공격 유형. DOS 및 DDoS 공격: 개념, 유형, 탐지 및 보호 방법

인터넷은 일, 공부, 여가 등 우리의 삶의 방식을 완전히 변화시킵니다. 이러한 변화는 우리가 이미 알고 있는 영역(전자 상거래, 실시간 정보에 대한 접근, 커뮤니케이션 기능 향상 등)과 우리가 아직 알지 못하는 영역 모두에서 발생할 것입니다.

기업이 모든 전화 통화를 인터넷을 통해 완전히 무료로 할 때가 올 수도 있습니다. 사생활에서는 부모가 자녀가 어떻게 지내는지 언제든지 알 수 있는 특별한 웹 사이트가 나타날 수 있습니다. 우리 사회는 이제 막 인터넷의 무한한 가능성을 깨닫기 시작했습니다.

소개

인터넷의 인기가 엄청나게 높아짐과 동시에 개인 데이터, 중요한 기업 자원, 국가 기밀 등이 공개될 수 있는 전례 없는 위험이 발생하고 있습니다.

매일 해커들은 한편으로는 점점 더 정교해지고 다른 한편으로는 실행하기 쉬워지는 특수 공격을 사용하여 이러한 리소스에 액세스하려고 시도함으로써 이러한 리소스를 위협합니다. 여기에는 두 가지 주요 요인이 기여합니다.

첫째, 이것은 인터넷의 광범위한 보급입니다. 현재 수백만 개의 장치가 인터넷에 연결되어 있으며 가까운 미래에는 수백만 개의 장치가 인터넷에 연결될 것이므로 해커가 취약한 장치에 액세스할 가능성이 점점 더 커지고 있습니다.

또한 인터넷의 광범위한 사용으로 인해 해커는 전 세계적으로 정보를 교환할 수 있습니다. "해커", "해킹", "해킹", "크랙" 또는 "프리크"와 같은 키워드를 간단히 검색하면 수천 개의 사이트가 표시되며, 그 중 다수에는 악성 코드와 사용 방법이 포함되어 있습니다.

둘째, 이것은 사용하기 쉬운 운영 체제 및 개발 환경의 가장 광범위한 배포판입니다. 이 요소는 해커에게 필요한 지식과 기술 수준을 급격히 감소시킵니다. 이전에는 사용하기 쉬운 애플리케이션을 만들고 배포하려면 해커가 좋은 프로그래밍 기술을 가지고 있어야 했습니다.

이제 해커 도구에 액세스하려면 원하는 사이트의 IP 주소만 알고 있으면 되며, 마우스 클릭 한 번으로 공격을 수행할 수 있습니다.

네트워크 공격 분류

네트워크 공격은 표적이 되는 시스템만큼 다양합니다. 일부 공격은 매우 복잡하지만 다른 공격은 자신의 활동의 결과를 상상조차 하지 못하는 일반 운영자의 능력 내에 있습니다. 공격 유형을 평가하려면 TPC/IP 프로토콜의 본질적인 한계 중 일부를 알아야 합니다. 그물

인터넷은 교육 과정과 과학 연구를 지원하기 위해 정부 기관과 대학 간의 통신을 위해 만들어졌습니다. 이 네트워크의 제작자는 그것이 얼마나 널리 퍼질지 전혀 몰랐습니다. 결과적으로 초기 버전의 IP(인터넷 프로토콜) 사양에는 보안 요구 사항이 부족했습니다. 이것이 바로 많은 IP 구현이 본질적으로 취약한 이유입니다.

수년 후, 많은 불만(Request for Comments, RFC) 끝에 마침내 IP에 대한 보안 조치가 구현되기 시작했습니다. 그러나 IP 프로토콜에 대한 보안 조치가 초기에 개발되지 않았기 때문에 모든 구현은 이 프로토콜에 내재된 위험을 줄이는 다양한 네트워크 절차, 서비스 및 제품으로 보완되기 시작했습니다. 다음으로, IP 네트워크에 일반적으로 사용되는 공격 유형을 간략하게 살펴보고 이에 대응하는 방법을 나열하겠습니다.

패킷 스니퍼

패킷 스니퍼는 무차별 모드에서 작동하는 네트워크 카드를 사용하는 응용 프로그램입니다. 이 모드에서는 네트워크 어댑터가 처리를 위해 물리적 채널을 통해 수신된 모든 패킷을 응용 프로그램으로 보냅니다.

이 경우 스니퍼는 특정 도메인을 통해 전송되는 모든 네트워크 패킷을 차단합니다. 현재 스니퍼는 완전히 합법적인 네트워크에서 운영됩니다. 이는 결함 진단 및 트래픽 분석에 사용됩니다. 그러나 일부 네트워크 응용 프로그램은 데이터를 텍스트 형식으로 전송하기 때문에( 텔넷, FTP, SMTP, POP3 등.), 스니퍼를 사용하면 유용하고 때로는 기밀 정보(예: 사용자 이름 및 비밀번호)를 찾을 수 있습니다.

사용자가 여러 애플리케이션과 시스템에 동일한 로그인과 비밀번호를 사용하는 경우가 많기 때문에 로그인 및 비밀번호 가로채기는 큰 위협이 됩니다. 많은 사용자는 일반적으로 모든 리소스와 애플리케이션에 액세스하기 위한 단일 비밀번호를 가지고 있습니다.

애플리케이션이 클라이언트-서버 모드에서 실행되고 인증 데이터가 읽을 수 있는 텍스트 형식으로 네트워크를 통해 전송되는 경우 이 정보는 다른 회사 또는 외부 리소스에 액세스하는 데 사용될 가능성이 높습니다. 해커는 인간의 약점을 너무 잘 알고 악용합니다(공격 방법은 종종 사회 공학적 방법을 기반으로 함).

그들은 우리가 동일한 비밀번호를 사용하여 많은 리소스에 액세스한다는 사실을 잘 알고 있으므로 비밀번호를 알아내어 중요한 정보에 액세스하는 경우가 많습니다. 최악의 경우 해커는 사용자 리소스에 대한 시스템 수준 액세스 권한을 획득하고 이를 사용하여 언제든지 네트워크와 해당 리소스에 액세스하는 데 사용할 수 있는 새 사용자를 생성합니다.

다음 도구를 사용하면 패킷 스니핑 위협을 줄일 수 있습니다.:

입증. 강력한 인증은 패킷 스니핑에 대한 가장 중요한 방어입니다. "강력하다"는 것은 우회하기 어려운 인증 방법을 의미합니다. 이러한 인증의 예로 OTP(일회용 비밀번호)가 있습니다.

OTP는 가지고 있는 것과 알고 있는 것을 결합하는 2단계 인증 기술입니다. 이중 인증의 전형적인 예는 일반 ATM의 작동으로, 첫 번째는 플라스틱 카드로, 두 번째는 입력한 PIN 코드로 사용자를 식별합니다. OTP 시스템에서 인증을 위해서는 PIN 코드와 개인 카드도 필요합니다.

"카드"(토큰)란 무작위 원칙에 따라 고유한 일회용 비밀번호를 생성하는 하드웨어 또는 소프트웨어 도구를 의미합니다. 해커가 스니퍼를 사용하여 이 비밀번호를 알아낸다면 이 정보는 쓸모가 없게 됩니다. 그 순간 비밀번호는 이미 사용되고 폐기될 것이기 때문입니다.

스니핑을 방지하는 이 방법은 비밀번호를 가로채는 경우에만 효과적입니다. 다른 정보(예: 이메일 메시지)를 가로채는 스니퍼는 여전히 효과적입니다.

전환된 인프라. 네트워크 환경에서 패킷 스니핑을 방지하는 또 다른 방법은 전환형 인프라를 만드는 것입니다. 예를 들어 조직 전체가 전화 접속 이더넷을 사용하는 경우 해커는 자신이 연결된 포트로 들어오는 트래픽에만 액세스할 수 있습니다. 전환된 인프라는 스니핑 위협을 제거하지는 못하지만 심각도를 크게 줄여줍니다.

안티스니퍼. 스니핑을 방지하는 세 번째 방법은 네트워크에서 실행되는 스니퍼를 인식하는 하드웨어나 소프트웨어를 설치하는 것입니다. 이러한 도구는 위협을 완전히 제거할 수는 없지만 다른 많은 네트워크 보안 도구와 마찬가지로 전체 보호 시스템에 포함되어 있습니다. 안티스니퍼는 호스트 응답 시간을 측정하고 호스트가 불필요한 트래픽을 처리해야 하는지 여부를 결정합니다. LOpht Heavy Industries에서 제공하는 이러한 제품 중 하나가 AntiSniff입니다.

암호화. 패킷 스니핑을 방지하는 가장 효과적인 방법은 가로채기를 방지하지 못하고 스니퍼의 작업을 인식하지 못하지만 이 작업을 쓸모 없게 만듭니다. 통신 채널이 암호화되어 안전하다면 해커는 메시지를 가로채는 것이 아니라 암호문(즉, 이해할 수 없는 비트 시퀀스)을 가로채는 것입니다. Cisco 네트워크 계층 암호화는 IP 프로토콜을 사용하는 장치 간 보안 통신을 위한 표준 방법인 IPSec를 기반으로 합니다. 기타 암호화 네트워크 관리 프로토콜로는 SSH(Secure Shell) 및 SSL(Secure Socket Layer) 프로토콜이 있습니다.

IP 스푸핑

IP 스푸핑은 기업 내부 또는 외부의 해커가 인증된 사용자를 사칭할 때 발생합니다. 이는 두 가지 방법으로 수행될 수 있습니다. 해커는 승인된 IP 주소 범위 내에 있는 IP 주소를 사용하거나 특정 네트워크 리소스에 대한 액세스가 허용되는 승인된 외부 주소를 사용할 수 있습니다.

IP 스푸핑 공격은 종종 다른 공격의 시작점이 됩니다. 전형적인 예는 다른 사람의 주소에서 시작하여 해커의 실제 신원을 숨기는 DoS 공격입니다.

일반적으로 IP 스푸핑은 클라이언트와 서버 애플리케이션 간 또는 피어 장치 간의 통신 채널을 통해 전송되는 정상적인 데이터 흐름에 잘못된 정보나 악의적인 명령을 삽입하는 것으로 제한됩니다.

양방향 통신을 위해 해커는 모든 라우팅 테이블을 변경하여 트래픽을 잘못된 IP 주소로 보내야 합니다. 그러나 일부 해커는 응용 프로그램으로부터 응답을 얻으려고 시도조차 하지 않습니다. 주요 목표가 시스템에서 중요한 파일을 가져오는 것이라면 응용 프로그램의 응답은 중요하지 않습니다.

해커가 라우팅 테이블을 변경하고 트래픽을 잘못된 IP 주소로 보내는 경우, 그는 모든 패킷을 수신하고 마치 승인된 사용자인 것처럼 응답할 수 있습니다.

다음 조치를 통해 스푸핑 위협을 완화할 수 있지만 제거할 수는 없습니다.

