(제 24회) 보안 / (117)~(118) 해설

117. 다음 중 스니핑 공격에 대한 설명으로 가장 적절하지 않은 것은?

 

① 스위치 재밍(Switch Jamming) 공격은 위조된 MAC 주소를 지속적으로 네트워크에 흘려보내 스위치의 주소 테이블을 오버플로우 시키는 공격이다.

② ARP Redirect 공격은 위조된 ARP 응답을 브로드 캐스트 방식으로 보내서 네트워크상의 다른 호스트들이 공격자 호스트를 라우터로 믿게 하는 공격이다.

③ ARP 스니핑 공격은 네트워크 계층에서 통신하는 서버와 클라이언트의 IP 주소를 공격자의 IP 주소로 속이는 공격이다.

④ ARP를 이용한 스니핑 공격 탐지 방법은 위조된 ARP Request를 보내서 ARP Response를 탐지한다.

 

▣ 스위치 기반 스니핑 공격

 

공격기법	설명
스위치 재밍 (Switch Jamming)	스위치 MAC Address Table의 버퍼를 오버플로우 시켜 스위치가 허브처럼 만드는 공격기법(스위치의 Fail-Open 특성을 이용)	Fail-Close (Ex) 방화벽
ARP 스푸핑 (Spoofing)	특정 호스트의 MAC 주소를 자신의 MAC 주소로 위조한 ARP Reply 패킷을 만들어 희생자에게 지속적으로 전송해 희생자의 ARP Cache Table 에 특정 호스트의 MAC정보가 공격자의 MAC 정보로 변경	희생자들이 스니핑을 인식하지 못하고 정상적인 통신이 될 수 있도록 IP Forward 기능 활성화
ARP 리다이렉션(Redirection)	ARP 스푸핑 공격의 일정으로 로컬 네트워크의 모든 호스트의 ARP Cache Table 에 라우터(게이트웨이)의 MAC정보가 공격자의 MAC정보로 변경이 되도록 하는 공격기법
ICMP리다이렉트 (Redirect)	ICMP Redirect 메시지는 호스트-라우터 또는 라우터 간에 라우팅 경로를 재설정하기 위해 전송하는 메시지 특정 IP 또는 IP 대역으로 나가는 패킷의 라우팅 경로를 자신의 주소로 위조한 ICMP Redirect 메시지를 생성하여 희생자에게 전송함으로서 희생자의 라우팅 테이블을 변조하여 패킷을 스니핑하는 공격기법
스위치의 SPAN/Port Mirroring	SPAN/Port Mirroring 기능은 스위치 통과하는 모든 트래픽을 분석할 수 있는 기능으로 관리적인 목적으로 사용하지만 공격자가 물리적으로 해당 포트에 접근할 수 있다면 손쉽게 패킷을 스니핑 가능

● 스니핑 방어

• 유인(Decoy) 을 이용한 탐지 : 관리자가 가짜 ID와 패스워드를 네트워크에 계속 뿌리고, 공격자가 이 ID와 패스워드를 이용하여 접속을 시도할 때 시니퍼를 탐지하는 방법

 

• ARP 를 이용한 탐지 : ping 과 유사한 방법으로 위조된 ARP Request를 보냈을 때 ARP Response 가 오면 프로미스큐어스 모드로 설정되어 있는 것이다.

 

• ping 을 이용한 탐지 : 네트워크에 존재하지 않는 MAC 주소로 위장하여 ping을 보냈을 때, ICMP Echo Reply 를 되돌려 보내는지를 모니터링하여 탐지하는 방법

 

• ARP Watch 를 이용한 탐지 : MAC 주소와 IP 주소의 매칭 값을 초기에 저장하고 ARP 트래픽을 모니터링하여, 이를 변하게 하는 패킷이 탐지되면 알려주는 툴인 ARP Watch 를 이용하여 탐지하는 방법

 

• arp -a : arp -a 명령어 이용해 서로 다른 IP 주소에 동일 MAC 설정여부 확인

(대응방법) arp -s IP address Mac address

- ARP 캐시를 정적(static)으로 설정하여 ARP 응답(reply)을 수신해도 캐시 저옵를 갱신하지 않도록 설정

 

정답 : ③

 

 

118. 다음 중 애플리케이션 취약성을 이용한 공격과 가장 거리가 먼 것은?

 

① 버퍼 오버플로우 공격

② SQL 인젝션 공격

③ 레인보우 테이블 공격

④ 원격 코드 실행 공격

 

▣ 전자정부 SW 보안 약점

 

구분	내용	주요항목
입력데이터 검증 및 표현	프로그램 입력값에 대한 검증 누락 또는 부적절한 검증, 데이터의 잘못된 형식지정으로 인해 발생할 수 있는 보안약점	SQL 삽입 크로스사이트 스크립트 등
보안 기능	보안기능(인증, 접근제어, 기밀성, 암호화, 권한관리 등)을 적절하지 않게 구현 시 발생할 수 있는 보안약점	부적절한 인가 취약함 비밀번호 허영 등
시간 및 상태	동시 또는 거의 동시 수행을 지원하는 병렬 시스템, 하나 이상의 프로세스가 동작되는 환경에서 시간 및 상태를 부적절하게 관리하여 발생 할 수 있는 보안 약점	TOCTOU 종료되지 않는 반복문 또는 재귀함수 등
에러처리	에러를 처리하지 않거나, 불충분하게 처리하여 에러정보에 중요정보(시스템 등)가 포함될 때 발생할 수 있는 보안약점	오류 메시지 정보노출 부적절한 예외 처리 등
코드오류	타입변환 오류, 자원(메모리 등)의 부적절한 반환 등과 같이 개발자가 범할 수 있는 코딩 오류로 인해 유발되는 보안약점	Null Pointer 역참조 신뢰할 수 없는 데이터의 역직렬화 등
캡슐화	중요한 데이터 또는 기능성을 불충분하게 캡슐화 하였을때 인가되지 않은 사용자에게 데이터 누출이 가능해지는 보안약점	제거되지 않고 남은 디버그 코드 시스템데이타정보누출 등
API 오용	의도된 사용에 반하는 방법으로 API 를 사용하거나, 보안에 취약한 API 를 사용하여 발생할 수 있는 보안약점	DNS lookup 에 의존한 보안결정 취약한 API 사용

<문제풀이>

• 레인보우 테이블 공격은 패스워트 crack 공격

 

정답 : ③

 

---

 

공감과 댓글은 아이티신비에게 큰 힘이 됩니다.

블로그 글이 유용하다면 블로그를 구독해주세요.♥