354.
a시스템에서 udp 패킷을 ttl=1부터 하나씩 늘려가면서 b시스템으로 전송하고
ttl이 4일때 b 시스템에 패킷이 도달한 후 icmp port Unreachable 패킷이 응답되었다
이 과정의 의미는?
=> traceroute (패킷이 목적지까지 도달하는 동안 거치는 라우터 IP를 확인. UDP와 ICMP, TTL값을 이용함)
355.
traceroute
- 네트워크와 라우팅 문제점을 찾아내는 목적
- udp 패킷으로 진행경로 추적
- 응답시간이 *인 경우 접근통제리스트에 의해 패킷이 차단되었을 가능성이 높음
356.
traceroute 프로그램은 icmp 프로토콜을 이용하여 패킷의 전송경로를 보여준다
icmp 메시지 중 traceroute와 연관이 있는 것
- time exceeded 시간초과 (TTL 값 이용)
- echo 에코 (윈도우의 tracert가 echo request 패킷을 이용해 TTL 값 이용)
357.
윈도우 환경에서 현재 설정된 라우팅 테이블을 출력하는 명령어
netstat -r
+ -i는 네트워크 인터페이스, -s는 네트워크 프로토콜, -a 소켓정보, -n 네트워크 주소를 숫자로.
358.
netstat -s 명령어로 통계정보를 확인가능한 프로토콜
- ICMP, TCP, UDP, IMCP ...
359.
윈도우7 명령프롬프트 netstat -an 명령어 사용
Proto Local address Foreign address State
TCP 0.0.00.0:912 0.0.0.0:0 LISTENING
TCP 192.168.111.4:1029 211.234.44.45:80 CLOSE_WAIT
TCP 192.168.111.4:1229 207.46.11.92:1883 ESTABLSHED
TCP 192.168.1218.1:139 0.0.0.0:0 LISTENING
로컬 컴퓨터와 통신중인 리모트 컴퓨터의 Ip 주소
=> 207.46.11.92:1883
상태가 ESTABLSHED인 Foreign address
360.
DNS 캐시 테이블 삭제 명령어
ipconfig /flushdns
361.
tcpdump는 네트워크 인터페이스를 거치는 패킷의 내용을 출력해준다
lan상의 모든 트래픽을 모니터링 하기 위해서는 이더넷 스위치에 [ 포트 미러링 ] 을 통해
다른 컴퓨터 트래픽이 도착하도록 하고
이더넷 모드를 [ 무차별 모드 Promiscuous Mode ]으로 변경해야 컴퓨터로 들어온 패킷을 운영체제에서 확인할 수 있다
362.
리눅스에서 DNS 프로토콜을 사용하는 명령어
- bind, dig, nslookup
363.
DOS 공격
- 디스크, 데이터, 시스템 파괴
- 메모리, 디스크 사용에 과부하, 시스템 자원 고갈
- 비정상패킷을 보내 대역폭 점유
364.
TCP SYN Flooding은 클라이언트가 짧은 시간에 많은 [SYN]을 서버에 보내 접속요청
클라이언트가 [ACK]를 보내주지 않아 서버는 대기상태가 되고, 많은 수의 SYN으로 대기 큐가 가득차서 DoS 상태가됨
365.
특정 네트워크 프로토콜 특성을 이용해 Source IP 주소를 공격 대상으로 하고
목적지 주소를 브로드캐스팅 주소로 하여 전송. 응답이 타겟 주소로 폭주하여 서비스 거부 상태가 된다
=> Smurf Attack = 스머핑
( ICMP 브로드캐스트를 통해 증폭 네트워크를 통하여 성능에 문제를 발생시킨다 )
366.
스머프 공격 대응방법
- 라우터 : 다른 네트워크로부터 자신의 네트워크로 들어오는 브로드캐스트 패킷 차단
- ip 브로드캐스트 주소로 전송된 icmp 패킷에 대해 응답하지 않도록 설정
+ ip 스푸핑 대응 : 출발지 주소가 내부 주소인 것을 차단
+ udp flooding 대응 : 사용하지 않는 udp 서비스 중지
367.