• 액세스 제어. IP 스푸핑을 방지하는 가장 쉬운 방법은 액세스 제어를 올바르게 구성하는 것입니다. IP 스푸핑의 효율성을 줄이려면 네트워크 내부에 있어야 하는 소스 주소를 사용하여 외부 네트워크에서 들어오는 모든 트래픽을 거부하도록 액세스 제어를 구성하십시오.

  사실, 이는 내부 주소만 인증된 경우 IP 스푸핑을 방지하는 데 도움이 됩니다. 일부 외부 네트워크 주소도 인증된 경우 이 방법은 효과가 없습니다.

• RFC 2827 필터링. 네트워크의 사용자가 다른 사람의 네트워크를 스푸핑하는 것을 방지하고 훌륭한 온라인 시민이 될 수 있습니다. 이렇게 하려면 소스 주소가 조직의 IP 주소 중 하나가 아닌 모든 나가는 트래픽을 거부해야 합니다.

  RFC 2827이라고 하는 이러한 유형의 필터링은 인터넷 서비스 공급자(ISP)에서도 수행할 수 있습니다. 결과적으로 특정 인터페이스에서 예상되는 소스 주소가 없는 모든 트래픽은 거부됩니다. 예를 들어, ISP가 IP 주소 15.1.1.0/24에 대한 연결을 제공하는 경우 15.1.1.0/24에서 발생하는 트래픽만 해당 인터페이스에서 ISP의 라우터로 허용되도록 필터를 구성할 수 있습니다.

모든 공급자가 이러한 유형의 필터링을 구현할 때까지는 그 효율성이 가능한 것보다 훨씬 낮습니다. 또한 필터링 대상 장치로부터 멀어질수록 정확한 필터링이 어려워집니다. 예를 들어, 액세스 라우터 수준에서 RFC 2827 필터링을 수행하려면 기본 네트워크 주소(10.0.0.0/8)에서 모든 트래픽을 전달해야 하지만, 배포 수준(특정 아키텍처에서)에서는 트래픽을 보다 정확하게 제한할 수 있습니다(주소 - 10.1.5.0/24).

IP 스푸핑에 대처하는 가장 효과적인 방법은 패킷 스니핑의 경우와 동일합니다. 즉, 공격을 완전히 무효화해야 합니다. IP 스푸핑은 인증이 IP 주소를 기반으로 하는 경우에만 작동할 수 있습니다.

따라서 추가적인 인증 방법을 도입하면 이러한 공격이 쓸모 없게 됩니다. 가장 좋은 추가 인증 유형은 암호화입니다. 이것이 가능하지 않은 경우 일회용 비밀번호를 사용한 이중 인증을 사용하면 좋은 결과를 얻을 수 있습니다.

서비스 거부

서비스 거부(DoS)는 의심할 여지 없이 가장 잘 알려진 해킹 공격 형태입니다. 또한 이러한 유형의 공격은 100% 보호를 생성하기가 가장 어렵습니다. 해커들 사이에서 DoS 공격은 아이들의 장난으로 간주되며 DoS를 조직하려면 최소한의 지식과 기술이 필요하기 때문에 DoS 공격을 사용하면 경멸적인 웃음이 나옵니다.

그럼에도 불구하고 DoS가 네트워크 보안을 담당하는 관리자의 세심한 관심을 끄는 것은 바로 구현의 용이성과 엄청난 규모의 피해 때문입니다. DoS 공격에 대해 자세히 알아보려면 다음과 같은 가장 유명한 유형을 고려해야 합니다.

• TCP SYN 플러드;
• 죽음의 핑;
• 부족 홍수 네트워크(TFN) 및 부족 홍수 네트워크 2000(TFN2K);
• 트린코;
• Stacheldracht;
• 삼위 일체.

탁월한 보안 정보 소스는 DoS 공격 퇴치에 대한 훌륭한 연구 결과를 발표한 CERT(컴퓨터 긴급 대응 팀)입니다.

DoS 공격은 다른 유형의 공격과 다릅니다. DoS 공격은 네트워크에 액세스하거나 해당 네트워크에서 정보를 얻는 것을 목표로 하지 않습니다. 그러나 DoS 공격은 네트워크, 운영 체제 또는 응용 프로그램의 허용 가능한 한도를 초과하여 네트워크를 정상적으로 사용할 수 없도록 만듭니다.

일부 서버 애플리케이션(예: 웹 서버 또는 FTP 서버)의 경우 DoS 공격에는 해당 애플리케이션에서 사용 가능한 모든 연결을 장악하고 이를 점유 상태로 유지하여 일반 사용자에게 서비스를 제공하지 못하게 할 수 있습니다. DoS 공격은 TCP 및 ICMP와 같은 일반적인 인터넷 프로토콜을 사용할 수 있습니다( 인터넷 제어 메시지 프로토콜).

대부분의 DoS 공격은 소프트웨어 버그나 보안 허점을 대상으로 하는 것이 아니라 시스템 아키텍처의 일반적인 약점을 대상으로 합니다. 일부 공격은 원치 않는 불필요한 패킷이나 네트워크 리소스의 현재 상태에 대한 오해의 소지가 있는 정보를 네트워크에 대량으로 유입시켜 네트워크 성능을 저하시킵니다.

이러한 유형의 공격은 공급자와의 조정이 필요하기 때문에 예방하기 어렵습니다. 공급자에서 네트워크를 압도하려는 트래픽을 중지하지 않으면 모든 대역폭이 점유되므로 더 이상 네트워크 입구에서 이 작업을 수행할 수 없습니다. 이러한 유형의 공격이 여러 장치를 통해 동시에 수행되는 경우 분산 DoS 공격(분산 DoS, DDoS)을 말합니다.

DoS 공격의 위협은 다음 세 가지 방법으로 줄일 수 있습니다.

• 스푸핑 방지 기능. 라우터와 방화벽에 스푸핑 방지 기능을 올바르게 구성하면 DoS 위험을 줄이는 데 도움이 됩니다. 이러한 기능에는 최소한 RFC 2827 필터링이 포함되어야 하며, 해커가 자신의 실제 신원을 위장할 수 없다면 공격을 수행할 가능성은 거의 없습니다.
• DoS 방지 기능. 라우터와 방화벽에서 DoS 방지 기능을 올바르게 구성하면 공격의 효과가 제한될 수 있습니다. 이러한 기능은 특정 시간에 반쯤 열린 채널의 수를 제한하는 경우가 많습니다.
• 트래픽 속도 제한. 조직에서는 ISP(인터넷 서비스 공급자)에게 트래픽 양을 제한하도록 요청할 수 있습니다. 이러한 유형의 필터링을 사용하면 네트워크를 통과하는 중요하지 않은 트래픽의 양을 제한할 수 있습니다. 일반적인 예는 진단 목적으로만 사용되는 ICMP 트래픽의 볼륨을 제한하는 것입니다. (D)DoS 공격은 종종 ICMP를 사용합니다.

비밀번호 공격

해커는 무차별 대입 공격, 트로이 목마, IP 스푸핑, 패킷 스니핑 등 다양한 방법을 사용하여 비밀번호 공격을 수행할 수 있습니다. IP 스푸핑이나 패킷 스니핑 등을 통해 로그인 정보와 비밀번호를 알아내는 경우가 많지만, 해커들이 여러 차례 접속 시도를 통해 비밀번호와 로그인을 추측하는 경우가 많다. 이러한 접근 방식을 단순 검색(무차별 대입 공격)이라고 합니다.

이러한 공격에서는 공용 리소스(예: 서버)에 대한 액세스 권한을 얻으려는 특수 프로그램을 사용하는 경우가 많습니다. 결과적으로 해커에게 리소스에 대한 액세스 권한이 부여되면 비밀번호가 선택된 일반 사용자의 권한으로 해당 리소스를 받게 됩니다.

이 사용자에게 상당한 액세스 권한이 있는 경우 해커는 사용자가 비밀번호와 로그인을 변경하더라도 유효하게 유지되는 향후 액세스를 위한 "패스"를 생성할 수 있습니다.

사용자가 회사, 개인 및 인터넷 시스템 등 많은 시스템에 액세스하기 위해 동일한(아주 좋은) 비밀번호를 사용할 때 또 다른 문제가 발생합니다. 비밀번호의 강도는 가장 약한 호스트의 강도와 동일하므로 해당 호스트를 통해 비밀번호를 알아낸 해커는 동일한 비밀번호가 사용되는 다른 모든 시스템에 액세스할 수 있습니다.

일반 텍스트 비밀번호를 사용하지 않으면 비밀번호 공격을 피할 수 있습니다. 일회용 비밀번호 및/또는 암호화 인증을 사용하면 이러한 공격의 위협을 사실상 제거할 수 있습니다. 불행하게도 모든 애플리케이션, 호스트 및 장치가 위의 인증 방법을 지원하는 것은 아닙니다.

일반 비밀번호를 사용할 때는 추측하기 어려운 비밀번호를 만드세요. 최소 비밀번호 길이는 8자 이상이어야 합니다. 비밀번호에는 대문자, 숫자, 특수 문자(#, %, $ 등)가 포함되어야 합니다.

최고의 비밀번호는 추측하기 어렵고 기억하기 어렵기 때문에 사용자가 종이에 적어야 합니다. 이를 방지하기 위해 사용자와 관리자는 최근의 다양한 기술 발전을 사용할 수 있습니다.

예를 들어, 포켓 컴퓨터에 저장할 수 있는 비밀번호 목록을 암호화하는 응용 프로그램이 있습니다. 결과적으로, 사용자는 하나의 복잡한 비밀번호만 기억하면 되며, 다른 모든 비밀번호는 애플리케이션에 의해 안정적으로 보호됩니다.

관리자가 비밀번호 추측을 방지하는 방법에는 여러 가지가 있습니다. 그 중 하나는 해커가 Windows NT 환경에서 암호를 추측하는 데 자주 사용하는 L0phtCrack 도구를 사용하는 것입니다. 이 도구는 사용자가 선택한 비밀번호가 추측하기 쉬운지 여부를 빠르게 보여줍니다. 자세한 내용은 http://www.l0phtcrack.com/을 방문하세요.

중간자 공격

중간자 공격의 경우 해커는 네트워크를 통해 전송된 패킷에 액세스해야 합니다. 예를 들어, 공급자로부터 다른 네트워크로 전송되는 모든 패킷에 대한 액세스는 해당 공급자의 직원이 얻을 수 있습니다. 이러한 유형의 공격에는 패킷 스니퍼, 전송 프로토콜 및 라우팅 프로토콜이 자주 사용됩니다.

공격은 정보 도용, 현재 세션 가로채기, 사설 네트워크 리소스에 대한 액세스 획득, 트래픽 분석, 네트워크 및 사용자에 대한 정보 획득, DoS 공격 수행, 전송된 데이터 왜곡 및 무단 정보 입력을 목적으로 수행됩니다. 네트워크 세션에 들어갑니다.

중간자 공격은 암호화를 통해서만 효과적으로 대처할 수 있습니다. 해커가 암호화된 세션에서 데이터를 가로채면 화면에 나타나는 것은 가로채는 메시지가 아니라 의미 없는 문자 집합입니다. 해커가 암호화 세션에 대한 정보(예: 세션 키)를 획득하면 암호화된 환경에서도 중간자 공격이 가능해질 수 있습니다.

