[정보보안기사] PART 02-1 . 네트워크 - 기본 학습 , 포트 스캐닝

 

 

Dummy Hub 

전달 받은 패킷을 연결된 모든 노드로 전송  

NIC 의 기본 동작모드 : 자신의 주소가 아니면 폐기  

NIC Promiscuous 모드 : 모두 수신 , Sniffing , 수신자가 자신이 아니더라도 

무차별 모드 해제 : ifconfig eth1 -promisc  

 

L2 Switch 

스위치 장비는 MAC Address Table 갖고있음 /   정보(포트에 연결된 노드의 MAC 정보 ) 를 참조하여 목적지 노드에게만 패킷 전송  

 

ARP 프로토콜 

논리적인 IP주소를 물리적인 MAC 주소로 변환 

IP가 10.11.12.13인 노드(MAC 주소) 찾기 

1. 최초 상대방의  물리적인 주소를 알지 못하기 때문에 ARP 요청 브로드캐스트 

ARP Request : Broadcast MAC 주소 (ff:ff:ff:ff:ff:ff) 

2. 해당 노드가 자신의 MAC 주소 정보를 담아서 응답 

타깃이 아닌 호스트들은 수신한 브로드캐스트 요청 메시지 폐기  

ARP Reply : 목적지 호스트에서 unicast  응답 

3. 요청을 통해 알아낸 MAC 정보  ARP Cache Table 에 1~2분 저장  

arp -a : 캐시 내용 보기 / arp -d : 캐시 내용 삭제 / arp -s : 캐시 정적 설정 -> ARP Reply 수신해도 캐시 정보를 갱신X 

스위치 환경에서의 스니핑 공격 기법 

1. 스위치 재밍/MAC Flooding 공격  

MAC Address Table의 버퍼를 오버플로우 시켜 허브처럼 동작  

fail open 정책 : 가용성을 더 중요 , 장애 발생시 모든 트래픽 허용 

Source MAC 주소를 변경하면서 지속적인 패킷 전송  

 

1. ARP Spoofing 공격  

특정 호스트의 MAC 주소를 자신의 주소로 위조한 ARP Reply를 희생자에게 전송   

희생자의 ARP Cache Table 변경  

희생자->특정 호스트로 나가는 패킷이 공격자로 향함  , 스니핑가능 

IP Forward : 희생자간에 정상적인 통신 이루어지도록 ( 스니핑을 눈치 채치 못하도록 ) 중계 

대응  

1.ARP 캐시를 정적으로 설정하여 ARP Reply를 수신해도 캐시 정보를 갱신하지 않도록 한다  

캐시정보는 시스템 종료 시 삭제되므로 기동시마다 ARP 캐시를 정적으로 구성해 주어야 한다  

2. ARP 트래픽을 실시간 모니터링하는 ARPWatch 프로그램을 이용한다  

 

1. ARP Redirect 공격 

공격자가 자신이 라우터인 것처럼 MAC주소 위조  /  ARP Cache Table 변조  

모든 호스트의 ARP Cache Table에 라우터의 MAC 정보가 공격자의 MAC 정보로 변경  

호스트에서 라우터로 나가는 패킷 스니핑  

 

1. ICMP Redirect 공격  

패킷 경로를 악의적으로 재설정하는 공격 /  라우팅 테이블 변조 

 

TCP 세션 하이재킹 ( TCP Session Hijacking ) 

TCP 연결 설정 과정 - 상호간에 세션을 생성  

식별자를 통해 상호간에 인식, 세션 식별정보 ( 출발지IP,Port / 목적지IP,Port / Seq Num , Ack Num ) 

세션 식별정보를 위조하여 세션을 탈취하는 공격 

 

 

 

 

 

 

 

 

포트 스캐닝 ( nmap 스캐너 ) 

공격자가 침입전 어떤 포트(서비스)가 활성화되어 있는지 확인하는 기법 

 

TCP Connect Scan (-sT)  

완전한 연결 설정 과정 , 로그에 스캔한 흔적이 남음 

 

OPEN PORT 

SYN ->  

<-SYN + ACK 포트 오픈 여부를 확인 

->ACK  연결 설정 완료 

->RST+ACK 연결 즉시 중단  

 

CLOSE PROT 

SYN -> 

<- RST + ACK  

 

TCP SYN Scan (-sS) 

연결 설정 과정 미완료 상태   Half Open Scan   

Stealth Scan : 로그x , 노출 x (TCP SYN Scan,FIN,NULL,Xmas) 

스텔스 스캔(stealth Scan) : 로그를 남기지 않아 노출 X /  흔적을 남기지 않는 의미  

 

OPEN PORT 

SYN-> 

<-SYN+ACK 포트 오픈 여부 확인 

RST-> 연결을 완료하지 않고 즉시 중단  

 

TCP FIN/NULL/Xmas Scan (-sF,-sN,-sX) 

OPEN PORT 

응답없음 ( 포트가 open 이거나 방화벽에 의해 차단 DROP )  

CLOSE PORT 

<- RST+ACK 

 

TCP ACK Scan (-sA) 

포트의 오픈 여부 판단이 아닌 방화벽과 같은 보안 장비의  필터링 수행 여부 판별 목적  

방화벽에 의해 차단 

ACK-> 

<- 응답없음(DROP) , ICMP Unreachable(REJECT) 

 

차단 X 

ACK -> 

<- RST 

 

UDP Scan (-sU) 

UDP 포트 오픈 여부  

OPEN PORT 

UDP 패킷 -> 

<- 응답없음  

CLOSE PORT 

UDP 패킷 -> 

<- ICMP Unreachable