스머프 공격 방지를 위해 라우터에서 차단되어야하는 기능
=> Directed Broadcast
368.
IP 단편화 관련 취약점을 이용하는 Teardrop 공격
- 이상 중첩 상태의 IP 단편
369.
단편의 시작 위치와 페이로드 길이의 합이 단편 재조립 버퍼 크기를 초과하는 ICMP 패킷
수신측 시스템에 장애를 일으킨다 = 규정크기 이상의 ICMP 패킷으로 시스템 마비 유발
=> Ping of Death 죽음의 핑
+ 해시도스 공격 : 조작된 매개정보를 포함한 다량의 메시지가 해시테이블 검색을 위한 인덱스 해시값에 충돌을 발생시킨다. 정확한 값을 찾기 위해 모든 해시테이블을 검색하고, 서버는 CPU 자원을 모두 사용하여 정상 서비스 불가 상태가 됨
370.
- Boink : 불완전한 ip 단편 처리 로직을 악용
- LAND 공격 : 출발지와 목적지 주소를 똑같이 만들어 공격 대상에게 보냄
- 스머프 공격 : ICMP 패킷과 네트워크 시스템을 이용해 패킷을 증폭시켜 보낸다
- SYN 플러딩 : 동시사용자수 제한을 이용하여 다른 사용자가 서비스를 제공받지 못하도록 함
371.
UDP 플러딩 대응 : 사용하지 않는 UDP 서비스 중지
372.
ICMP 서비스 거부 공격
Smurf 공격 (icmp 브로드캐스트) & Ping of Death 공격 (아주 큰 icmp 패킷)
373.
TearDrop / NewTear 공격
- 패킷을 프래그먼트 할 때 데이터 일부가 겹쳐져 있다
374.
패킷을 1번으로 보낸 후 다음 패킷을 100번, 200번, 300번 등 정상적으로 보내다가 다시 20번째 패킷을 보내는 등 패킷 시퀀스 번호를 비정상 상태로 전송하는 공격
=> Boink
+ Bonk : 시퀀스 번호를 전부 1로 보냄
375.
분산서비스 거부공격의 구성요소
- 마스터, 에이전트, 공격자
376.
DDoS 공격 인지 방법
- 방화벽, IDS 등에서 유입 트래픽 크기 체크
- 웹서버 접속로그에서 비정상 접속 증가여부 확인
- 동시 접속정보에 대해 평시 대비 증감율 비교
- 서버로 유입되는 트래픽을, 샘플링하여 분석
377.
DDoS 대응 순서
모니터링 > 공격탐지 > 초동조치 > 상세분석 > 차단조치
378.
DDoS 중, 같은 url을 지속적으로 요청하여 웹서버 자원을 고갈시키는 공격
=> HTTP GET Flooding
379.
HTTP 요청 헤더 정보를 비정상적으로 조작하여 웹서버가 온전한 헤더가 올 때까지 기다리도록 만든다
헤더의 끝을 의미하는 개행문자를 누락함
=> Slowloris ( Slow Http Head Dos )
+ Slow Http Read Dos
+ SLOW HTTP Post DoS ( RUDY )
380.
감염된 pc를 헤커가 제어하지 못하도록 특정 서버로 연결을 시도할 때 실제 해당 주소로 연결되지 않게 하여 해커의 명령을 전달받지 못하게 한다
=> DNS 싱크홀
381.
DDoS분산 서비스 거부공격 유형
- Trinoo, TFN, TFN2K
+ DoS : Udp 플러딩, Smurf 공격, LAND 공격, Syn 플러딩 공격
382.
트리누와 TFN을 참고하여 제작된 도구
마스터 시스템 및 에이전트 데몬 사이에 통신시 암호화하는 기능이 추가됨
DDoS 공격 기능을 갖고 있다
=> Targa
383.