애플리케이션 수준 공격

애플리케이션 수준 공격은 여러 가지 방법으로 수행될 수 있습니다. 그 중 가장 일반적인 것은 서버 소프트웨어(sendmail, HTTP, FTP)의 잘 알려진 약점을 사용하는 것입니다. 이러한 약점을 악용함으로써 해커는 응용 프로그램을 실행하는 사용자(일반적으로 일반 사용자가 아니라 시스템 액세스 권한이 있는 권한 있는 관리자)로서 컴퓨터에 액세스할 수 있습니다.

응용 프로그램 수준 공격에 대한 정보는 관리자가 수정 모듈(패치)을 사용하여 문제를 수정할 수 있는 기회를 제공하기 위해 널리 게시됩니다. 불행하게도 많은 해커들도 이 정보에 접근하여 개선할 수 있습니다.

애플리케이션 수준 공격의 주요 문제점은 해커가 방화벽 통과가 허용된 포트를 자주 사용한다는 것입니다. 예를 들어, 웹 서버의 알려진 약점을 악용하는 해커는 TCP 공격에서 포트 80을 사용하는 경우가 많습니다. 웹 서버는 사용자에게 웹 페이지를 제공하므로 방화벽은 이 포트에 대한 액세스를 제공해야 합니다. 방화벽의 관점에서 보면 공격은 포트 80의 표준 트래픽으로 처리됩니다.

애플리케이션 수준 공격을 완전히 제거할 수는 없습니다. 해커들은 인터넷상의 응용 프로그램에서 새로운 취약점을 지속적으로 발견하고 게시하고 있습니다. 여기서 가장 중요한 것은 좋은 시스템 관리입니다. 이러한 유형의 공격에 대한 취약성을 줄이기 위해 취할 수 있는 몇 가지 조치는 다음과 같습니다.

• 운영 체제 및 네트워크 로그 파일을 읽거나 특수 분석 응용 프로그램을 사용하여 분석합니다.
• 애플리케이션 취약점 보고 서비스인 Bugtrad(http://www.securityfocus.com)에 가입하세요.

네트워크 인텔리전스

네트워크 인텔리전스는 공개적으로 사용 가능한 데이터와 애플리케이션을 사용하여 네트워크 정보를 수집하는 것을 의미합니다. 네트워크에 대한 공격을 준비할 때 해커는 일반적으로 네트워크에 대해 가능한 한 많은 정보를 얻으려고 합니다. 네트워크 정찰은 DNS 쿼리, 핑 및 포트 스캐닝의 형태로 수행됩니다.

DNS 쿼리는 특정 도메인을 소유한 사람과 해당 도메인에 할당된 주소를 이해하는 데 도움이 됩니다. DNS에 의해 밝혀진 주소를 핑하면 주어진 환경에서 실제로 어떤 호스트가 실행되고 있는지 확인할 수 있습니다. 호스트 목록을 받은 후 해커는 포트 검색 도구를 사용하여 해당 호스트가 지원하는 전체 서비스 목록을 컴파일합니다. 마지막으로 해커는 호스트에서 실행되는 애플리케이션의 특성을 분석합니다. 그 결과 해킹에 활용될 수 있는 정보를 얻게 된다.

네트워크 인텔리전스를 완전히 제거하는 것은 불가능합니다. 예를 들어 에지 라우터에서 ICMP 에코 및 에코 응답을 비활성화하면 핑 테스트는 제거되지만 네트워크 오류를 진단하는 데 필요한 데이터는 손실됩니다.

또한 예비 핑 테스트 없이 포트를 스캔할 수 있습니다. 존재하지 않는 IP 주소를 스캔해야 하므로 시간이 더 걸릴 뿐입니다. 네트워크 및 호스트 수준 IDS 시스템은 일반적으로 관리자에게 지속적인 네트워크 정찰을 효과적으로 알리므로 다가오는 공격에 더 잘 대비하고 시스템이 지나치게 궁금해하는 네트워크의 ISP(인터넷 서비스 공급자)에게 경고할 수 있습니다.

1. 최신 버전의 운영 체제 및 애플리케이션과 최신 수정 모듈(패치)을 사용합니다.
2. 시스템 관리 외에도 IDS(공격 탐지 시스템)를 사용합니다. 두 가지 보완적인 ID 기술입니다.
   • NIDS(Network IDS System)는 특정 도메인을 통과하는 모든 패킷을 모니터링합니다. NIDS 시스템이 알려졌거나 예상되는 공격의 서명과 일치하는 패킷 또는 일련의 패킷을 발견하면 경보를 생성하거나 세션을 종료합니다.
   • IDS 시스템(HIDS)은 소프트웨어 에이전트를 사용하여 호스트를 보호합니다. 이 시스템은 단일 호스트에 대한 공격에만 대처합니다.

작업 시 IDS 시스템은 특정 공격 또는 공격 유형의 프로필인 공격 서명을 사용합니다. 서명은 트래픽이 해커로 간주되는 조건을 정의합니다. 실제 세계의 IDS 유사품은 경고 시스템이나 감시 카메라로 간주될 수 있습니다.

IDS의 가장 큰 단점은 경보 생성 기능입니다. 허위 경보 수를 최소화하고 네트워크에서 IDS 시스템의 올바른 기능을 보장하려면 시스템을 주의 깊게 구성해야 합니다.

신뢰의 위반

엄밀히 말하면 이러한 유형의 행동은 공격이나 폭행이라는 단어의 완전한 의미가 아닙니다. 이는 네트워크에 존재하는 신뢰 관계를 악의적으로 이용하는 것을 나타냅니다. 이러한 남용의 전형적인 예는 기업 네트워크 주변 부분의 상황입니다.

이 세그먼트에는 DNS, SMTP 및 HTTP 서버가 포함되는 경우가 많습니다. 이들 서버는 모두 동일한 세그먼트에 속하기 때문에 이들 중 하나를 해킹하면 다른 서버도 모두 해킹하게 됩니다. 왜냐하면 이러한 서버는 네트워크의 다른 시스템을 신뢰하기 때문입니다.

또 다른 예로는 방화벽 내부에 설치된 시스템과 신뢰 관계를 맺고 있는 방화벽 외부에 설치된 시스템을 들 수 있다. 외부 시스템이 손상되면 해커는 신뢰관계를 이용해 방화벽으로 보호되는 시스템에 침투할 수 있다.

네트워크 내 신뢰 수준을 더욱 엄격하게 제어하면 신뢰 위반 위험을 줄일 수 있습니다. 방화벽 외부에 있는 시스템은 방화벽으로 보호되는 시스템으로부터 절대적 신뢰를 받아서는 안 됩니다.

신뢰 관계는 특정 프로토콜로 제한되어야 하며, 가능하다면 IP 주소 이외의 매개변수로 인증되어야 합니다.

포트 포워딩

포트 전달은 손상된 호스트를 사용하여 거부될 방화벽을 통해 트래픽을 전달하는 신뢰 남용의 한 형태입니다. 세 개의 인터페이스가 있고 각 인터페이스가 특정 호스트에 연결되어 있는 방화벽을 상상해 봅시다.

외부 호스트는 공유 호스트(DMZ)에 연결할 수 있지만 방화벽 내부에 설치된 호스트에는 연결할 수 없습니다. 공유 호스트는 내부 및 외부 호스트 모두에 연결할 수 있습니다. 해커가 공유 호스트를 장악하면 외부 호스트의 트래픽을 내부 호스트로 직접 리디렉션하는 소프트웨어를 설치할 수 있습니다.

이는 화면의 규칙을 위반하지 않지만 리디렉션의 결과로 외부 호스트는 보호된 호스트에 직접 액세스할 수 있습니다. 이러한 액세스를 제공할 수 있는 애플리케이션의 예로는 netcat이 있습니다. 자세한 내용은 http://www.avian.org에서 확인할 수 있습니다.

포트 전달을 방지하는 주요 방법은 강력한 신뢰 모델을 사용하는 것입니다(이전 섹션 참조). 또한 호스트 IDS 시스템(HIDS)은 해커가 호스트에 소프트웨어를 설치하는 것을 방지할 수 있습니다.

승인되지 않은 접근

대부분의 네트워크 공격은 정확하게 무단 액세스를 얻기 위해 수행되므로 무단 액세스를 별도의 공격 유형으로 식별할 수는 없습니다. Telnet 로그인을 추측하려면 해커는 먼저 자신의 시스템에서 Telnet 힌트를 얻어야 합니다. Telnet 포트에 연결하면 화면에 "이 리소스를 사용하려면 인증이 필요합니다."라는 메시지가 나타납니다(" 이 리소스를 사용하려면 승인이 필요합니다.»).

이후에도 해커가 계속해서 액세스를 시도하는 경우 무단으로 간주됩니다. 이러한 공격의 소스는 네트워크 내부에 있을 수도 있고 외부에 있을 수도 있습니다.

무단 액세스를 방지하는 방법은 매우 간단합니다. 여기서 가장 중요한 것은 승인되지 않은 프로토콜을 사용하여 시스템에 액세스하는 해커의 능력을 줄이거나 완전히 제거하는 것입니다.

예를 들어, 외부 사용자에게 웹 서비스를 제공하는 서버의 Telnet 포트에 해커가 액세스하는 것을 방지하는 것을 고려해 보십시오. 이 포트에 액세스하지 않으면 해커가 공격할 수 없습니다. 방화벽의 주요 임무는 가장 간단한 무단 액세스 시도를 방지하는 것입니다.

바이러스 및 트로이 목마 애플리케이션

최종 사용자 워크스테이션은 바이러스와 트로이 목마에 매우 취약합니다. 바이러스는 최종 사용자의 워크스테이션에서 원치 않는 특정 기능을 수행하기 위해 다른 프로그램에 삽입되는 악성 프로그램입니다. 예를 들어 command.com 파일(Windows 시스템의 주요 해석기)에 작성되어 다른 파일을 지우고 발견한 다른 모든 버전의 command.com도 감염시키는 바이러스가 있습니다.

트로이 목마는 소프트웨어 삽입물이 아니라 언뜻 보면 유용한 응용 프로그램처럼 보이지만 실제로는 해로운 역할을 하는 실제 프로그램입니다. 전형적인 트로이 목마의 예로는 사용자의 워크스테이션을 위한 간단한 게임처럼 보이는 프로그램이 있습니다.

그러나 사용자가 게임을 하는 동안 프로그램은 해당 사용자의 주소록에 있는 모든 가입자에게 이메일로 자신의 복사본을 보냅니다. 모든 구독자는 게임을 우편으로 받아 추가 배포가 가능합니다.

바이러스 및 트로이 목마와의 싸움은 사용자 수준은 물론 네트워크 수준에서도 작동하는 효과적인 바이러스 백신 소프트웨어를 사용하여 수행됩니다. 바이러스 백신 제품은 대부분의 바이러스와 트로이 목마를 탐지하고 확산을 차단합니다.

