Internet Protocols and Service Denial
우선, 이 장에선 인터넷 프로토콜을 위협하는 공격을 알아보자.
DDos/Dos 공격
공격자가 사용자의 IP address나 도메인을 훔쳐 spam 을 보내 내ip나 domain이 블랙리스트에 등록되게 한다.
공격자가 나에게 엄청난 traffic을 발생시켜 내 서비스를 불가능하게 하는 공격
이때, 감염된 컴퓨터를 통해 트래픽을 내 ip주소에 보내는데 이를 botnet이라고 한다.
Botnet : Command & Control인 중앙집중형에서 벗어나 모든 좀비들이 C&C가 될 수 있는 분산형 방식으로 진화중
BGP 공격
BGP란?
Border Gateway Protocol의 약자로, Router가 따라야하는 프로토콜을 의미한다.
여러 AS(Autonomous system)가 많은데 큰회사는 고유의 AS가 존재하고 고유의 AS number가 존재해 peer에게 number를 전달한다. 이 AS 사이에서 Routing table을 따라 도착지를 광고하는데..!
이 경우에 발생할 수 있는 공격들이 있다.
BGP leaking
BGP가 완전하지 않은 사례로, private한 경로를 open해서 해당 경로를 불필요하게, 의도되지 않게 지나가게 하는 attack을 의미한다.
과거, 구글에서 나이지리아에 고속도로 정보를 줬으나 이가 공개되어 주변 peer들이 해당 정보를 참고한 이력이 있다.
일부 Router가 감염된 경우
이 경우엔 주변 AS에 잘못된 경로를 전달한다.
특정 경로를 무조건 지나게 만들어 트래픽을 과부화 시키거나 해당 트래픽을 검사할 수 있다.
--> RPKI 광고에 서명을 붙임..!
*ROA : 경로 원점 인증
DNS 공격
Dns 서버를 마비시켜서 변환을 못하게 하는 공격 : 이 공격은 실제 사례가 흔하진 않다.
1. Hijacking
- dns query자체를 가로채 다른 사이트로 클라이언트가 access하게 할 수 있다.
DNSSEC으로 서명을 요구해서 막을 수 있음
-> 계산량이 늘어 response의 크기가 커짐 -> DOS공격의 타겟이 되기도함.
2. pharming : 진짜주소로 입력해도..
3. phising : 유사한 가짜 ex 은행사이트
DoH (DNS over Https)
http와 연계하여 암호화
위변조된 DNS를 방지하려한다.
Packet Amplification : 패킷 증폭공격
- SYN flooding : syn를 많이 보내고 ack를 안보내서 기다리게 만들어...!
syn cookie 로 대응이 가능함.
- x를 Y로 암호화만해서 그냥 바로 내보내기(복사해서 가지고 있지 않음!)
- 기다리지 않기 방법
SYN reflection
내가 보낸거 아닌데 나인척 보내가지고 띠용??하게 만들기
Malware
상호배타적이지 않음
하나가 여러개의 특징을 만족함
worm : 자신을 복제
virus : 자신, 일부 데이터를 감염시키면서..!
Trojan,
rootkit : Root Level access를 얻은 후 사용하는 공격
네트워크를 감염시킨 Botnet의 형태를 띄고 공격한다.
이때 Botnet은 과거엔 C&C방식으로 Server의 중앙제어를 받았지만, 현재는 P2P 방식, 비밀 채널인 IRC network에 접속을 시도함..!
어떻게 동작함?
dropper : 복제
payload : 동작
replication mechanism
pw 추측 / remote code 실행
어떻게 막음?
1. scanner
malware에는 IoC라는 시그니쳐가 있으니 이것을 찾아라..!!
문제 : malware가 가만히 있겠어? 아니지 우리도 변신!! 암호화를 해!
그러면 복호화 프로그램의 시그니쳐를 찾아!
장점 : 기존에 알려진거 쉽게 찾음, 특별한 노력 필요없음
단점 : 새로운것은 찾지 못해..!