가상 상위계층에서 이루어지는 서비스 거부 공격
=> 응용계층, HTTP GET Flooding Attack
+ 3계층 : ICMP 플러딩, LAND 공격, TearDrop 공격
384.
인터넷에 공개된 특정 서버에 monlist 요청. 서버는 호스트 리스트가 포함된 패킷을 변조한 공격대상으로 전송.
타겟은 대역폭을 모두 소진하게 된다
=> NTP Amplification Attack ( NTP 증폭 DRDoS 공격 )
385.
DDoS 공격 에이전트 설치상의 어려움을 보완한 공격기법
tcp 프로토콜 및 라우팅 테이블 운영상의 취약성 이용
정상 서버를 Agent로 활용함
=> DRDoS 공격
대응법
- ip 주소가 위조된 패킷이 들어오지 않도록 차단
- icmp 프로토콜을 사용하지 않는다면 스위치나 서버에서 차단
- 반사서버로 이용되지 않도록 주기적으로 점검
386.
침입의 전초단계, 네트워크 구성을 파악하기 위한 공격
- 내부망 DNS 정보 획득
- traceroute 실행
- ping sweep ( 네트워크에 어떤 컴퓨터가 살아있는지 확인 )
+ 스머프 공격 : ip 위장과 icmp의 특징을 이용한 공격일뿐 ...
387.
포트가 열려있을 경우, 서버로부터 syn/ack 패킷 응답. rst 패킷을 보내어 연결 끊음.
닫혀있을 경우 open 스캔과 같다
=> TCP Half Open 스캔
388.
UDP 플러딩 공격 과정에서 타겟 포트를 나타내는 서비스가 존재하지 않을 경우(=포트가 닫힘) 메시지
=> ICMP Unreachable
389.
TCP Open 스캔 : 오픈-세션성립 & 클로즈-RST/ACK
TCP Half Open 스캔 : 오픈-SYN/ACK패킷, RST 보내서 CLOSE. 클로즈-open과 같다
UDP Open 스캔 : 오픈-무반응 & 클로즈-icmp unreachable
390.
FIN, NULL, UDP Open 스캔 : 포트가 열려있을 때 무반응
TCP Open 스캔 : 세션 성립.
391.
Nmap 도구
- 시스템에 오픈된 모든 포트 정보
- 네트워크 대역 호스트 정보
- 응용 서비스 종류와 버전 정보
- 사용중인 운영체제 정보
392.
nmap 포트 스캔
- fin, null, x-mas : 포트가 열려있으면 무반응. 닫혀있으면 RST 응답이 온다.
393.
스니핑 공격 대처
- 주요 데이터 전송구간에 vpn 설치
394.
위조된 MAC 주소를 지속적으로 전송하여
스위칭 허브의 주소 테이블을 오버플로우시켜 허브처럼 동작하게 한다
=> 스위치 재밍
395.
네트워크 공격 탐지
- 자신이 해당하지 않는 ping에도 icmp echo reply 보내기
- 위조된 arp request를 보냈을 때 arp response가 돌아온다
- 시스템 ip 주소에 inverse DNS Lookup을 되돌려보낸다
- 가짜 id와 패스워드를 네트워크에 퍼뜨려 해당 정보로 접속시도하는 공격자를 탐지한다
=> 스니핑(도구:스니퍼)탐지 방법
396.
arp -a
192.16.4.1 00-00-xx-12-34-56 동적 <- 디폴트 게이트웨이
192.16.4.39 00-00-xx-34-56-78 동적
192.16.4.37 00-00-xx-34-51-71 동적
192.16.4.123 00-00-xx-3a-22-78 동적
=> 이 때 의심스러운 공격기법 : ARP 스푸핑
ARP 프로토콜은 송신자에 대한 인증없이 ARP 테이블을 갱신한다.
기본게이트웨이가 동적이므로 MAC 주소를 변조하는 ARP 스푸핑에 취약하다
397.