바이러스에 대한 최신 정보를 얻으면 바이러스를 더욱 효과적으로 퇴치하는 데 도움이 됩니다. 새로운 바이러스와 트로이 목마가 출현함에 따라 기업에서는 새로운 버전의 바이러스 백신 도구와 애플리케이션을 설치해야 합니다.

우리의 컴퓨터 시스템은 다양한 유형의 공격에 취약합니다. 이러한 공격으로부터 시스템을 보호하려면 일반적인 컴퓨터 공격을 아는 것이 중요합니다. 오늘날 세계에서는 개인용 컴퓨터 시스템이나 네트워크가 공격당한다는 소식을 듣는 것이 거의 흔한 상황이 되었습니다. 이러한 기술 시대에는 소중한 데이터, 시스템 및 네트워크를 보호해야 하는 다양한 유형의 컴퓨터 공격이 있습니다. 일부 공격은 단순히 컴퓨터의 데이터를 손상시킬 수도 있지만, 컴퓨터 시스템의 데이터를 손상시킬 수 있는 다른 공격도 있습니다. 도난 당할 수 있으며 전체 네트워크가 종료될 수 있는 기타 공격도 포함됩니다.

간단히 말해서 공격에는 수동적 공격과 능동적 공격의 두 가지 주요 유형이 있는데, 수동적 공격은 컴퓨터의 데이터를 모니터링한 후 나중에 악의적인 목적으로 사용하는 공격이고, 능동적 공격은 데이터나 데이터에 변경이 있는 공격입니다. 삭제되거나 네트워크가 완전히 파괴됩니다.다음은 컴퓨터에 영향을 미칠 수 있는 가장 일반적인 유형의 능동 및 수동 공격입니다.

컴퓨터 공격의 활성 유형

바이러스

가장 유명한 컴퓨터 공격과 바이러스는 오랜 기간 동안 존재해 왔으며 컴퓨터에 설치되어 시스템의 다른 파일로 확산됩니다. 외부 하드 드라이브나 특정 인터넷 사이트 또는 이메일 첨부 파일을 통해 배포되는 경우가 많습니다. 바이러스는 일단 실행되면 작성자로부터 독립되어 많은 파일과 기타 시스템을 감염시키는 것이 목표입니다.

루트 키트

해커는 루트 드라이버 세트를 사용하여 시스템에 액세스하고 컴퓨터를 완전히 제어합니다. 해커는 시스템 소유자보다 시스템에 대해 더 많은 제어권을 얻을 수 있기 때문에 가장 위험한 컴퓨터 공격 중 하나입니다. 어떤 경우에는 해커가 웹캠을 켜고 피해자의 활동을 모니터링하여 피해자에 대한 모든 것을 알 수도 있습니다.

트로이 사람

컴퓨터 공격 목록에서 트로이 목마는 바이러스 다음으로 높은 순위를 차지하고 있으며 소프트웨어나 화면 보호기, 정상적으로 실행되는 게임에 내장되어 있는 경우가 많습니다. 그러나 일단 시스템에 복사되면 컴퓨터를 감염시킵니다. 바이러스나 루트킷이 있는 경우. 즉, 시스템을 감염시키는 바이러스 운반자 또는 루트킷 역할을 합니다.

벌레

웜은 바이러스의 친척이라고 할 수 있습니다. 바이러스와 인터넷 웜의 차이점은 웜은 사용자의 도움 없이 시스템을 감염시킨다는 것입니다. 첫 번째 단계는 웜이 컴퓨터의 취약점을 검색한 다음 자신을 시스템에 복제하고 시스템을 감염시키는 과정을 반복하는 것입니다.

수동적 유형의 컴퓨터 공격

도청

이름에서 알 수 있듯이 해커는 네트워크에 있는 두 컴퓨터 간에 진행되는 대화를 은밀하게 듣습니다. 이는 폐쇄된 시스템뿐만 아니라 인터넷에서도 발생할 수 있습니다. 연관된 다른 이름은 스누핑입니다. 도청을 통해 중요한 데이터가 네트워크를 통해 전달될 수 있으며 다른 사람이 액세스할 수 있습니다.

비밀번호 공격

사이버 공격의 가장 일반적인 유형 중 하나는 비밀번호 공격입니다. 여기서 해커는 제어 비밀번호를 획득하여 컴퓨터 및 네트워크 자원에 접근합니다. 공격자가 서버 및 네트워크 구성을 변경하는 경우가 종종 있으며 경우에 따라 심지어 데이터 삭제 또한 데이터가 다른 네트워크로 전송될 수 있습니다.

손상된 공격 키

기밀 데이터를 저장하기 위해 비밀 코드나 숫자를 사용할 수 있습니다. 키를 얻는 것은 의심할 여지 없이 해커에게 정말 큰 작업이며, 집중적인 조사 후에 해커가 실제로 키에 손을 댈 수도 있습니다. 해커가 키를 소유하고 있는 경우 이를 손상된 키라고 합니다. 이제 해커는 기밀 데이터에 접근할 수 있으며 데이터를 변경할 수 있습니다. 그러나 해커가 다른 민감한 데이터 세트에 액세스하기 위해 키의 다양한 순열 및 조합을 시도할 가능성도 있습니다.

신원 가장

모든 컴퓨터에는 네트워크에서 유효하고 독립적인 IP 주소가 있습니다. 일반적인 컴퓨터 공격 중 하나는 다른 컴퓨터의 신원을 가정하는 것입니다. 여기서 IP 패킷은 유효한 주소에서 전송되어 특정 IP에 액세스할 수 있습니다. 일단 액세스 권한을 얻으면 시스템 데이터가 삭제, 수정 또는 리디렉션될 수 있으며, 또한 해커는 이렇게 손상된 IP 주소를 사용하여 네트워크 내부 또는 외부의 다른 시스템을 공격할 수 있습니다.

애플리케이션 계층 공격

애플리케이션 레벨 공격의 목적은 서버 운영체제에 크래시(crash)를 일으키는 것이며, 운영체제에 장애가 발생하면 해커가 서버에 접근해 제어할 수 있게 되고, 이로 인해 데이터가 다양한 방식으로 변조된다. . 시스템에 바이러스가 유입되거나, 서버에 여러 개의 요청이 전송되어 시스템이 중단되거나, 보안 제어가 비활성화되어 서버 복구가 어려워질 수 있습니다.

이는 서버와 개별 컴퓨터 시스템이 당할 수 있는 공격 유형 중 일부였으며, 최근 컴퓨터 공격의 목록은 날로 증가하고 있으며 이에 대해 해커들은 새로운 해킹 방법을 사용하고 있다.

네트워크를 통해 수행되는 위협은 다음과 같은 주요 특성에 따라 분류됩니다.

1. 위협의 성격.

   수동적 - 정보 시스템의 작동에 영향을 미치지 않지만 보호된 정보에 대한 접근 규칙을 위반할 수 있는 위협입니다. 예: 스니퍼를 사용하여 네트워크를 "수신"합니다. 활성 – 정보 시스템의 구성 요소에 영향을 미치는 위협으로, 그 구현이 시스템 운영에 직접적인 영향을 미칩니다. 예: TCP 요청 폭풍 형태의 DDOS 공격.

2. 위협의 목표(각각, 정보의 기밀성, 가용성, 무결성).
3. 공격 시작 조건:
   • 공격자의 요청에 따라. 즉, 공격자는 공격 시작 조건이 되는 특정 유형의 요청 전송을 기대합니다.
   • 공격받은 개체에서 예상되는 이벤트가 발생할 때.
   • 무조건적 영향 - 공격자는 아무것도 기다리지 않습니다. 즉, 공격 대상 개체의 상태에 관계없이 위협이 즉시 구현됩니다.
4. 피드백 가용성공격받은 개체와 함께:
   • 피드백을 통해 공격자는 일부 요청에 대한 응답을 받아야 합니다. 따라서 대상과 공격자 사이에는 피드백이 존재하므로 공격자는 공격 대상 개체의 상태를 모니터링하고 변경 사항에 적절하게 대응할 수 있습니다.
   • 피드백 없음 - 따라서 피드백이 없으며 공격자가 공격 대상 개체의 변경 사항에 반응할 필요가 없습니다.
5. 공격받은 정보 시스템과 관련된 침입자의 위치: 세그먼트 내 및 세그먼트 간. 네트워크 세그먼트는 네트워크 주소가 있는 호스트, 하드웨어 및 기타 네트워크 구성 요소의 물리적 연결입니다. 예를 들어, 하나의 세그먼트는 토큰링을 기반으로 하는 공통 버스에 연결된 컴퓨터로 구성됩니다.
6. 위협이 구현되는 ISO/OSI 참조 모델 계층: 물리적, 채널, 네트워크, 전송, 세션, 대표, 애플리케이션.

현재 네트워크에서 가장 일반적인 공격을 살펴보겠습니다. 프로토콜 스택 TCP/IP.

1. 네트워크 트래픽 분석.이 공격은 스니퍼(sniffer)라는 특수 프로그램을 사용하여 구현됩니다. 스니퍼는 무차별 모드, 즉 네트워크 카드가 수신자에 관계없이 모든 패킷을 허용하는 소위 "무차별" 모드에서 작동하는 네트워크 카드를 사용하는 응용 프로그램입니다. 정상적인 상태에서는 이더넷 인터페이스에서 링크 계층 패킷 필터링이 사용되며, 수신된 패킷의 대상 헤더에 있는 MAC 주소가 현재의 MAC 주소와 일치하지 않는 경우 네트워크 인터페이스브로드캐스트가 아닌 경우 패킷이 삭제됩니다. "무차별" 모드에서는 다음을 기준으로 필터링합니다. 네트워크 인터페이스비활성화되고 현재 노드를 대상으로 하지 않는 패킷을 포함한 모든 패킷이 시스템에 허용됩니다. 이러한 프로그램 중 다수는 오류 진단이나 트래픽 분석과 같은 법적 목적으로 사용된다는 점에 유의해야 합니다. 그러나 위에서 검토한 표에는 비밀번호를 포함한 정보를 일반 텍스트(FTP, SMTP, POP3 등)로 보내는 프로토콜이 나열되어 있습니다. 따라서 스니퍼를 사용하면 사용자 이름과 비밀번호를 가로채고 기밀 정보에 무단으로 액세스할 수 있습니다. 또한 많은 사용자가 동일한 비밀번호를 사용하여 많은 온라인 서비스에 액세스합니다. 즉, 인증이 취약한 형태로 네트워크의 한 곳에 취약점이 있을 경우 네트워크 전체가 어려움을 겪을 수 있다. 공격자는 인간의 약점을 잘 알고 있으며 사회 공학적 방법을 널리 사용합니다.

   이러한 유형의 공격으로부터 보호하는 방법에는 다음이 포함될 수 있습니다.

