스위치 재밍, 랜드 어택, ARP스푸핑, 포트 스캐닝 공격으로 발현
네트워크 보안정책 수립되지 않은 기업, 낮은 수준의 공격에도 취약
[보안뉴스 김경애 기자] 네트워크 공격은 인터넷이 발달하기 시작한 때부터 현재까지 공격자들에게 가장 활발히 악용되고 있다. 네트워크 패킷을 훔쳐보며 정보를 수집하는 공격 유형인 스니핑(Sniffing), 수신자의 정보를 변조해 제3자에게 패킷을 전달하거나 패킷에 악의적인 코드를 넣는 스푸핑(Spoofing), 공격 대상의 자원을 소모시켜 마비시키는 서비스 거부(Denial of Service) 공격 등이 주를 이룬다.
[이미지=iclickart]
특히, 3가지 공격 유형은 네트워크 통신 국제 표준 모델 ‘OSI 7 Layer’ 기준인 총 7계층 중 2~4계층에서 △스위치 재밍(Switch Jamming) △랜드 어택(Land Attack) △ARP스푸핑(ARP Spoofing) △포트 스캐닝(PORT Scanning) 공격으로 발현된다.
[이미지=이글루시큐리티]
먼저 스위치 재밍(Switch Jamming)은 네트워크 패킷의 수신자를 확인해 해당 패킷을 적재적소에 보내주는 스위치 기능을 마비시키는 공격이다. 일반적으로 스위치는 자신이 가지고 있는 MAC 테이블의 저장공간이 가득차면 네트워크 패킷을 브로드캐스트하는 특성을 갖는다. 공격자는 이러한 스위치의 단점을 이용해 수많은 MAC 주소들을 지속적으로 네트워크 상에 흘려 스위치의 MAC 테이블을 가득 채운다. MAC 테이블이 가득 찬 스위치는 특정 매체에 전송해야 하는 패킷을 모든 매체에 전송하게 되고, 공격자는 스위치를 통해 오가는 모든 패킷을 염탐해 주요 네트워크 정보를 손쉽게 획득한다.
이와 관련 이글루시큐리티 측은 “스위치 재밍(Switch Jamming)은 MAC 테이블의 오버플로우를 발생시키는 것이 목적이기 때문에 서로 다른 MAC 주소로 다량의 패킷을 전송한다”며 “IP 또는 MAC 당 패킷은 극히 적은 수로 발생하는데, 이러한 특징을 이용해 와이어샤크(Wireshark)에서는 IP별 또는 Ethernet 별로 패킷 수를 확인하는 방법으로 공격을 확인할 수 있다”고 설명했다.
[이미지=이글루시큐리티]
두 번째, 랜드 어택(Land Attack)은 네트워크 패킷의 출발지 IP를 변조해 공격 대상의 자원을 소모시키는 공격이다. 주로 데이터 전송의 신뢰성을 보장하기 위해 연결 지향적(3-Way Handshaking) 특징을 가지는 서비스에서 발생된다. 공격자는 이러한 특징을 이용해 네트워크 패킷의 출발지 IP 주소를 공격 대상의 IP 주소로 변조해 패킷을 전송하며 패킷을 받은 대상은 자기 자신과 일정시간까지 빈 연결(세션)을 맺게 된다. 이 과정이 반복되면 빈 연결이 많아지게 되고, 결국 시스템 오버플로우가 발생해 정상적인 서비스를 제공하지 못하게 된다.
랜드 어택의 경우 출발지와 목적지 IP 주소가 동일한 특징이 있어 네트워크 모니터링 도구인 와이어샤크의 컨버세션(Conversations) 기능을 통해 동일 IP 주소 간에 통신 여부를 체크하는 방법으로 공격 여부를 확인할 수 있다.