스니핑: 중요정보 엿보기, 도청
스푸핑: ip 주소, mac 주소등을 속여서 권한을 획득하거나 정보를 가로챈다
버퍼 오버플로우: 할당된 배열크기를 초과하는 데이터를 입력하여 복귀주소 조작, 악의적 코드 실행
398.
ip 스푸핑 관련 활동
- SYN 플러딩
- RST 접속 종료
- 순서번호 추측
399.
hosts 파일을 통해 도메인 이름에 대한 ip 주소 작성시 대응할 수 있는 스푸핑 공격
=> DNS 스푸핑
400.
TCP Session 하이재킹을 위한 공격도구
=> Hunt
+ 알트보어altvore, dsniff : 스니핑 소프트웨어
401.
세션 하이재킹
- telnet, ftp, tcp를 이용한 거의 모든 세션 탈취 가능
- otp, 토큰 기반 인증, 커버로스 등의 세션도 탈취 가능
- rst 패킷으로 일시적으로 tcp 세션을 끊고 시퀀스 넘버를 새로 생성하여 세션을 빼앗는다
402.
비동기화 상태, ack storm 탐지
패킷 유실과 재전송 증가 탐지
=> TCP 세션 하이재킹 탐지
403.
TCP 세션 하이재킹 순서
1) 스니핑을 하여 세션 확인, 적절한 스퀀스 획득
2) RST 패킷을 보내 서버 연결만 끊는다
3) 새 시퀀스 넘버를 생성하여 서버로 보낸다
4) 서버가 시퀀스 넘버를 받고 다시 세션을 연다
5) 공격자는 정상연결처럼 서버와 시퀀스 넘버를 교환하고 공격자와 서버 모두 Established 된다
404.
악의적인 프로그램을 건전한 프로그램처럼 포장하여 일반 사용자들이 의심없이 자신의 컴퓨터 안에서 실행시키도록 한다. 특정 포트를 열어 공격자의 침입을 돕고 정보를 자동유출하거나 스스로를 은닉한다
=> Exploit
405.
침입탐지 시스템 : 비정상적인 사용, 오용, 남용 등을 실시간으로 탐지하는 시스템
- 탐지 결과에 대한 로깅, 통제 분석
- 실시간 탐지 및 경보
- 알려진 공격에서 행위패턴 인식
406.
호스트기반 침입탐지 시스템보다, 네트워크 기반 침입탐지 시스템이 유리한 경우
- SYN Flooding 공격 탐지
- 분산서비스거부 공격 탐지
- 스캐닝 행위 탐지
407.
제로데이 공격
- 보안 패치가 제공되기 전에 알려지지 않은 취약점을 이용하여 공격
408.
IDS에서 침입을 판정하는 방법
- 공격에 대한 축적된 지식을 활용하여 공격증거를 확보
- 감시중인 시스템의 정상행위에 관한 참조모델을 생성하고 정상행위에서 벗어난 경우를 탐지
409.
IDS의 오용탐지Misuse
- 시그니처 패턴 기반
- 백신 소프트웨어가 바이러스나 악성코드를 탐지하는 방식과 유사
- False positive 가 낮다
- 비정상행위탐지 Anomaly에 비해 업데이트가 빈번함
410.
전문가 시스템을 이용한 ids
- Knowledge Based Detection (지식기반/오용기반 탐지)
411.
오용탐지
- 오판율이 낮고 효율적이지만 알려진 공격 이외에는 탐지가 어렵다
- 정립된 공격패턴을 입력해두었다가 탐지되면 알림
+ Anomaly : 정량적 분석, 통계적인 분석, 정상상태 기준으로 상대적으로 급격한 변화 발생시 탐지
412.
침입탐지시스템의 탐지기법
- 오용탐지 (전문가 시스템, 시그니처 분석, 상태전이 분석)
- 비정상행위기반 탐지 (통계적)
413.
오용탐지 기반 시스템은 비정상행위 탐지 기반 시스템에 비해
False positive (오탐)가 낮은 장점이 있으나
Flase Negative (미탐) 비율이 높은 문제점이 있다.