   • 강력한 인증예를 들어 일회용 비밀번호(일회성 암호). 비밀번호는 한 번만 사용할 수 있고 공격자가 스니퍼를 사용하여 이를 가로채더라도 아무런 가치가 없다는 아이디어입니다. 물론 이 보호 메커니즘은 비밀번호 가로채기로부터만 보호하며 이메일과 같은 다른 정보를 가로채는 경우에는 쓸모가 없습니다.
   • 안티 스니퍼는 네트워크 세그먼트에서 스니퍼의 작동을 감지할 수 있는 하드웨어 또는 소프트웨어입니다. 일반적으로 "초과" 부하를 결정하기 위해 네트워크 노드의 부하를 확인합니다.
   • 전환된 인프라. 네트워크 트래픽 분석은 하나의 네트워크 세그먼트 내에서만 가능하다는 것은 분명합니다. 네트워크가 여러 세그먼트(스위치 및 라우터)로 분할된 장치에 구축된 경우 이러한 장치의 포트 중 하나에 속하는 네트워크 부분에서만 공격이 가능합니다. 이는 스니핑 문제를 해결하지 못하지만 공격자가 "수신"할 수 있는 경계를 줄입니다.
   • 암호화 방법. 스니퍼 작업을 처리하는 가장 안정적인 방법입니다. 감청을 통해 얻을 수 있는 정보는 암호화되어 있으므로 아무 쓸모가 없습니다. 가장 일반적으로 사용되는 것은 IPSec, SSL 및 SSH입니다.
2. 네트워크 스캔.네트워크 스캐닝의 목적은 네트워크에서 실행 중인 서비스, 열린 포트, 활성 상태를 식별하는 것입니다. 네트워크 서비스, 사용된 프로토콜 등, 즉 네트워크에 대한 정보를 수집합니다. 네트워크 검색에 가장 일반적으로 사용되는 방법은 다음과 같습니다.
   • DNS 쿼리는 공격자가 도메인 소유자, 주소 영역,
   • 핑 테스트 – 이전에 얻은 DNS 주소를 기반으로 작동 호스트를 식별합니다.
   • 포트 스캐닝 - 이러한 호스트, 열린 포트, 애플리케이션 등이 지원하는 전체 서비스 목록이 컴파일됩니다.

   가장 일반적이고 좋은 대책은 IDS를 사용하는 것입니다. IDS는 네트워크 스캐닝 징후를 성공적으로 찾아 관리자에게 이를 알립니다. 예를 들어 라우터에서 ICMP 에코 및 에코 응답을 비활성화하면 핑 위협을 제거할 수 있지만 동시에 네트워크 오류 진단에 필요한 데이터가 손실되므로 이 위협을 완전히 제거하는 것은 불가능합니다. .

3. 비밀번호 공개.이 공격의 주요 목표는 비밀번호 보호를 극복하여 보호된 리소스에 대한 무단 액세스를 얻는 것입니다. 비밀번호를 얻기 위해 공격자는 간단한 무차별 대입, 사전 무차별 대입, 스니핑 등 다양한 방법을 사용할 수 있습니다. 가장 일반적인 방법은 가능한 모든 비밀번호 값에 대한 간단한 무차별 대입 검색입니다. 단순한 무차별 공격으로부터 보호하려면 추측하기 쉽지 않은 강력한 비밀번호를 사용해야 합니다. 길이는 6~8자, 대문자와 소문자, 특수 문자(@, #, $ 등)를 사용하세요.

   또 다른 정보 보안 문제는 대부분의 사람들이 모든 서비스, 애플리케이션, 사이트 등에 동일한 비밀번호를 사용한다는 것입니다. 또한 비밀번호의 취약성은 비밀번호 사용의 가장 취약한 영역에 따라 다릅니다.

   이러한 유형의 공격은 앞서 설명한 일회용 비밀번호나 암호화 인증을 사용하여 피할 수 있습니다.

4. IP 스푸핑 또는 신뢰할 수 있는 네트워크 개체 대체.이 경우 신뢰된다는 것은 서버에 합법적으로 연결된 네트워크 개체(컴퓨터, 라우터, 방화벽 등)를 의미합니다. 위협은 신뢰할 수 있는 네트워크 개체를 가장하는 공격자로 구성됩니다. 이는 두 가지 방법으로 수행할 수 있습니다. 먼저, 인증된 IP 주소 범위 내의 IP 주소를 사용하거나, 특정 네트워크 자원에 대한 접근이 허용된 인증된 외부 주소를 사용하세요. 이러한 유형의 공격은 종종 다른 공격의 시작점이 됩니다.

   일반적으로 신뢰할 수 있는 네트워크 엔터티를 스푸핑하는 것은 네트워크 엔터티 간에 전송되는 정상적인 데이터 흐름에 잘못된 정보나 악의적인 명령을 삽입하는 것으로 제한됩니다. 양방향 통신의 경우 공격자는 모든 라우팅 테이블을 변경하여 트래픽을 잘못된 IP 주소로 보내야 하며, 이는 또한 가능합니다. 위협을 완화하려면(제거하지는 않음) 다음을 사용할 수 있습니다.

   • 액세스 제어. 네트워크 내부의 소스 주소를 사용하여 외부 네트워크에서 들어오는 모든 트래픽을 거부하도록 액세스 제어를 구성할 수 있습니다. 이 방법은 내부 주소만 인증된 경우에 유효하며, 인증된 외부 주소가 있는 경우에는 작동하지 않습니다.
   • RFC 2827 필터링 – 이 유형의 필터링을 사용하면 네트워크 사용자가 다른 네트워크를 스푸핑하려는 시도를 중지할 수 있습니다. 이렇게 하려면 소스 주소가 조직의 IP 주소 중 하나가 아닌 모든 나가는 트래픽을 거부해야 합니다. 이러한 유형의 필터링은 공급자가 수행하는 경우가 많습니다. 결과적으로 특정 인터페이스에서 예상되는 소스 주소가 없는 모든 트래픽은 거부됩니다. 예를 들어, ISP가 IP 주소 15.1.1.0/24에 대한 연결을 제공하는 경우 15.1.1.0/24에서 발생하는 트래픽만 해당 인터페이스에서 ISP의 라우터로 허용되도록 필터를 구성할 수 있습니다. 모든 공급자가 이러한 유형의 필터링을 구현할 때까지는 그 효율성이 가능한 것보다 훨씬 낮습니다.
   • 추가 인증 방법 구현. IP 스푸핑은 IP 기반 인증을 통해서만 가능합니다. 암호화 등의 추가 인증 수단을 도입하면 공격이 쓸모 없게 됩니다.
5. 서비스 거부(DoS)- 컴퓨터 시스템에 장애를 일으키려는 목적으로 컴퓨터 시스템에 대한 공격, 즉 시스템의 합법적인 사용자가 시스템에서 제공하는 리소스에 액세스할 수 없거나 이러한 액세스가 어려운 조건을 만드는 것입니다.

   DoS 공격은 최근 가장 일반적이고 잘 알려진 공격으로, 이는 주로 구현의 용이성 때문입니다. DOS 공격을 구성하려면 최소한의 지식과 기술이 필요하며 네트워크 소프트웨어 및 네트워크 프로토콜의 단점을 기반으로 합니다. 여러 네트워크 장치에서 공격이 수행되는 경우 이를 분산 DoS 공격(DDoS)이라고 합니다.

   오늘날 다음과 같은 5가지 유형의 DoS 공격이 가장 일반적으로 사용되며, 이에 대한 소프트웨어의 양이 많고 보호하기가 가장 어렵습니다.

   • 스머프- ICMP 핑 요청. 핑 패킷(ICMP ECHO 메시지)이 브로드캐스트 주소(예: 10.255.255.255)로 전송되면 해당 패킷은 해당 네트워크의 모든 시스템에 전달됩니다. 공격의 원리는 공격받은 호스트의 소스 주소와 함께 ICMP ECHO REQUEST 패킷을 보내는 것입니다. 공격자는 지속적인 핑 패킷 스트림을 네트워크 브로드캐스트 주소로 보냅니다. 모든 시스템은 요청을 받으면 ICMP ECHO REPLY 패킷으로 소스에 응답합니다. 따라서 응답 패킷 흐름의 크기는 호스트 수에 비례하여 증가합니다. 결과적으로, 혼잡으로 인해 전체 네트워크가 서비스 거부를 당하게 됩니다.
   • ICMP 홍수- 스머프와 유사한 공격이지만 지향성 브로드캐스트 주소에 대한 요청으로 생성된 증폭이 없습니다.
   • UDP 플러드- 공격받은 노드의 주소로 여러 개의 UDP(사용자 데이터그램 프로토콜) 패킷을 보냅니다.
   • TCP 플러드- 공격받은 노드의 주소로 여러 개의 TCP 패킷을 보냅니다.
   • TCP SYN 플러드- 이러한 유형의 공격을 수행할 때 공격받은 노드와의 TCP 연결을 초기화하기 위해 많은 수의 요청이 발행되며, 결과적으로 부분적으로 열린 연결을 추적하는 데 모든 리소스를 소비해야 합니다.

   웹 서버나 FTP 서버 응용 프로그램을 사용하는 경우 DoS 공격으로 인해 해당 응용 프로그램에 사용 가능한 모든 연결이 중단되고 사용자는 해당 응용 프로그램에 액세스할 수 없습니다. 일부 공격은 불필요한 패킷으로 인해 전체 네트워크를 다운시킬 수 있습니다. 이러한 공격에 대응하려면 공급자의 개입이 필요합니다. 왜냐하면 네트워크 입구에서 원치 않는 트래픽을 중지하지 않으면 대역폭을 점유하게 되기 때문에 공격이 중지되지 않기 때문입니다.

   다음 프로그램은 DoS 공격을 구현하는 데 가장 자주 사용됩니다.

   • 트리누- 역사적으로 UDP 플러드라는 단일 유형의 DoS 공격을 최초로 구성한 다소 원시적인 프로그램입니다. "trinoo" 제품군의 프로그램은 표준 보안 도구로 쉽게 탐지되며 보안에 대해 최소한 관심을 두는 사람들에게는 위협이 되지 않습니다.
   • TFN 및 TFN2K- 더 심각한 무기. Smurf, UDP 플러드, ICMP 플러드, TCP SYN 플러드 등 여러 유형의 공격을 동시에 구성할 수 있습니다. 이러한 프로그램을 사용하려면 공격자가 훨씬 더 숙련되어야 합니다.
   • DoS 공격을 구성하는 최신 도구 - 스타헬드라흐트("가시 철사"). 이 패키지를 사용하면 다양한 유형의 공격과 대량의 브로드캐스트 핑 요청을 구성할 수 있습니다. 또한 컨트롤러와 에이전트 간의 데이터 교환은 암호화되며 소프트웨어 자체에는 자동 수정 기능이 내장되어 있습니다. 암호화를 사용하면 공격자를 탐지하기가 매우 어렵습니다.

   위협을 완화하려면 다음을 사용할 수 있습니다.

