Web Development

[네트워크 보안] 네트워크 해킹 절차 세부론

Celestia 2011. 12. 28. 18:04
http://hyeljang.blog.me/80146001831 - 정보 침해 사고 대응팀  [네이버 블로그]

  

 
 네트워크 해킹 에서 Scanning이란 : 침투 대상 서버 상태와 서비스 내역 및 활성화 상태를
확인을 한 절차
                                  
  네트워크 해킹 스캐닝에 쓰이는 프로토콜 종류 : ICMP, TCP/UDP  네트워크 해킹 - scanning

 Ping : 네트워크와 시스템이 정상적으로 작동하는 확인하기 위한 유틸리티
 Ping이 중요한 이유는 Ping을 통해 시스템 정보를 알 수있기 때문이다.!!

   
    64가 뜨는 것은 리눅스 계열
   128이 뜨는 것은 윈도우 계열
   255가 뜨는 것은 솔라리스,HP-UX,FreeBSD

 
  - UDP의 경우 -

  포트가 열려있다면, 공격자가 빅팀으로 UDP패킷을 보낸다면 아무런 응답이 없다.
  포트가 닫혀있다면, 공격자가 빅팀으로 UDP패킷을 보낼경우, ICMP Unreachable 패킷이 돌아온다

 

 - TCP의 경우 - 

 TCP OPEN Scan (Nmap 에서 -sT옵션으로 하고 뒤에 ip주소 입력) --> nmap 이 어떻게 돌아가는지 그 속성을 잘알아둬야한다. -->syn을 소스에서 다른포트로 돌려가면서 보낸다.


기본적으로 쓰리핸즈 쉐이크와 같이 정상적인 과정이 수행되면 로그기록이 남게 되어 잘 안한다.하지만 이를 변조해야지..
 
   포트가열려있다면, syn-->syn,ack-->ack해서 쓰리핸즈를 한다.
   포트가 닫혀있다면, syn-->rst,ack  을 하게 된다.

   이때, 포트가 열려있는 경우 내가 ack말고 rst를 보내주면 비정상적이라 로그가 남지 않겠네..^^

 
 -- Stealth Scan : 스캔하는 대상에 단순히 로그를 남기지 않음, 공격대상을 속이고, 자신의 위치또한 숨기는 스캔

        

          종류 : TCP Half Scan, FIN, Xmas, Null Scan

   

 --> TCP Half Open Scan
  
    완전한 세션을 성립시키지 않고 , 포트의 활성화 확인 --> 로그기록 남지않음

    포트가 열린 경우 syn --> syn,ack--> rst를 해서 비정상적 패킷을 공격대상포트로 보낸다.
    포트가 닫힌 경우, syn -->rst,act을 한다.


    --> FIN, Xmas, Null Scan
     
        공격자는 FIN,Xmas 패킷을 전송한다. 이 때 서비스 PORT가 열려 있으면, 아무런 응답이 없다 하지만,      
        포트가 닫혀 있다면, FIN,Xmas 패킷을 전송한 이후에 RST패킷이 날아온다.


 

 NMAP 은 대표적인 스캐닝 도구다. 

< NMAP의 옵션 > 

-sS : 세션을 성립시키지 않는 SYN 스캔 (TCP Half open scan)
-sN : NULL 패킷을 이용한 스캔

  -sX : XMAS 패킷을 이용한 스캔
  -sU : UDP 포트 스캔
  -sP : ping을 이용한 호스트 활성화 여부 확인
  -sF : FIN 패킷을 이용한 스캔

 HOST 피씨에서 NMAP으로 target을 리눅스 ip로 잡고 UDP로 와이어 샤크해보기!!
 패킷들을 분석해보면, UDP에서 프로토콜이 FF로 바뀌는 것을 알 수있는데, 왜 바뀔까?

 nmap프로그램의 command 창에서, nmap -sU 192.168.0.188 을 입력해준다.

 

 <보안방안> 

 TCP Half open Scan에서 보면, 짧은 시간에 동일한 IP주소에서 여러포트로 SYN패킷을 날리는 것을
확인할 수 있다. 따라서 방화벽설정을 통해 이러한 형태로 들어오는 SYN패킷은 차단하라는 방화벽규칙을 세울수가 있는 것이다. -->하지만 방화벽을 적용해도 우회할 수 있다. 짧은 시간에 SYN을 여러개 반복해서 보내는 것이 문제라면 SYN패킷을 보낼때 일정부분 시간을 주고 보내는 등의 방법을 통해서 우회가 가능한 것이다.

1. 포트가 닫히며느 서비스가 닫힌다. --> 필요한 포트만 열어두도록 한다.

2. 방화벽을 설치한다.  -- white list : 되는 놈들만 접속할 수 있도록 라우터에 직접 입력
                       -- black list : 안되는 놈들만 접근이 안되도록 안될놈들의 리스트를 만듬
  
        보안적 측면에서는 white list를 가지고 되는 놈만 되고 나머지는 모두 차단시키면, 완벽하겠지
       만 현실적이지 못하다. 대기업의 경우 엄청나게 많은 사람들이 들어오게 되는데, 이를 일일이
       리스트로 입력해두기가 어렵기 때문이다, 따라서 현실에서는 black list기법을 많이 쓴다.

3.  방화벽--> IDS : 침입탐지 시스템, IPS : 침입 방어 시스템
                    실무에서는 IPS를 많이 쓴다. 

출처: I2SEC( i2sec.co.kr)  [출처] [네트워크 보안] 네트워크 해킹 절차 세부론|작성자 침해사고 대응 팀장


저작자표시 비영리 동일조건 (새창열림)