414.
시스템 내부에 설치되어 내외부 사용자의 비인가적 행위나 해킹 시도를 탐지 : Host 기반 IDS
네트워크상의 패킷정보를 분석해서 공격을 탐지하는 Network 기반 IDS
알려진 축적된 공격 정보를 이용해 Knowledge-base를 탐지하는 Misused 탐지
정상행위와 비정상행위를 분류해 조사함으로써 Behavior-base를 탐지하는 Anomaly 탐지
415.
핀테크
고객 신용카드 거래를 분석해 평소와 다른 의심거래 이상징후가 있을때 회원과 통화하거나 확인과정을 통해 사고를 예방하는 시스템
=> 이상금융거래탐지시스템FDS
+ CNP : 비대면거래
+ PCI-DSS : 카드산업 보안 표준
416.
국내 주요 금융 거래 절차
이용자 인증 -> 거래지시 -> 거래확정
417.
CERT : 보안기술 개발, 서비스하는 컴퓨터 응급 대응센터
False Negative : 침입을 탐지하지 못함
내부 공격자의 위협을 줄이기 위해서 화이트리스트 정책 필요
418.
Snort
- 프로토콜 분석, 내용 검색/매칭을 수행할 수 있다
+ 패킷 스니핑 도구 : tcpdump, wireshark
+ 크래킹 툴 : john the ripper
+ 웹 취약점 스캐너 : Paros, Burp suite
419.
스노트Snort 룰
모든 네트워크 대역에서 텔넷으로 접속하는 패킷 중 첫 바이트부터 14번째 바이트까지 anonymous가 포함된 트래픽에 대해서 Dangerous 메세지로 경고
=> alert tcp any any -> any 23 (msg:"Dangerous"; content:"anonymous"; depth:14; sid:1;)
420.
- 문자열을 비교하여 네트워크 패킷을 검사하는 방법은 시그너처 탐지의 일종이다
- Anomaly 탐지는 정상행위를 규정하여 공격을 탐지한다
421.
방화벽 : 내부자 공격에 취약함
IDS & IPS : 오용탐지, 이상탐지 가능
IDS : 실시간 탐지
IPS : 세션 기반 탐지 가능
422.
방화벽 기능
- 인증
- 접근제어
- 로깅과 감사 추적
+ IDS : 패킷 분석 및 공격 탐지
423.
침입차단시스템
- 통과되는 트래픽에 대한 로그 정보를 생성, 관리. 공격자에 대한 추적.
- SNMP Trap을 이용하여 특정 이벤트를 전송하지만, RPC 서비스는 없음
424.
네트워크 기반 침입차단 시스템에서 차단하기 가장 어려운 것
- 바이러스 등의 악성코드를 포함하는 파일
( 특정 ip 주소 대역, 특정 포트, 특정 키워드 등 특정지을 것이 없는 경우 )
425.
패킷필터 침입차단시스템의 장점
- 단순하기 때문에 속도가 빠르다.
426.
패킷필터 침입차단시스템 공격에 대한 방어
패킷이 외부 인터페이스에 도착했을 때 내부 발신자 주소를 가지고 있으면 그 패킷을 제거한다
=> Ip address Spoofing
427.
방화벽
- 정해진 기준을 통과하는 패킷만 허용하는 positive
- 특정 조건에 해당되는 패킷만 거부하는 negative
- 기본적인 형태의 패킷 정보를 검사하는 packet filtering
- 각 tcp 연결에 대한 정보를 기록관리하고 규칙들을 적용하고 세션 하이재킹 공격을 방어하는 stateful inspection 방화벽도 있음
428.
스크린드 서브넷 구조
- 다른 방화벽 방식에 비해 설치와 관리가 어렵다
- 서비스 속도 느림
- 외부 인터넷 환경에서 접속가능
- 스크리닝 라우터 사이에 듀얼홈드 게이트웨이가 위치함
429.
