분산 서비스 거부 공격(DDOS)과 스푸핑(Spoofing)

DDOS

여러 대의 컴퓨터를 일제히 동작하게 하여 특정 타겟을 공격하는 방법

Hacker 가 Master에게 명령을 내려 Zombie들을 조작하여 Victim을 공격한다.

(대표적인 Master는 BotNet이 있다.)

1. 스팸메일 (Spam Mail)

메일 서버가 각 사용자에게 일정한 양의 디스크 공간을 제공하는데

대량의 메일로 공간을 모두 소비할 경우 서비스 이용이 불가능하다.

2. 버퍼 오버플로(Buffer Overflow)

응용프로그램이 실행 중에 버퍼(RAM의 영역)에 정보를 임시로 저장한다.

입력된 데이터가 할당된 버퍼보다 크다면 또 다른 메모리 세그먼트로 흘러 넘친다.

프로그램의 복귀 주소를 조작하여 해커가 원하는 코드를 실행하게 하는 방법이다.

3. 패스워드 크래커(Password Cracker)

(1) 사전공격 (Dictionary Attack)

패스워드 사전 파일에 수천 개 이상의 단어를 넣어 조합하여 추측한다.

대응책

- 원 타임 패스워드(One Time Password, OTP)

- 패스워드 암호화

- IDS(침입탐지 시스템) 와 IPS(침입방지 시스템) 으로 트래픽 감시

(2) 무차별 공격(Brute force Attack)

성공할때 까지 가능한 모든 조합을 시도하며 시간이 걸리지만 암호를 해독할 수 있다.

대응책

- 임계치(Clipping Level)를 설정하여 패스워드 입력 후 확인을 제한한다.

스푸핑(Spoofing)

해커가 타겟 호스트의 IP 주소나 이메일 주소를 바꾸어서 해킹하는 것

A와 B가 정보를 교환할때 A의 IP주소, 포트를 이용해 정보를 해킹한다.

유형

- IP 스푸핑: 다른 컴퓨터의 IP 주소를 사용

- 이메일 스푸핑: 이메일 발신자를 위장, 사회 공학 기법

- 웹 스푸핑: 해커가 중간에서 웹페이지 내용을 변경, DOS 공격

- DNS 스푸핑: hosts 파일을 조작하여 DNS에서 전달하는 IP를 변경

대응책

- 다른 DNS 서버와 호스트 테이블을 비교한다.

- 역 DNS를 사용하여 호스트명-IP 와 IP-호스트명을 비교한다.

ARP(Address Resolution Protocol)) 스푸핑

1) 해커는 호스트의 IP 주소를 랜 카드의 MAC 주소로 변경한다.

2) 호스트 A, B, C는 해커를 라우터로 인식하여 해커에게 패킷을 보낸다.

3) 해커는 이것을 ARP 캐시에 저장하여 빠르게 공격을 수행할 수 있다.

4) 패킷을 복사하여 라우터에게 보내 정상적으로 작동된 것처럼 꾸민다.

*주로 이 공격은 내부자에 의해 일어난다.*

*ARP 캐시는 일정시간동안 남아있다가 폐기되므로 빠른 시간 내에 캐시를 갱신해야한다.*

*브로드캐스트를 사용한다. (전체를 흝어봄.)*