   • 스푸핑 방지 기능 - 라우터 및 방화벽에서 스푸핑 방지 기능을 올바르게 구성하면 DoS 위험을 줄이는 데 도움이 됩니다. 이러한 기능에는 최소한 RFC 2827 필터링이 포함되어야 하며, 해커가 자신의 실제 신원을 위장할 수 없다면 공격을 수행할 가능성은 거의 없습니다.
   • DoS 방지 기능 - 라우터 및 방화벽에서 DoS 방지 기능을 올바르게 구성하면 공격의 효과가 제한될 수 있습니다. 이러한 기능은 특정 시간에 반쯤 열린 채널의 수를 제한하는 경우가 많습니다.
   • 트래픽 속도 제한 - 조직은 ISP에 트래픽 양을 제한하도록 요청할 수 있습니다. 이러한 유형의 필터링을 사용하면 네트워크를 통과하는 중요하지 않은 트래픽의 양을 제한할 수 있습니다. 일반적인 예는 진단 목적으로만 사용되는 ICMP 트래픽의 볼륨을 제한하는 것입니다. DoS 공격은 종종 ICMP를 사용합니다.

   이러한 유형의 위협에는 여러 가지 유형이 있습니다.

   • 숨겨진 서비스 거부는 네트워크 리소스의 일부가 공격자가 전송한 패킷을 처리하는 데 사용되어 채널 용량을 줄이고 요청 처리 시간을 방해하며 네트워크 장치의 성능을 방해하는 경우입니다. 예: 방향성 ICMP 에코 요청 폭풍 또는 TCP 연결 요청 폭풍.
   • 공격자가 보낸 패킷을 처리한 결과 네트워크 리소스가 고갈되어 발생하는 명백한 서비스 거부입니다. 동시에 전체 채널 대역폭이 점유되고, 버퍼가 가득 차고, 디스크 공간이 가득 차는 등의 이유로 합법적인 사용자 요청을 처리할 수 없습니다. 예: 방향성 폭풍(SYN-플러딩).
   • 공격자가 네트워크 장치를 대신하여 제어 메시지를 전송할 때 네트워크 기술적 수단 간의 논리적 연결 위반으로 인해 발생하는 명백한 서비스 거부입니다. 이 경우 라우팅 및 주소 데이터가 변경됩니다. 예: ICMP 리디렉션 호스트 또는 DNS 플러드.
   • 공격자가 비표준 속성(예: UDP 폭탄)을 사용하거나 최대 길이를 초과하는 패킷(Ping Death)을 전송하여 발생하는 명시적인 서비스 거부입니다.

   DoS 공격은 정보의 가용성을 방해하는 것을 목표로 하며 무결성과 기밀성을 침해하지 않습니다.

6. 애플리케이션 수준 공격.이러한 유형의 공격에는 서버 소프트웨어(HTML, sendmail, FTP)의 허점을 이용하는 것이 포함됩니다. 이러한 취약점을 이용하여 공격자는 애플리케이션 사용자를 대신하여 컴퓨터에 액세스할 수 있습니다. 애플리케이션 계층 공격은 방화벽을 "통과"할 수 있는 포트를 사용하는 경우가 많습니다.

   애플리케이션 계층 공격의 주요 문제점은 방화벽을 통과하도록 허용된 포트를 사용하는 경우가 많다는 것입니다. 예를 들어, 웹 서버를 공격하는 해커는 TCP 포트 80을 사용할 수 있습니다. 웹 서버가 사용자에게 페이지를 제공하려면 방화벽의 포트 80이 열려 있어야 합니다. 방화벽의 관점에서 보면 공격은 포트 80의 표준 트래픽으로 처리됩니다.

   새로운 취약점이 있는 응용 프로그램이 정기적으로 등장하기 때문에 응용 프로그램 수준 공격을 완전히 제거하는 것은 불가능합니다. 여기서 가장 중요한 것은 좋은 시스템 관리입니다. 이러한 유형의 공격에 대한 취약성을 줄이기 위해 취할 수 있는 몇 가지 조치는 다음과 같습니다.

   • 로그 읽기(시스템 및 네트워크)
   • http://www.cert.com과 같은 전문 사이트를 사용하여 새로운 소프트웨어의 취약점을 추적합니다.
   • IDS 사용.

네트워크 공격의 특성상 각 특정 네트워크 노드에 의해 공격 발생이 제어되지 않는다는 것이 분명합니다. 우리는 네트워크에서 가능한 모든 공격을 고려하지 않았지만 실제로는 더 많은 공격이 있습니다. 그러나 모든 유형의 공격으로부터 보호하는 것은 불가능해 보입니다. 네트워크 경계를 보호하는 가장 좋은 방법은 대부분의 사이버 범죄 공격에 사용되는 취약점을 제거하는 것입니다. 이러한 취약점 목록은 SANS Institute 웹사이트(http://www.sans.org/top-cyber-security-risks/?ref=top20)와 같이 해당 통계를 수집하는 많은 사이트에 게시되어 있습니다. 일반 공격자는 독창적인 공격 방법을 찾는 것이 아니라 네트워크에서 알려진 취약점을 검색하여 이를 악용합니다.

공격에는 네 가지 주요 범주가 있습니다.

· 액세스 공격;

· 수정 공격;

· 서비스 거부 공격;

· 면책 조항에 대한 공격.

각 카테고리를 자세히 살펴보겠습니다. 공격을 수행하는 방법에는 특별히 개발된 도구, 사회 공학적 방법, 컴퓨터 시스템의 취약점 등 여러 가지가 있습니다. 사회 공학에서는 시스템에 대한 무단 액세스를 얻기 위해 기술적 수단을 사용하지 않습니다. 공격자는 간단한 전화 통화를 통해 정보를 획득하거나 직원을 사칭하여 조직에 침투합니다. 이러한 유형의 공격은 가장 파괴적입니다.

전자적으로 저장된 정보를 캡처하기 위한 공격에는 한 가지 흥미로운 특징이 있습니다. 즉, 정보가 도난당하는 것이 아니라 복사된다는 것입니다. 원래 소유자에게 남아 있지만 공격자도 이를 받습니다. 따라서 정보의 소유자는 손실을 입게 되며, 이러한 일이 발생한 순간을 감지하는 것이 매우 어렵습니다.

액세스 공격

접근공격공격자가 볼 권한이 없는 정보를 얻으려는 시도입니다. 이러한 공격은 정보와 정보 전송 수단이 존재하는 곳이면 어디에서나 가능합니다. 접근 공격은 정보의 기밀성을 침해하는 것을 목표로 합니다. 다음과 같은 유형의 액세스 공격이 구분됩니다.

· 엿보는 것;

· 도청;

· 차단.

엿보는(스누핑)은 공격자가 관심 있는 정보를 검색하기 위해 파일이나 문서를 보는 것입니다. 문서가 인쇄물 형태로 저장되어 있는 경우 공격자는 책상 서랍을 열고 샅샅이 뒤집니다. 정보가 컴퓨터 시스템에 있는 경우 필요한 정보를 찾을 때까지 파일을 하나씩 살펴봅니다.

도청(도청)은 공격자가 참여하지 않은 대화를 무단으로 도청하는 것입니다. 정보에 대한 무단 액세스를 얻으려면 이 경우 공격자가 해당 정보에 가까이 있어야 합니다. 그는 매우 자주 전자 장치를 사용합니다. 무선 네트워크의 도입으로 도청에 성공할 가능성이 높아졌습니다. 이제 공격자는 시스템 내부에 있거나 도청 장치를 네트워크에 물리적으로 연결할 필요가 없습니다.

도청과는 달리 차단(차단)은 적극적인 공격입니다. 공격자는 정보가 목적지로 전송되는 동안 이를 캡처합니다. 정보를 분석한 후 그는 해당 정보의 추가 통과를 허용할지 금지할지 결정합니다.

액세스 공격은 정보가 저장되는 방식에 따라 종이 문서 또는 컴퓨터에 전자적으로 저장되는 방식에 따라 다양한 형태를 취합니다. 공격자가 필요로 하는 정보가 종이 문서에 저장되어 있는 경우 해당 문서에 액세스해야 합니다. 서류 캐비넷, 서랍이나 테이블, 팩스기나 프린터 쓰레기통, 보관소 등에서 찾을 수 있습니다. 따라서 공격자는 이러한 모든 위치에 물리적으로 진입해야 합니다.

따라서 물리적 접근이 데이터 획득의 핵심이다. 안정적인 구내 보호는 권한이 없는 사람으로부터만 데이터를 보호하며 조직 직원이나 내부 사용자로부터는 데이터를 보호하지 않는다는 점에 유의해야 합니다.

정보는 워크스테이션, 서버, 노트북 컴퓨터, 플로피 디스크, CD, 백업 자기 테이프 등 전자적으로 저장됩니다.

공격자는 단순히 저장 매체(플로피 디스크, CD, 백업 테이프 또는 노트북)를 훔칠 수 있습니다. 때로는 컴퓨터에 저장된 파일에 액세스하는 것보다 이것이 더 쉽습니다.

공격자가 시스템에 합법적으로 액세스할 수 있는 경우 파일을 하나씩 열어서 분석합니다. 적절한 권한 제어를 통해 불법 사용자의 접근을 거부하고 접근 시도를 로그에 기록합니다.

권한을 올바르게 구성하면 우발적인 정보 유출을 방지할 수 있습니다. 그러나 심각한 공격자는 제어 시스템을 우회하여 필요한 정보에 접근하려고 시도합니다. 이것에 그를 도울 많은 취약점이 있습니다.

정보가 네트워크를 통과하면 전송 내용을 듣고 액세스할 수 있습니다. 공격자는 컴퓨터 시스템에 네트워크 패킷 분석기(스니퍼)를 설치하여 이를 수행합니다. 일반적으로 이는 모든 네트워크 트래픽(해당 컴퓨터로 향하는 트래픽뿐만 아니라)을 캡처하도록 구성된 컴퓨터입니다. 이를 위해서는 공격자가 시스템 내에서 자신의 권한을 높이거나 네트워크에 연결해야 합니다. 분석기는 네트워크를 통과하는 모든 정보, 특히 사용자 ID와 비밀번호를 캡처하도록 구성됩니다.

도청은 전용선, 전화 연결 등 글로벌 컴퓨터 네트워크에서도 이루어집니다. 그러나 이러한 유형의 차단에는 적절한 장비와 특별한 지식이 필요합니다.

일반적으로 숙련된 공격자가 수행하는 특수 장비를 사용하는 광섬유 통신 시스템에서도 가로채기가 가능합니다.

가로채기를 이용한 정보 접근은 공격자에게 가장 어려운 작업 중 하나입니다. 성공하려면 정보 송신자와 수신자 사이의 전송 라인에 자신의 시스템을 배치해야 합니다. 인터넷에서는 이름 확인을 변경하여 컴퓨터 이름을 잘못된 주소로 변환함으로써 이 작업을 수행합니다. 트래픽은 실제 대상 노드가 아닌 공격자의 시스템으로 리디렉션됩니다. 이러한 시스템이 적절하게 구성되면 보낸 사람은 자신의 정보가 수신자에게 도달하지 않았다는 사실을 결코 알 수 없습니다.

유효한 통신 세션 중에도 차단이 가능합니다. 이러한 유형의 공격은 대화형 트래픽을 가로채는 데 가장 적합합니다. 이 경우 공격자는 클라이언트와 서버가 위치한 동일한 네트워크 세그먼트에 있어야 합니다. 공격자는 합법적인 사용자가 서버에서 세션을 열 때까지 기다린 후 특수 소프트웨어를 사용하여 세션이 실행되는 동안 하이재킹합니다.