ARP 프로토콜은 이름과 주민번호가 함께 기재된 주민등록증처럼 IP 주소와 MAC 주소를 매핑시키는데 사용된다. 이러한 ARP 프로토콜의 정보를 변조하는 공격을 ‘ARP 스푸핑(Spoofing)’이다. 공격자가 의도적으로 특정 IP 주소와 자신의 MAC 주소로 대응하는 ARP 메시지를 전송하면 각 매체는 잘못된 IP-MAC 테이블을 갖는다. 이점을 이용한 공격자는 공격 대상의 MAC 주소를 자신의 MAC 주소로 변조해 모든 패킷을 염탐하거나 주요 정보를 탈취한다.
이글루시큐리티 측은 “ARP 스푸핑은 ARP 프로토콜로 필터링을 좀더 명확하게 볼 수 있다”며 “특정 목적지에 반복적으로 ARP 패킷을 전송하거나 자신의 MAC 주소를 여러 IP 주소의 MAC 주소인 것처럼 브로드캐스팅하는 패턴을 통해 공격을 확인할 수 있다”고 설명했다.
마지막으로, 포트 스캐닝(PORT Scanning)은 공격대상이 사용하고 있는 응용프로그램의 취약점 공격 전 선행되는 공격이다. 서비스의 종류를 확인하기 위해 PORT 주소를 검사한다. 만약 공격 대상에 ‘1521’ 포트가 활성화되어 있다면, 공격자는 오라클(Oracle)의 익스플로잇 코드를 이용해 공격을 감행하고, 공격대상의 정보를 수집하게 된다. 주요 포트 스캔 방법은 TCP 스캔, SYN 스캔, ICMP 메시지 스캔 등이 있다.
이러한 네트워크 공격과 관련해 이글루시큐리티 측은 “IT 기술이 발달하고 서비스 종류가 기하급수적으로 증가했다 하더라도 이들의 근본인 네트워크는 변하지 않는다”며 “특히, 올바른 네트워크 보안 정책이 수립되지 않은 기업은 여전히 ‘OLD’하고 ‘BASIC’한 공격에 취약하다”며 보안정책 수립의 중요성을 강조했다.
[김경애 기자(boan3@boannews.com)]
네트워크 보안정책 수립되지 않은 기업, 낮은 수준의 공격에도 취약
[보안뉴스 김경애 기자] 네트워크 공격은 인터넷이 발달하기 시작한 때부터 현재까지 공격자들에게 가장 활발히 악용되고 있다. 네트워크 패킷을 훔쳐보며 정보를 수집하는 공격 유형인 스니핑(Sniffing), 수신자의 정보를 변조해 제3자에게 패킷을 전달하거나 패킷에 악의적인 코드를 넣는 스푸핑(Spoofing), 공격 대상의 자원을 소모시켜 마비시키는 서비스 거부(Denial of Service) 공격 등이 주를 이룬다.
[이미지=iclickart]
특히, 3가지 공격 유형은 네트워크 통신 국제 표준 모델 ‘OSI 7 Layer’ 기준인 총 7계층 중 2~4계층에서 △스위치 재밍(Switch Jamming) △랜드 어택(Land Attack) △ARP스푸핑(ARP Spoofing) △포트 스캐닝(PORT Scanning) 공격으로 발현된다.
[이미지=이글루시큐리티]
먼저 스위치 재밍(Switch Jamming)은 네트워크 패킷의 수신자를 확인해 해당 패킷을 적재적소에 보내주는 스위치 기능을 마비시키는 공격이다. 일반적으로 스위치는 자신이 가지고 있는 MAC 테이블의 저장공간이 가득차면 네트워크 패킷을 브로드캐스트하는 특성을 갖는다. 공격자는 이러한 스위치의 단점을 이용해 수많은 MAC 주소들을 지속적으로 네트워크 상에 흘려 스위치의 MAC 테이블을 가득 채운다. MAC 테이블이 가득 찬 스위치는 특정 매체에 전송해야 하는 패킷을 모든 매체에 전송하게 되고, 공격자는 스위치를 통해 오가는 모든 패킷을 염탐해 주요 네트워크 정보를 손쉽게 획득한다.
