쉽게 패킷의 출발 IP 주소를 변경할 수 있다. C를 사용한 원시의 소켓프로그래밍을 사용하면 쉽게 변경 할 수 있다. ( ex. int fd = socket (PF_INET, SOCK_RAW, IPPROTO_TCP); 누구든 쉽게 패킷의 소스(송신자) IP주소를 변환 할 수 있다.

• 공격법
  1. DoS(Denial of Service)
     • SYN flooding
  2. DDoS(Distributed Denial of Service)
     • Smurf(already covered)
     • 만약 트래픽이 많은 소스 IP를 차단한다면, 우린 정상 사용자의 접근을 막아야 한다.
  3. 공격자 은신
     • 만약 소스 IP주소가 가짜라면, 실제 소스를 어떻게 추적해야 하는가?
  4. 특히 공격하기 쉬운 서비스들
     1. RPC (원격 프로시저 호출 서비스)
     2. R서비스 묶음(rlogin, rsh, etc)
     3. IP주소 인증을 사용하는 모든 서비스
• 대응책
  1. 출입구 필터링
     • 패킷 필터링에 기반을 두고있다.
     • 입구 필터링 : 소스 주소가 내부 네트워크인데 외부 네트워크에서 오는 패킷을 막는다.
     • 출구 필터링 : 내부 네트워크에 존재하지 않는 소스 주소를 갖는 내부 네트워크 패킷을 막는다.
     • RFC 2827

세션 하이재킹은 "쿠키 하이재킹" 이라고도 하며 컴퓨터 시스템에서 정보 또는 서비스에 대한 무단 액세스를 얻기 위해 "세션 키" 라고도 하는 유효한 컴퓨터 세션을 악용하는 것입니다. 특히 이것은 원격 서버에 사용자를 인증하는 데 사용되는 쿠키의 절도를 나타내기 위해 사용됩니다. 많은 웹사이트에서 세션을 유지하는 데 사용되는 HTTP 쿠키 는 중개 컴퓨터를 사용하는 공격자나 희생자의 컴퓨터에 저장된 쿠키에 대한 액세스로 쉽게 도난 당할 수 있으므로 웹 개발자 와 특히 관련이 있습니다 ( HTTP 쿠키 도난 ).

1. Session ID는 어디에 존재하는가 ?

   • Session ID는 우리가 흔히 듣는 쿠키(cook-ie)라는 곳에 저장되는 것이 일반적이다. 그러나 가끔은 웹 브라우저 주소창 URL이나 HTML 페이지 폼 소스 상의 hidden 필드에 포함되어 드러나기도 한다.
   • 웹 브라우저 주소창의 URL
   • 웹 페이지 폼 소스 상의 Hidden 필드에 포함되어 드러나기도 한다.

2. Session ID 의 취약성 ?

   • 강력하지 못한 알고리즘 : Cracking이나 Brute-force 공격의 위험이 있다.
   • 길이가 짧은 Session ID : 강력한 암호 알고리즘이라도 길이 짧으면 보안에 취약하다
   • 계정 잠금 기능 미비 : 이 기능이 없을시 Brute-force 공격에 취약하다
   • 무한 만료의 Session ID : 사용자의 로그 아웃 이후에도 서버측에서 해당 Session ID값을 폐기하지 않고 무한정 유효 인정한다면 Cookie Sniffing이나 프락시 서버의 로그 취득을 통해 Session ID 공격이 가능하다.
   • 평문으로 전달되는 Session ID : 쿠기 전달 방식이 비암호화 방식일 경우 Sniffing을 통하여 해당 값이 노출되어 공격 받을 수 있다.