수정 공격

수정 공격정보를 무단으로 변경하려는 시도입니다. 이러한 공격은 정보가 존재하거나 전송되는 모든 곳에서 가능합니다. 이는 정보의 무결성을 침해하는 것을 목표로 합니다.

수정 공격의 한 유형은 다음과 같습니다. 대사기존 정보(예: 직원 급여 변경) 대체 공격은 비밀 정보와 공개 정보를 모두 대상으로 합니다.

또 다른 유형의 공격은 덧셈예를 들어 새로운 데이터를 과거 기간의 역사에 대한 정보로 변환합니다. 이 경우 공격자는 은행 시스템에서 거래를 수행하며 그 결과 고객 계좌의 자금이 자신의 계좌로 이동됩니다.

공격 제거은행 대차대조표에서 거래 항목을 취소하고 계좌에서 인출된 자금을 계좌에 그대로 두는 등 기존 데이터를 이동하는 것을 의미합니다.

액세스 공격과 마찬가지로 수정 공격은 종이 문서나 컴퓨터에 전자적으로 저장된 정보에 대해 수행됩니다.

누구도 모르게 문서를 변경하는 것은 어렵습니다. 서명(예: 계약서)이 있는 경우 위조에 주의해야 하며, 봉인된 문서를 조심스럽게 재조립해야 합니다. 문서의 사본이 있는 경우 원본과 마찬가지로 다시 작성해야 합니다. 그리고 모든 사본을 찾는 것은 거의 불가능하기 때문에 가짜를 알아내는 것은 매우 쉽습니다.

활동 로그에 항목을 추가하거나 제거하는 것은 매우 어렵습니다. 첫째, 정보가 시간순으로 정렬되어 있어 변경 사항이 있으면 즉시 알 수 있습니다. 가장 좋은 방법은 문서를 제거하고 새 문서로 교체하는 것입니다. 이러한 유형의 공격에는 정보에 대한 물리적 접근이 필요합니다.

전자적으로 저장된 정보를 수정하는 것이 훨씬 쉽습니다. 공격자가 시스템에 액세스할 수 있다는 점을 고려하면 이러한 작업은 최소한의 증거를 남깁니다. 파일에 대한 승인된 액세스가 없는 경우 공격자는 먼저 시스템에 대한 로그인을 보호하거나 파일 액세스 제어 설정을 변경해야 합니다.

데이터베이스 파일이나 트랜잭션 목록 수정은 매우 신중하게 수행되어야 합니다. 거래는 순차적으로 번호가 매겨지며 잘못된 거래 번호의 제거 또는 추가가 기록됩니다. 이러한 경우 탐지를 방지하려면 시스템 전체에 걸쳐 광범위한 작업을 수행해야 합니다.

대부분의 경우, 웹사이트에 악성 코드가 나타나는 것은 사이트 소유자의 악의적 행위로 인한 결과가 아니지만, 해킹의 결과로 인해 사이트 소유자에게는 놀라운 일이 되는 경우가 많습니다.

우리는 수년 동안 이 작업을 해왔고 다양한 사례를 살펴봤으며 최근 몇 년 동안 다양한 사이트의 해킹 사례도 상당히 많이 보았습니다. 예를 들어 가장 유명한 온라인 미디어, 은행, 대기업 사이트, 때로는 매우 작은 사이트, 명함 사이트, 일부 교육 및 종교 기관 사이트와 같은 매우 큰 사이트입니다.

웹사이트를 보호하는 방법

그들 모두는 어느 정도 위협, 컴퓨터 보안과 관련된 위험에 취약하며 이에 대해 논의할 것입니다. 또한 이러한 위험을 줄이는 방법, 기본 최소값, 이와 관련된 모든 것에 대한 일반적인 개요, 존재하는 위협, 특정 사이트의 웹 마스터가 작업에서 직면하는 사항에 대해 이야기할 것입니다.

오늘 우리는 어떤 식으로든 사이트를 위협하는 일종의 외부 공격자가 있는 가장 일반적인 예에 ​​대해 이야기하겠습니다.

예상되는 상황, 가능한 피해, 가능한 공격을 이해하려면 공격자가 누구인지 이해해야 합니다.

이러한 모든 공격자와 공격 유형은 크게 두 가지 범주로 나뉩니다. 어떤 기준으로 나눌 수 있나요?

• 사용된 공격 접근 방식에 대해
• 하나 또는 다른 공격 그룹에 취약한 사이트 그룹
• 각 그룹에 대한 적절한 위험 감소 기술에 따라.

예를 들어, 무단 액세스를 얻는 등 대규모 공격은 대부분 자동화됩니다. 대량 공격은 항상 전체 사이트에 대한 액세스 권한을 얻으려는 시도입니다. 대량 갈취도 여기서 발생하지만 무단 액세스를 통해 구현되기도 합니다.

종종 전체 자동 시스템은 단순히 작동하며 관심 있는 다양한 소프트웨어 구성 요소의 취약한 버전을 찾는 스크립트가 실행됩니다. 예를 들어 콘텐츠 관리 시스템의 취약한 버전 또는 그 반대의 경우 또는 서버 환경 구성과 관련된 몇 가지 일반적인 문제를 찾습니다. 예를 들어, 어떤 종류의 HTTP 서버가 튀어 나와 있고 비밀번호를 검색하고 있습니다.

모든 것이 자동화되어 있기 때문에 수신된 액세스 악용도 자동화됩니다. 웹 사이트에 결제 세부 정보가 포함된 데이터베이스가 있는 경우 자동 공격이 발생하면 스크립트를 이해할 수 없기 때문에 운이 좋다고 생각할 수 있습니다. 그들은 대부분 다소 어리석습니다.

그는 귀하의 사이트에 어떤 중요한 데이터가 있는지 파악하지 못하고 스팸 전송, 분산 서비스 거부 공격 구성, 간단한 사소한 강탈, 사이트 방문자 감염 등의 매우 간단한 계획을 구현합니다.

표적 공격의 경우 사이트 소유자에게는 모든 것이 다소 슬프습니다. 종종 큰 공격을 받기 쉬운 사람은 많은 경험과 잘 개발된 도구를 손에 들고 특징적인 문제를 찾기 시작합니다. 실습에서 알 수 있듯이 매우 높은 확률로 그렇습니다.

그런 다음 특히 악의적 인 착취가 시작됩니다. 첫째, 대량 공격의 경우보다 탐지하기가 훨씬 더 어렵고, 둘째, 가능한 피해를 사전에 최소화하는 것이 훨씬 더 어렵습니다. 따라서 공격자가 손으로 시스템에 침입하면 상황을 매우 잘 이해하고 처음에는 자신이 왜 왔는지 아는 경우가 많습니다.

어느 것을 사용하는 것이 더 안전합니까? 예를 들어, 인기 있는 스톡 콘텐츠 관리 시스템이나 직접 만든 시스템이 있나요? 대량 공격의 위험을 줄이려면 비표준을 사용하는 것이 좋습니다.

이 모든 것이 자동화되었기 때문에 몇 가지 표준 솔루션이 모색되고 있으며 일종의 자체 작성 콘텐츠 관리 시스템, 실제로 자체 작성 보안 문자(일종의 대규모 공격에 대한 자체 작성 솔루션)를 사용합니다. 익숙한 것을 찾고 있는 귀하의 사이트에 왔지만 이 모든 것이 작동하지 않습니다.

표적 공격의 경우에는 그 반대입니다. 즉, 자체 작성된 솔루션에서 일반적인 심각한 오류가 발생하여 취약점이 되어 액세스 권한을 얻기 위해 악용될 가능성은 오랜 개발 역사에 걸쳐 인기 있는 일부 소프트웨어 솔루션을 사용한 경우보다 훨씬 높습니다. 우리는 이 지역에서 많은 "갈퀴"를 수집했습니다. 따라서 취약점이 공개되면 복잡하거나 서로 다른 시스템이 교차하는 지점에서 발생하는 경우가 많습니다.

공격은 다음 단계로 구성됩니다.

특히 대규모 행사의 경우. Power Add Buy, phpBB 버전 1.6.1과 같은 특별한 라인을 살펴보세요. 일련의 사이트는 벡터 중 하나인 특정 기술을 사용하여 자동으로 검색됩니다. 이러한 모든 사이트가 발견되고, 스크립트가 시작되고, 스크립트가 진행되고, 일부 취약점과 다양한 관리자가 검색됩니다. 표준 경로를 따라 있는 패널, 표준 경로를 따라 위치한 php my admin과 같은 일부 표준 도구.

따라서 취약점이 발견되면 관리자가 있으면 자동으로 악용됩니다. 비밀번호를 입력할 수 있고 무차별 대입에 대한 보호 기능이 없는 패널에서는 실습에서 알 수 있듯이 간단한 경우에 대한 검색이 시작되며 이는 매우 효과적입니다.

액세스 권한을 얻은 후에는 웹 셸이라는 구성 요소가 업로드됩니다. 이는 웹 애플리케이션과 같은 도구이자 광범위한 가능성을 열어주는 스크립트로서 서버에 영구 백도어를 남겨 둡니다. 추가 조치를 계속하십시오.

그 후, 공격자가 모든 자동 통합 수단을 통해 서버에 안정적으로 액세스할 수 있게 되면 공격자는 시스템에서 거점을 확보하려고 시도하며, 예를 들어 모든 종류의 예비 웹 셸을 주변에 분산시키고 악용합니다. , 운영 체제의 취약점을 해결하고 권한을 높입니다. 예를 들어, 루트가 되는 경우도 종종 자동화되며 그 이후에는 악용이 더욱 심각해집니다. 그리고 사이트가 해킹되었다는 사실로 인해 돈을 압박하기 시작합니다. 요즘에는 누군가 또는 무언가가 어떤 식으로든 돈 이외의 동기를 이용해 사이트를 해킹하는 경우는 거의 찾아볼 수 없습니다.

공격자의 관점에서 본 웹셸은 다음과 같습니다.

이는 자동뿐만 아니라 인터페이스를 통해 작업할 수 있는 시스템입니다. 흥미로운 점은 운영 체제 커널에 대한 매우 자세한 정보를 제공하는 줄이 맨 위에 있다는 것입니다. 바로 권한 상승 작업을 자동화하는 것뿐입니다.

운영 체제 커널에서 취약점이 발견되면 인기 ​​있는 사이트에 악용 사례가 게시됩니다. 익스플로잇이란 무엇입니까? 이 취약점을 이용하여 자신의 목표를 실현하고 권한을 높이는 프로그램입니다. 대략 다음과 같습니다.

다양한 악성 스크립트가 서버 전체에 퍼지기 시작하는 것 외에도 때로는 바이너리 구성 요소도 사이트에 나타나기도 합니다. 예를 들어 웹 서버 자체의 기본 바이너리 어셈블리나 플러그인 등이 있습니다. 이는 패치용 모듈, njinx용 모듈, 재구축된 njinx 또는 시스템에 있는 기타 중요한 바이너리 구성 요소인 SSHD일 수 있습니다.

