를 제한하는 경우가 많습니다.
    • 트래픽 속도 제한 - 조직은 ISP에 트래픽 양을 제한하도록 요청할 수 있습니다. 이러한 유형의 필터링을 사용하면 네트워크를 통과하는 중요하지 않은 트래픽의 양을 제한할 수 있습니다. 일반적인 예는 진단 목적으로만 사용되는 ICMP 트래픽의 볼륨을 제한하는 것입니다. DoS 공격은 종종 ICMP를 사용합니다.

    이러한 유형의 위협에는 여러 가지 유형이 있습니다.

    • 숨겨진 서비스 거부는 네트워크 리소스의 일부가 공격자가 전송한 패킷을 처리하는 데 사용되어 채널 용량을 줄이고 요청 처리 시간을 방해하며 네트워크 장치의 성능을 방해하는 경우입니다. 예: 방향성 ICMP 에코 요청 폭풍 또는 TCP 연결 요청 폭풍.
    • 공격자가 보낸 패킷을 처리한 결과 네트워크 리소스가 고갈되어 발생하는 명백한 서비스 거부입니다. 동시에 전체 채널 대역폭이 점유되고, 버퍼가 가득 차고, 디스크 공간이 가득 차는 등의 이유로 합법적인 사용자 요청을 처리할 수 없습니다. 예: 방향성 폭풍(SYN-플러딩).
    • 간의 논리적 연결 위반으로 인해 발생하는 명시적인 서비스 거부 기술적 수단공격자가 네트워크 장치를 대신하여 제어 메시지를 전송할 때 네트워크. 이 경우 라우팅 및 주소 데이터가 변경됩니다. 예: ICMP 리디렉션 호스트 또는 DNS 플러드.
    • 공격자가 비표준 속성(예: UDP 폭탄)을 사용하거나 최대 길이를 초과하는 패킷(Ping Death)을 전송하여 발생하는 명시적인 서비스 거부입니다.

    DoS 공격은 정보의 가용성을 방해하는 것을 목표로 하며 무결성과 기밀성을 침해하지 않습니다.

  6. 애플리케이션 수준 공격.이러한 유형의 공격에는 서버의 "간격"을 이용하는 것이 포함됩니다. 소프트웨어(HTML, 센드메일, FTP). 이러한 취약점을 이용하여 공격자는 애플리케이션 사용자를 대신하여 컴퓨터에 액세스할 수 있습니다. 애플리케이션 계층 공격은 방화벽을 "통과"할 수 있는 포트를 사용하는 경우가 많습니다.

    애플리케이션 계층 공격의 주요 문제점은 방화벽을 통과하도록 허용된 포트를 사용하는 경우가 많다는 것입니다. 예를 들어, 웹 서버를 공격하는 해커는 TCP 포트 80을 사용할 수 있습니다. 웹 서버가 사용자에게 페이지를 제공하려면 방화벽의 포트 80이 열려 있어야 합니다. 방화벽의 관점에서 보면 공격은 포트 80의 표준 트래픽으로 처리됩니다.

    새로운 취약점이 있는 응용 프로그램이 정기적으로 등장하기 때문에 응용 프로그램 수준 공격을 완전히 제거하는 것은 불가능합니다. 여기서 가장 중요한 것은 좋은 시스템 관리입니다. 이러한 유형의 공격에 대한 취약성을 줄이기 위해 취할 수 있는 몇 가지 조치는 다음과 같습니다.

    • 로그 읽기(시스템 및 네트워크)
    • http://www.cert.com과 같은 전문 사이트를 사용하여 새로운 소프트웨어의 취약점을 추적합니다.
    • IDS 사용.

네트워크 공격의 특성상 각 특정 네트워크 노드에 의해 공격 발생이 제어되지 않는다는 것이 분명합니다. 우리는 네트워크에서 가능한 모든 공격을 고려하지 않았지만 실제로는 더 많은 공격이 있습니다. 그러나 모든 유형의 공격으로부터 보호하는 것은 불가능해 보입니다. 네트워크 경계를 보호하는 가장 좋은 방법은 대부분의 사이버 범죄 공격에 사용되는 취약점을 제거하는 것입니다. 이러한 취약점 목록은 SANS Institute 웹사이트(http://www.sans.org/top-cyber-security-risks/?ref=top20)와 같이 해당 통계를 수집하는 많은 사이트에 게시되어 있습니다. 일반 공격자는 독창적인 공격 방법을 찾는 것이 아니라 네트워크에서 알려진 취약점을 검색하여 이를 악용합니다.



질문에 대한 답변을 찾지 못하셨나요? 여기 좀 봐
바람피우는 사람, 애인, 여주인이 있나요?바람피우는 사람, 애인, 여주인이 있나요?
피해에 대한기도로 질책피해에 대한기도로 질책
집에서 자신에 대한 사랑의 주문을 제거하는 방법 주문을 제거하는 방법집에서 자신에 대한 사랑의 주문을 제거하는 방법 주문을 제거하는 방법