3. Session ID 공격유형

   • 직접적인 null Sniffing을 통한 Session ID 도용
   • 간접 우회 공격을 통한 Session ID 도용
   • Brute-force guessing을 통한 Session ID 도용

4. 대응 방안

   • Session ID 생성 범위값을 사용자 수에 대비하여 충분히 큰 값으로 설정한다.
   • Session Timeout 기능과 Session ID 재생성 기능을 사용한다. 일정 시간 동안 활동이 없는 사용자는 새로운 Session ID로 재로그인하도록 하고, 사용자 로그 아웃 시에는 Session ID 값을 폐기한다.
   • 무작위 추측 대입(Brute-force Guessing)에 대비하여 일정 회수 이상의 인증 실패시에는 사용자 잠금 기능을 구현한다.
   • null 내용 안의 Session ID와 기타 변수값 자체를 암호화한다.
   • 웹 서비스 자체의 중요성에 따라 null가 전달되는 방식을 SSL로 구현함으로써 스니핑 공격에 대응할 수도 있다.
   • 웹 서비스 상에 공격자가 HTML 공격 코드 삽입이 가능한 페이지가 있는지 점검한다. 직접적인 공격 코드 삽입을 차단할 수 있도록 특수 문자 및 스크립트 코드를 필터링하여야 한다. (크로스-사이트-스크립트)

인기있는 방법은 소스 라우팅 IP 패킷을 사용하는 것입니다. 이렇게 하면 IP 패킷이 B의 시스템을 통과하도록 하여 네트워크의 B 지점에있는 공격자가 A와 C 간의 대화에 참여할 수 있습니다.

소스 라우팅이 꺼져있는 경우 공격자는 "숨은 (blind)"하이재킹을 사용하여 두 시스템의 응답을 추측할 수 있습니다. 따라서 공격자는 명령을 보낼 수는 있지만 응답을 볼 수는 없습니다. 그러나 일반적인 명령은 그물에 있는 다른 곳에서 액세스 할 수있는 암호를 설정하는 것입니다.

공격자는 스니핑 프로그램을 사용하여 A와 C 사이의 "인라인"상태로 대화를 볼 수도 있습니다. 이것은 "중간자 (man-in-the-middle) 공격"이라고합니다.

세션 도용을 저지르는 데 사용되는 네 가지 주요 방법이 있습니다. 이것들은:

• 세션 고정 : 공격자가 특정 세션 ID가 포함된 링크가 포함 된 전자 메일을 보내는 등 사용자의 세션 ID를 알려진 것으로 설정합니다. 공격자는 이제 사용자가 로그인 할 때까지 기다려야합니다.
• 공격자가 패킷 스니핑을 사용하여 세션 쿠키를 도용하기 위해 두 당사자 간의 네트워크 트래픽을 읽는 세션 측 차단. 많은 웹 사이트는 로그인 페이지에 SSL 암호화를 사용하여 공격자가 암호를 볼 수 없도록 하지만 인증이 완료되면 나머지 사이트는 암호화를 사용하지 않습니다. 이를 통해 네트워크 트래픽을 읽을 수있는 공격자가 서버에 제출 된 모든 데이터 또는 클라이언트가 보는 웹 페이지를 가로챌 수 있습니다. 이 데이터에는 세션 쿠키가 포함되어 있기 때문에 암호 자체가 손상되지 않아도 피해자를 가장 할 수 있습니다. 보안되지 않은 Wi-Fi 핫스팟은 특히 취약합니다. 네트워크를 공유하는 사람은 일반적으로 다른 노드와 액세스 포인트 간의 대부분의 웹 트래픽을 읽을 수 있습니다.
• XSS : 공격자가 사용자의 컴퓨터를 트릭하여 서버에 속한 것처럼 보이기 때문에 신뢰할 수있는 것으로 간주되는 코드를 실행하여 공격자가 쿠키 복사본을 얻거나 다른 작업을 수행 할 수있게합니다.
• 맬웨어 및 사용자 동의없이 설치된 프로그램은 브라우저 하이재킹을 사용하여 사용자의 지식없이 브라우저의 쿠키 파일을 도용 한 다음 사용자의 지식없이 (Android 앱 설치와 같은) 작업을 수행 할 수 있습니다. 실제 액세스 권한이있는 공격자는 예를 들어 사용자 컴퓨터 또는 서버의 적절한 부분에 있는 파일이나 메모리 내용을 가져 와서 세션 키를 훔치려고 시도할 수 있습니다.

