네트워크 보안

Malware란? malicious와 software의 합성어로 악의적인 software를 뜻한다

 

Malware의 종류

- virus 

  바이러스는 스스로 복제되어 감염시킨다. virus는 사용자와의 상호 작용이 요구된다( 사용자와의 상호간 어떤 일이 없    다면 발생하지 않음) ex) 출처가 이상한 url 클릭, 의심스로운 sw 다운로드 

 

- worm

  바이러스와 달리 사용자와 특별한 상호 작용 없이 디바이스에 침입할 수 있다. 사용자가 공격자가 접근할 수 있는 취      약한 네트워크 애플리케이션을 사용하는 등의 상황에서 worm에 감염될 수 있다. worm은 한 사용자를 감염한 후에 다    른 취약한 사용자를 같은 네트워크 애플리케이션에서 찾는다.

 

위와 같은 Malware에 의해 감염된 host들은 botnet에 등록된다. botnet이란 malware에 감염되어 있는 host들의 네트워크로 공격자가 다른 시스템을 공격할 때 사용할수 있는 디바이스 그룹을 의미한다. 

 

Denial of Service(DoS)  : 공격자가 엄청난 량의 가짜 트래픽을 서버에 전송하거나 이상을 일으켜 해당 서버에 대한 정당한 사용자의 트래픽통신이 불가능하게 하는 공격을 DoS라 함. 

 

DoS 컨셉

 - Vulnerability attack

   잘 만들어진  공격 메세지를 취약한 애플리케이션이나 os에 전송하여 시스템 상 오류를 일으키는 공격

 

 - Bandwidth flooding

   공격자가 막대한 양의 패킷을 서버에 전송하여 정당한 패킷이 서버에 가지 못하도록 하는 공격

 

 - Connection flooding

   공격자가 서버에 수 많은 TCP 연결을 생성하여 다른 정당한 공격자가 TCP 연결을 하지 못하도록 하는 공격  

 

DoS 종류

SMURF Attack : 공격자가 출발지 IP 주소 위장과 ICMP의 특징을 이용한 공격임 공격자는 패킷의 출발지를 공격 서버  IP로 설정하고 ICMP를 브로드캐스트로 다수의 시스템에 전송하여 다수의 시스템은 패킷에 있는 공격 대상 서버의 IP로 다수의 ICMP Echo를 전송하여 대상 서버는 과부하에 빠짐

 

Land Attack : SYN 피트를 전송하는 TCP 패킷에 출발지 주소/포트 와 목적지 주소/포트를 같은 곳으로 설정하여 Loop 현상을 초래하도록 하여 자원 고갈 유발 공격

 

SYN Flooding : TCP Three-way handshake 과정에서 서버는 SYN 패킷을 받은 후 대기 Queue에 저장 후 차례대로SYN/ACK 응답을 해주는데 이 Queue의 공간을 꽉 채우도록 다수의 SYN 요청을 보내 마비시키는 공격

 

Ping of Death : Ping을 이용하여 ICMP 패킷을 정상크기(65535)보다 크게 만드는 공격, 크게 만들어진 패킷은 네트워크를 통해 나누어져 라우팅 되어 서버에 도착함. 대상 서버는 조각화된 패킷을 모두 처리해야 하므로 정상적인 ping 처리보다 부하가 많이 걸리게 됨

 

Teardrop attack : 패킷 스위칭으로 패킷이 전송될 때 IP 단편화가 발생하게 되고 수신 측에서는 이 패킷을 재조립을 통해 단편화된 데이터를 복구하는데 이 때 오프셋이라는 값을 더하게 되는데 이 오프셋 값을 고의적으로 에러를 일으켜 오버플로우가 발생하도록 하는 공격임.