[정처기] 9과목 소프트웨어 개발 보안 구축 DRoS 공격/TCP 세션하이재킹 총정리

수제비 2022 정보처리기사 실기 교재 개념 정리한 내용입니다.

 

DRDoS 공격(Distributed Reflection DoS)

DoS에 비해 공격 근원지 파악 어려움, 공격 트래픽 생성 효율이 훨씬 큼

: 출발지 IP를 공격대상 IP로 위조하여 다수의 반사 서버로 요청 정보 전송, 공격 대상자는 반사 서버로부터 다량의 응답을 받아 서비스 거부가 되는 공격

 

공격 절차

1. 출발지 IP를 공격 대상자 IP로 spoofing 하여 SYN 패킷을 공격 경유지 서버로 전송
2. 경유지 서버는 공격 대상자 서버로 SYN/ACK 전송
3. 공격 대상자 서버는 수많은 SYN/ACK 받아 서비스 거부

 

대응방안

• ISP(인터넷 서비스 사업자)가 직접 차단
• 반사 서버에서 연결 완료하지 않은 SYN 출처 IP 조사하여 블랙 리스트 운용, 사전에 차단
• 공격 대상 서버 IP와 port(서비스)를 변경, 필터링하여 운영

 

TCP 세션 하이재킹(session hijacking)

: 케빈 미트닉이 사용했던 TCP의 세션관리 취약점을 이용한 공격기법

 

특징

• TCP sequence number의 보안상 취약점으로 발생
• 비동기화 상태로 패킷이 유실되어 재전송 패킷이 증가
• ACK storm 증가, 네트워크 부하 증가

절차

1. victim과 server 사이의 패킷 스니핑하여 sequence number 획득
2. 데이터 전송중인 victim과 server사이를 비동기화 상태로 만듦
3. 획득한 client sequence number이용해 공격

 

탐지방법

• 비동기화 상태 탐지
• ACK 패킷 비율 모니터링
• 특정 세션에서 패킷 유실 및 재전송이 증가되는 것 탐지
• 기대하지 않은 접속의 리셋 탐지