... 아무튼 malware는 변해야겠다!
polymorphism :
payload(code body)는 encrypt -> 매번 다른키로 암호화를 해서 형태를 감추고
decryptor는 morphing 아예 변형 (비틀어버려버려)시킨다
Metamorphisim :
아예 코드를 쪼개고 추가하고 해서 다시 못돌아오게 바꾸고 재조합해서 사오용!
2. checksum
프로그램의 전체 hash값을 기록.
malware에 의한 변경이 일어나면 이를 확인
malware는 이를 피하기 위해
system call이 일어나면 일시적으로 돌려놓기가능
change Detection
원래 코드 변화가 일어나는지 변화를 탐지
해시를 주기적으로 재계산해야함.
장점 : 찾긴 무조건 찾음
단점 : 정상이 변경시킨것도 찾음.
3. anomaly detection
정상을 정의하고 비정상적인 행동이 나온다면 그것을 탐지
단점
그러나, 정상을 정의하기가 매우힘들다!
효율을 내기위해 많은 작업이 필요함
malware가 정상처럼 행동할 수 있음
따라서, 다른방법과 같이 써야하며 현재 ML기술과 결합된 연구중이다
방화벽 : 구현 위치에 따른 분류
기본적으로 접근 제어의 기능을 가지고 있음.
1. packet filter : Network Layer(IP)
패킷에 적힌 정보를 까보고 이걸 기반으로 통신..!
- local만 나갈 수 있고 외부에서만 들어올 수 있음..?
- 잘못된 IP차단
- 특정 포트외에 차단..!
장점 : 빠름
단점 :
- IP 주소 자체를 속일 수 있음
- NAT서비스..포트번호는 차단하기 어려움
- 윗계층에대해선 모른다!
- IP 주소는 바뀌기 때문에 blacklist를 유지하기 어려움
TCP ACK Scan : 응답이 오는 포트는 방화벽에 닫혀있지 않구나!!
2. circuit gateway : Transport layer (TCP)
상태정보를 기록하고 있음.
packet filter에서 하는 모든 것을 할 수 있고
추가로 상태..!
번호 추적, 그때그때 나간것들이 어느state에 있는지 체크, 기억
장점 : 동일한데 추가적으로 상태체크를 통해 보안성을 더 높임..!
단점 : 느려, 느려, 느려
실제 패킷의 정보는 체크하지 않아요~
3. application proxy : Application Layer
이제 그 실제 데이터를 ㅊ체크한다..! 안에 있는게 뭔지 확인
ex : great firewall of China 데이터 검열을 이ㅜ해 사용
장점 : 보성 높음
단점 ; 느림
FireWalls and Defense In Depth (다중 방화벽)
DMZ를 무조건 거치게..!
여러 방화벽을 설치하고 종류는 다르게..!
IDS : Intrusion Detection Systems
침입인지 아닌지, 공격인지 아닌지 세부적으로 판단하는 시스템.
공격의 징후나 손상들을 체크하는 IDS 시스템.
공격의 징후란?I
IRC : botnet의 전형적인 채널에 접속하려고 한다
잘못된 IP주소, 개인정보에 접근하려는것
packet이 위장된 소스에서 오는지
spam
어떻게 탐지함?
1. Misuse Detection : 오용탐지
침입자의 행동을 특정형태로 모델링
ex : 어떤 사용자가 3일연속 출금..! / 갑자기 고급 디버거 사용...
특정 공격에 signature를 찾아가는 형태..! 다 머신러닝 기반으로 해결
2. Anomaly Detection : 비정상, 이상을 탐지
vs misuse detection : 정해진 행동양식이나 패턴이 정해져있을때
패턴이 모델링 안되어있을경우... anomaly detection으로 접근.
장점 : 알려지지 않은 공격 탐지 가능
단점 : 혼자쓰면 안되용!!!!!!!!!!!!!!!!!
'CS > 정보보안' 카테고리의 다른 글
| 정보보안_9_Network Secuirity(2) (0) | 2023.06.08 |
|---|---|
| 정보보안_12_AI_Security (0) | 2023.06.08 |
| 정보보안_7_Authorization (1) | 2023.06.06 |
| 정보보안_실습 (0) | 2023.04.23 |
| 정보보안_6_Protocol (0) | 2023.04.22 |