• 라우팅은 네트워크를 통해 트래픽을 전달하는데 필요한 정보를 제공한다.
• 보안 취약점에 대한 감시 강화
• 라우팅 프로토콜에 대한 다양한 위협
• 공격자는 라우팅 테이블의 내용을 변경하거나 손상시킬 목적으로 라우터에 위조된 프로토콜 패킷을 보낼 수 있다.

(라우팅 프로토콜에 대해선 in Network 페이지에 자세히 다루겠다.)

• 포트 스캔(port scan)은 운영 중인 서버에서 열려 있는 TCP/UDP 포트를 검색하는 것을 의미한다.
• 활성 포트를 찾고 해당 서비스의 알려진 취약점을 악용하기 위해 호스트의 서버 포트 주소 범위로 클라이언트 요청을 보내는 공격.
• 주 공격 전 준비 단계.
• 주로 포트스캐너 라는 도구를 주로 사용. (NMAP, HPING3 ...)

TCP 스캔은 TCP 처음 연결 시 일어나는 3-웨이 핸드쉐이킹을 탐지하는 기법이다. 만약 핸드쉐이킹이 정상적으로 완료되었다면, 해당 TCP 포트는 정상적으로 열려 있는 것으로 판단할 수 있다. 서비스 거부 공격을 막기 위해, 포트 스캐너는 핸드쉐이킹 직후 연결을 종료한다.

이 방식은 일반적인 소켓 connect()를 이용하기 때문에, Nmap 등의 프로그램에서는 이 방식을 연결 스캔(connect scan)으로 부른다.

SYN 스캔은 TCP 핸드쉐이킹을 완전히 수행하지 않고, 처음 SYN 패킷만을 받은 후 검사를 완료하는 방식이다. 이 방식은 실제 TCP 연결이 일어나지 않기 때문에 'half-open 스캔"으로 부르기도 한다.

이 방식을 사용하기 위해서는 TCP 스캔과 같이 connect() 함수를 이용할 수 없고, 포트 스캐너는 이 스캔 작업을 위해 TCP 패킷을 직접 생성한다.

UDP 프로토콜은 TCP와 다르게 핸드쉐이킹 과정이 존재하지 않고, 따라서 일반적으로는 포트가 열려 있다고 하더라도 서버에서 아무런 응답을 하지 않을 수도 있다. 하지만, 많은 시스템에서는 보낸 패킷에 대한 응답이 없을 때 ICMP unreachable 메시지를 보낸다. 많은 UDP 스캐너는 이 메시지를 탐지하는 방향으로 동작한다. 이 방식은 서버에서 ICMP 메시지를 보내지 않는 경우 닫혀 있는 포트를 열려 있다고 판단하는 경우가 존재한다.

다른 방식으로는 각 포트에 따라서 그에 대응하는 프로토콜 패킷을 전송하는 방식이다. 예를 들어, DNS 서버는 53번 포트에서 동작하며, UDP 스캐너는 해당 포트에 DNS 정보 요청 패킷을 보낸 후 응답을 받는 방식이다. 이러한 방식은 잘 알려진 포트와 대응 프로토콜에 대해서만 사용할 수 있다는 한계가 있지만, ICMP 메시지가 없는 경우 활용할 수 있다.

포트 스윕(port sweep)은 시스템에서 동작하는 특정 프로그램을 탐지하기 위해 포트를 검사하는 것을 의미한다. 포트 스윕은 시스템의 취약점을 탐지하기 위해 사용하기도 하는데, 특정 포트를 사용하는 프로그램에 취약점이 있다면 그 포트가 열려 있는 서버를 찾아 공격하면 되기 때문이다. 가령, 마이크로소프트 SQL 서버의 취약점을 이용하는 컴퓨터 웜은 TCP 1433 포트를 검사한다.