1. SYN 패킷만 보내어 서버를 점유함으로써 다른 사용자가 서버를 사용할 수 없게 하는 공격은 무엇인가?
SYN 플러딩 공격은 네트워크에서 서비스를 제공하는 시스템에는 동시 사용자 수 제한이있다. 이 네트워크의 특징을 이용해 공격하는 방법이다.
이 웹서버 동시 사용자는 200명 이런식으로 정해져 있는 식이지만 사용자 수를 변경할 수 있긴한데 무한정 늘릴 수는 없다.
이때 SYN 플러딩 공격은 동시 사용자 수 제한을 이용한다, 존재하지 않는 클라이언트가 서버별로 한정된 접속 가능 공간에 접속한 것처럼 속여 다른 사용자가 서비스를 제공받지 못하게한다.
2. 랜드 공격의 출발지 주소와 목적지 주소는?
'land'는 땅, 착률하다. 라는 뜻이다. 이 외에 '(나쁜 상태에)빠지게하다.' 이러한 뜻도 있다. 랜드 공격은 시스템을 나쁜 상태에 빠트리는 것으로 방법도 아주 간단하다.
랜드 공격은 시스템을 나쁜 상태에 빠뜨리는 것으로 방법도 아주 간단하다. 패킷을 전송할 때 출발지 IP주소와 목적지 IP주소의 값을 똑같이 만들어서 공격 대상에게 보내는 것이다. 물론 이때 조작된 목적지 IP 주소는 공격대상의 IP주소여야 한다.
간단히 얘기하면 패킷을 전송할 때 출발지 IP주소와 목적지 IP주소값을 똑같이 만들어서 공격대상에게 보내는 것, 자기 꼬리를 빙빙 쫓는 강아지마냥 보내면 나한테 오고 그냥 시스템을 지치게 만들어버린다.
보안 대책은 주로 운영체제의 패치관리를 통해 보안대책 마련, 네트워크 보안 솔루션에는 출발지 주소와 목적지 주소의 정절성을 검증하는 기능이 있음
3. 티어드롭 공격을 설명하고 티어드롭 보안대책도 서술할것
시퀸스 넘버가 조작된 패킷의 흐름은 공격 대상에게 절대로 풀 수 없는 퍼즐을 던져주는 것과 같음
4. 죽음의 핑 공격을 설명하고 죽음의 핑 공격 보안대책도 서술할 것
네트워크의 연결 상태를 점검하는 ping 명령을 보낼 때 공격 대상에게 패킷을 최대한 길게(최대 65,500바이트) 보내면 지나가는 네트워크의 특성에 따라 수백 개에서 수천 개의 패킷으로 잘게 쪼개진다. 네트워크의 특성상 한 번 나뉜 패킷이 다시 합쳐져서 전송되는 일은 거의 없다. 결과적으로 공격 대상 시스템은 대량의 작은 패킷을 수신하느라 네트워크가 마비된다. 이러한 공격 방식은 아직도 유효하다.
죽음의 핑 공격은 윈도우 95, 98과 리눅스 6.0 이하의 버전에서 유효하다.
5. ICMP를 설명하세요.
ping이 사용하는 호스트 서버와 인터넷 게이트웨이 사이에서 메시지를 제어하고 오류를 알려주는 프로토콜이다.
ICMP
- ICMP는 TCP/IP에서 IP 패킷을 처리할 때 발생되는 문제를 알려주는 프로토콜
- ICMP는 해당 호스트가 없거나, 해당 포트에 대기중에 서버 프로그램이 없는 등의 에러상황이 발생할 경우 IP헤더에 기록되어 있는 출발지 호스트로 이러한 에러에 대한 상황을 보내주는 역할을 수행
- 통신 유무 확인 시 자주 쓰는 윈도우의 ping 같은 경우도 ICMP 프로토콜을 이용한 방법
- A에서 B 컴퓨터의 상태를 보기 위해 명령어 "ping [B IP 주소]" 를 입력하게 되면 윈도우에서는 자연스럽게 ICMP 프로토콜을 이용하여 해당 프로토콜을 상대방(B) 컴퓨터로 보내게 된다. 그렇게 되면 B로 가는 도중 생기는 에러들을 유형에 맞게 끔 에러메시지(Destination Unreachable, Time Exxeeded 등), 에러코트(code 3, 11)로 회신하게 되며, 해당 정보르르 바탕으로 송신자 컴퓨터(A)의 경우 수신자 컴퓨터(B)와의 현재통신(네트워크) 상태를 확인할 수 있다.
6. SYN 플러딩 공격은 3-웨이 핸드셰이킹의 문제점을 어떻게 악용하는지 설명하세요.
TCP는 패킷을 주고받기 전에 미리 연결을 맺어 가상 경로를 설정하는 연결 지향형 프로토콜로, TCP에는 연결을 설정하는 과장과 연결을 종료하는 과정이 존대한다. 이 연결 과정을 3WayHandShaking이라 하는데 예를 들어 설명하면 클라이언트에서 SYN을 Sent를 하면 서버에서 Received하고 다시 클라이언트에 ACK를 하고 클라이언트가 다시 ACK하는데 플러딩 공격은 여기서 그냥 계속 무작정 서버가 미어 터질때까지 SYN을 Sent하는거다. 이러면 다른 통신들은 못한다.
TCP의 연결과정인 3Way Handshake 에서 취약점을 이용하여 공격을 한다.
이 공격을 당하게 된다면 TCP의 연결 가능한 자원을 모두 소진하게 되고, 외부 사용자는 TCP 연결을 할 수가 없게 된다.
7. HTTP GET 플러딩 공격과 동적 HTTP 리퀘스트 플러딩 공격을 비교 설명하세요.
8. 스머프공격은 다이렉트 브로드캐스트를 어떻게 악용하는지 설명하세요.
다이렉트 브로드캐스트는 목적지 IP주소 255.255.255.255를 가지고 네트워크의 임의 시스템에 패킷을 보내는 것이다. 이러한 브로드캐스트는 기본적으로 네트워크 계층 장비인 라우터를 넘어가지 못한다. 라우터를 넘어가서 브로드캐스트를 해야 하는 특별한 경우에는 172.16.0.255와 같이 네트워크 부분(172.16.0)에 정상적인 IP를 적고 해당 네트워크에 있는 클라이언트의 IP주소 부분에 브로드캐스트 주소인 255를 채워서 원격지의 네트워크에 브로드캐스트를 할 수 있다. 이를 브로드캐스트라 한다.
스머프 공격에 대한 대응책은 아주 간단하다. 라우터에서 다이렉트 브로드캐스트를 막으면 되는데 처음부터 다이렉트 브로드캐스트를 지원하지 않은 라우도도 있다.
9. 최근에 발생하는 분산서비스 공격 과정을 설명하세요.
전파 과정에서는 별다른 공격 없이 잠복
악성 코드에 감염된 PC를 좀비 PC라 하며, 좀비 PC끼리 형성된 네트워크를 봇넷 이라고함
분산 서비스 공격은 깡패들 점조직과 유사하다. 구조는 공격자 그 밑에 마스터 그 밑에 에이전트 그 밑에 공격 대상이다.