DMZ 네트워크내에 설치될 서버
- 웹 서버, 메일 서버, DNS 서버
430.
차세대 방화벽 기술
패킷 내부의 콘텐츠까지 파악하고 클라이언트 서버간의 패킷 통신 규약에 대한 정보까지 파악하여 규약대로 통신이 이루어지는지 등을 파악하는 기술
=> 심층 패킷 검사 Deep packet Inspection
431.
iptables 옵션
기존 INPUT 체인 내의 모든 규칙을 삭제하는 옵션
=> iptables -F INPUT
( Flush모드의 F )
432.
iptables
iptables -A INPUT [-d] 192.168.1.100 [-p] tcp [--dport] 21 -j DROP
목적지 주소 -d 192.168.1.100
목적지포트 --dport 21
tcp 프로토콜 -p tcp
433.
VPN 기능
- 데이터 기밀성, 무결성, 접근통제, 데이터 근원 인증
434.
VPN 터널링
MPLS
- 2계층과 3계층을 모두 지원하는 프로토콜
+ IPSec : 3계층
+ PPTP, L2F, L2TP : 2계층
435.
VPN 터널링
- 가상회선을 생성하고 유지할 목적으로 상이한 프로토콜의 패킷안에 패킷을 캡슐화하는 기능
436.
VPN
- 터널링 기술은 터미널이 형성되는 양 호스트 사이에 전송되는 패킷을 추가헤더값으로 캡슐화한다
- 데이터 암호화 기술은 암호화해서 보내면 반대편 호스트에서 복호화하여 원본 데이터를 확인한다
- 데이터 출저 인증 기술, 내부자원에 대해 비인가 사용자 접속 차단 (접근제어)
- 터널링 프로토콜 : PPTP, L2TP, L2F, MPLS, SSL, SSH 등
+ PPP는 터널링 프로토콜이 아님!!!
437.
VPN 터널링 프로토콜
- L2TP, IPSec, SOCKS V5
438.
분산보안시스템 (인증프로토콜)
ISP에서 사용하는 전화 등에 의한 원격 접속에 대한 인증용 서버를 지칭한다
=> RADIUS
439.
IPSec
- 인증과 무결성을 위해 AH 프로토콜 사용
- 페이로드 기밀성 보호를 위해 ESP 프로토콜 이용
- 암호알고리즘 : 대칭키 기반의 MAC 방식 또는 MD5, SHA등과 같은 HASH 방식을 이용한다
440.
IPSec 프로토콜
- 보통 종단-대-종단 통신에 전송모드를 이용한다 (ip 헤더 이외 나머지 데이터 부분만 보호)
- 터널모드 : ip 패킷 전체를 보호하고 새 ip 헤더가 추가된다. 라우터-라우터, 호스트-라우터, 게웨-게웨.
441.
VPN
- 기본적으로 SSL VPN과 IPSec VPN은 데이터의 기밀성/무결성이 동일하고 단지 암호화 구현 방식 차이이다
- IPSec VPN은 트랜스포트, 터널 모드를 지워한다
442.
터널모드 ip packet 구성순서
New ip 헤더 - AH - 원본 IP 헤더 - 원본 페이로드
443.
ESM 구성요소
- 에이전트 : 보안장비에 탐재. 수집한 데이터를 매니저서버에 전달
- 매니저 : 에이전트에게서 받은 이벤트를 룰에 의해 분석, 저장. 콘솔에 통보
- 콘솔 : 매니저에게 받은 데이터의 시각적 전달, 상황 판단
'(필기) 정보보안기사&산업기사' 카테고리의 다른 글
| 필수기출1200 ~ 710 (0) | 2024.06.17 |
|---|---|
| 필수기출1200 ~ 506 (0) | 2024.06.16 |
| 필수기출1200 ~353 (0) | 2024.06.14 |
| 필수기출1200 ~ 203 (0) | 2024.06.13 |
| 필수기출1200 ~103 (0) | 2024.06.12 |