이와 관련 이글루시큐리티 측은 “스위치 재밍(Switch Jamming)은 MAC 테이블의 오버플로우를 발생시키는 것이 목적이기 때문에 서로 다른 MAC 주소로 다량의 패킷을 전송한다”며 “IP 또는 MAC 당 패킷은 극히 적은 수로 발생하는데, 이러한 특징을 이용해 와이어샤크(Wireshark)에서는 IP별 또는 Ethernet 별로 패킷 수를 확인하는 방법으로 공격을 확인할 수 있다”고 설명했다.
[이미지=이글루시큐리티]
두 번째, 랜드 어택(Land Attack)은 네트워크 패킷의 출발지 IP를 변조해 공격 대상의 자원을 소모시키는 공격이다. 주로 데이터 전송의 신뢰성을 보장하기 위해 연결 지향적(3-Way Handshaking) 특징을 가지는 서비스에서 발생된다. 공격자는 이러한 특징을 이용해 네트워크 패킷의 출발지 IP 주소를 공격 대상의 IP 주소로 변조해 패킷을 전송하며 패킷을 받은 대상은 자기 자신과 일정시간까지 빈 연결(세션)을 맺게 된다. 이 과정이 반복되면 빈 연결이 많아지게 되고, 결국 시스템 오버플로우가 발생해 정상적인 서비스를 제공하지 못하게 된다.
랜드 어택의 경우 출발지와 목적지 IP 주소가 동일한 특징이 있어 네트워크 모니터링 도구인 와이어샤크의 컨버세션(Conversations) 기능을 통해 동일 IP 주소 간에 통신 여부를 체크하는 방법으로 공격 여부를 확인할 수 있다.
ARP 프로토콜은 이름과 주민번호가 함께 기재된 주민등록증처럼 IP 주소와 MAC 주소를 매핑시키는데 사용된다. 이러한 ARP 프로토콜의 정보를 변조하는 공격을 ‘ARP 스푸핑(Spoofing)’이다. 공격자가 의도적으로 특정 IP 주소와 자신의 MAC 주소로 대응하는 ARP 메시지를 전송하면 각 매체는 잘못된 IP-MAC 테이블을 갖는다. 이점을 이용한 공격자는 공격 대상의 MAC 주소를 자신의 MAC 주소로 변조해 모든 패킷을 염탐하거나 주요 정보를 탈취한다.
이글루시큐리티 측은 “ARP 스푸핑은 ARP 프로토콜로 필터링을 좀더 명확하게 볼 수 있다”며 “특정 목적지에 반복적으로 ARP 패킷을 전송하거나 자신의 MAC 주소를 여러 IP 주소의 MAC 주소인 것처럼 브로드캐스팅하는 패턴을 통해 공격을 확인할 수 있다”고 설명했다.
마지막으로, 포트 스캐닝(PORT Scanning)은 공격대상이 사용하고 있는 응용프로그램의 취약점 공격 전 선행되는 공격이다. 서비스의 종류를 확인하기 위해 PORT 주소를 검사한다. 만약 공격 대상에 ‘1521’ 포트가 활성화되어 있다면, 공격자는 오라클(Oracle)의 익스플로잇 코드를 이용해 공격을 감행하고, 공격대상의 정보를 수집하게 된다. 주요 포트 스캔 방법은 TCP 스캔, SYN 스캔, ICMP 메시지 스캔 등이 있다.
이러한 네트워크 공격과 관련해 이글루시큐리티 측은 “IT 기술이 발달하고 서비스 종류가 기하급수적으로 증가했다 하더라도 이들의 근본인 네트워크는 변하지 않는다”며 “특히, 올바른 네트워크 보안 정책이 수립되지 않은 기업은 여전히 ‘OLD’하고 ‘BASIC’한 공격에 취약하다”며 보안정책 수립의 중요성을 강조했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
_m.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