이것은 50개의 바이러스 백신 엔진이 파일에 대해 어떻게 생각하는지 모든 파일을 확인할 수 있는 Virustotal 사이트입니다.

다음은 추가된 일부 바이너리 구성 요소의 예, 다양한 안티 바이러스 스캐너가 다양한 악성 웹 서버 또는 우리가 발견한 모듈에 대해 말하는 내용입니다.

우리가 그것을 발견했을 때 여기의 모든 것이 비어 있었고 아무도 종종 아무것도 발견하지 못했다는 점에 주목하고 싶습니다. 때때로 우리가 이러한 예제를 바이러스 백신 회사에 보내기 시작한 것은 나중에 야 발견되었으며 탐지가 나타났습니다.

때로는 이미 사이트에서 악성 코드의 소스를 찾으려는 경우 바이러스 백신 업계가 어떤 방식으로든 도움을 줄 수 있습니다. 모든 준비 파일은 사이트나 특정 유틸리티에 "공급"될 수 있지만 이에 대해서는 나중에 조금 이야기하겠지만 이것이 요점입니다.

공격 후에는 서버 스크립트와 수정된 웹 서버 구성이 나타납니다. 사이트가 해킹되었을 때 조건부 리디렉션을 추가하여 웹 서버의 구성도 자동으로 수정되는 경우에 자주 접하는 사례가 있었습니다.

귀하의 웹사이트를 방문하는 모든 모바일 방문자는 다양한 사기 사이트로 리디렉션되어 수익을 창출했습니다. 그리고 얼마 전까지만 해도, 몇 년 전부터 많은 웹마스터들은 자신의 사이트에 대한 모바일 사용자에 대해 생각하지 않았고, 모바일 방문자가 자신의 사이트를 방문할 때 다양한 사기를 당한다는 사실을 오랫동안 알아차리지도 못했습니다. 많은 웹마스터들이 이러한 수익 창출을 위해 의식적으로 이를 설정했지만, 이 모든 것이 해킹의 일부로 나타나는 경우가 실제로 있었습니다.

데이터베이스에 악성코드가 있을 가능성도 있습니다. 가장 일반적인 예는 XXS 클래스를 사용하여 공격이 이루어지는 경우입니다. 예를 들어, 사이트에 의견을 입력하기 위한 양식이 있는데 매개변수에 대한 유효성 검사가 충분하지 않습니다.

이미 말했듯이 공격자는 사이트 자체를 검색하는 완전히 자동화된 시스템인 경우가 많으며, 여기에는 텍스트뿐 아니라 페이지가 렌더링될 때 공격자가 제어하는 ​​스크립트가 되는 특수 로드도 로드됩니다. 그리고 이 방법으로 웹사이트 방문자에게 원하는 것은 무엇이든 할 수 있습니다.

템플릿이나 정적 JavaScript에 일부 악성 코드를 추가하면 정적으로 발생합니다. 이미 말했듯이 바이너리 파일이 교체되는 일이 발생합니다. 예를 들어 공격자가 이러한 교활한 시스템을 만드는 경우는 매우 교활한 경우입니다. 우리는 이미 이에 직면했습니다.

웹 서버의 기본 파일을 가져옵니다. 예를 들어 웹 서버 패치인 경우 이는 다른 위치로 복사된 sshd 바이너리 파일이며, 그 자리에 악성 어셈블리가 배치된 후 실행됩니다.

이후 수정된 파일은 파일 시스템에서 삭제되고 원본 파일이 배치됩니다. 악성 웹 서버를 실행하고 있지만 파일 시스템에 변경되지 않은 버전이 있고 무결성 검사에서도 아무런 문제가 나타나지 않습니다.

공격자가 서버에 접근할 때, 특히 표적 공격의 경우, 그들은 자신의 발명에 매우 교활하며 때로는 대부분 표적 공격의 경우 실제 사람들이 올 때 일반적으로 소스를 찾기 위해 상당한 손재주를 보여야 합니다. 사이트의 타협.

이 모든 작업이 수행되는 이유는 무엇입니까? 특정 위협 모델을 염두에 두고 사이트에 어떤 일이 일어날지, 어떤 문제가 발생할 수 있는지 예측하려면 이해하는 것도 중요합니다. 앞서 말했듯이, 공격자가 공격하도록 동기를 부여하는 수익 창출 방법은 표적 공격과 대량 공격의 그룹 간에 다릅니다.

대량 공격의 경우 사이트의 맥락을 조사하지 않고도 해낼 수 있는 것이 있습니다. 방금 추상 서버를 사용하게 되었는데, 그걸로 무엇을 할 수 있나요? 방문자가 있으므로 감염될 수 있습니다. 검색엔진에 나타날 확률이 가장 높기 때문에 다양한 블랙햇 SEO 최적화를 위해 검색엔진 위치에 활용될 수 있습니다.

출입구가 있는 카탈로그를 추가하고 일반적으로 이와 관련된 모든 것을 링크 교환에 나열하십시오. 예를 들어 스팸을 보내고 DDoS 공격을 조직합니다. 나중에 설명할 DDoS 공격의 경우 공격자에게는 매우 다양한 서버와 같은 일부 리소스도 필요합니다.

"강탈"이라는 문구는 매우 흥미 롭습니다. 이것도 최근에 많이 발전하고 있습니다. 누구나 여러 번 들어봤을 것이며 데스크톱, Windows 운영 체제 등에서 이러한 랜섬웨어 트로이 목마를 접한 적이 있을 것입니다. 몇 년 전, 그들은 어느 정도 Android 휴대폰을 채우고 사용하기 시작했습니다.

누구나 어떤 식으로든 이 바이러스를 접했거나 적어도 악성 파일이 실행되는 방법에 대해 들어본 적이 있을 것입니다. 전체 파일 시스템을 암호화하기 시작한 다음 몸값을 요구합니다. 그래서 작년에 우리는 그러한 일이 서버에서 시작되는 것을 보았습니다. 사이트가 해킹된 후 데이터베이스의 전체 내용과 전체 파일 시스템이 암호화되고 공격자는 관리자가 파일 시스템과 데이터베이스의 현재 백업을 가지고 있지 않기를 바라며 관리자에게 몸값을 요청합니다.

표적 공격에서는 상황이 훨씬 더 정교해집니다. 표적 공격이 수행되면 사이트에서 무엇을 얻을 수 있는지 이미 알려진 경우가 많습니다. 이는 고객 기반이거나 매우 많은 수의 방문자이며 다양한 방법으로 수익을 창출할 수도 있습니다. 몇 달 동안 리소스 관리자가 눈치채지 못하는 경우가 많습니다.

일단 사이트에 들어가면 가능한 모든 방법으로 사이트를 방해하고 불공정 경쟁을 목적으로 다양한 기술적 어려움을 초래할 수 있습니다. 실제로 안티 바이러스 환경에는 예를 들어 외곽에 컴퓨터가 있거나 사이트의 경우 사이트의 트래픽이 거의 없기 때문에 아무도 그런 신화가 없다는 것을 이해해야합니다. 필요합니다. 사실이 아닙니다.

일부 무료 호스팅의 가장 지저분한 웹사이트라도 어느 정도 수익을 창출할 수 있으며, 이는 항상 대규모 공격의 바람직한 표적이 될 것입니다. 물론 수익 창출이 더 쉬운 대규모 사이트는 말할 것도 없습니다.

방문자에 대한 공격: 드라이브 바이 다운로드

예, 우리는 방문자의 감염에 대해 말 그대로 간단히 이야기했습니다. 아마도 작년에 이 위협은 이제 저절로 사라지고 있을 것입니다. 방문자 감염이란 무엇입니까? 공격자가 사이트를 해킹했으며 방문자를 감염시켜 돈을 벌고자 한다면 다음 단계는 어떻게 될까요?

이미 말했듯이 모바일 사용자는 플래시 플레이어 업데이트 등을 가장하여 애플리케이션을 설치하라는 일부 사이트로 리디렉션될 수 있습니다. 데스크탑의 경우 방문자의 브라우저나 해당 환경의 플러그인 중 하나의 취약점이 악용되는 경우에 이러한 인기 있는 방식이 사용됩니다.

예를 들어, 2012년에 가장 많이 악용된 취약점은 Java 플러그인에 있었으며, 이로 인해 2012년 Adobe Reader에서 악용된 사용자의 절반 이상이 비용을 지불했습니다. 이제 그들은 Adobe Reader, Java, Flash Player를 활용하지 않습니다.

Flash Player의 새로운 취약점은 정기적으로 출시되며, 각각의 취약점은 드라이브 바이 다운로드(drive-by download)라는 공격을 허용하는 경우가 많습니다. 무슨 뜻이에요? 이는 방문자가 단순히 사이트를 방문하고 추가 작업을 수행하지 않으며 플러그인의 취약점을 악용하여 시스템에 악성 프로그램이 나타나 자동으로 실행되어 시스템을 감염시키는 것을 의미합니다.

서비스 거부, 일명 DDoS

이는 공격자가 여전히 사이트 및 해당 관리에 대한 액세스 권한을 얻는 경우에 대해 이야기하는 경우입니다. 대부분의 경우 공격자는 액세스 권한을 얻으려고 시도하지도 않고 단지 어떤 방식으로든 사이트의 정상적인 기능을 방해하기를 원할 뿐입니다. 분산 서비스 거부(Distributed Denial of Service)라고 불리는 서비스 거부에 대해 누구나 들어본 적이 있을 것입니다.

주요 동기: 경쟁과 강탈. 경쟁 – 사용자가 귀하의 사이트를 방문하지 않고 경쟁사의 사이트로 이동하는 것은 분명합니다. 강탈 – 귀하의 사이트에 대한 공격이 시작되고 누군가에게 돈을 지불하라는 일종의 편지를 받는다는 것도 분명합니다. 거기에서 당신은 그것에 대해 뭔가를 해야 합니다.

공격은 세 가지 주요 범주로 분류됩니다.

가장 간단한 공격은 애플리케이션에 대한 공격입니다. 애플리케이션에 대한 공격에 대한 가장 일반적인 시나리오는 일종의 검색 기능을 갖춘 온라인 상점과 같은 일종의 웹 사이트를 가지고 있다는 것입니다. 상대적으로 무거운 데이터베이스 쿼리를 생성하는 여러 매개변수가 포함된 고급 검색이 있습니다. 공격자가 와서 고급 검색 옵션을 보고 고급 검색 양식에 무겁고 무거운 쿼리를 푸시하기 시작하는 스크립트를 만듭니다. 실제로 많은 사이트에 대한 하나의 표준 호스트의 압력 하에서도 데이터베이스가 빠르게 붕괴되며 그게 전부입니다. 이를 위해 공격자 측에는 특별한 리소스가 필요하지 않습니다.

전송 계층 공격. 전송 계층에는 기본적으로 두 가지 프로토콜이 있습니다. UDP에 대한 공격은 세션이 없기 때문에 채널에 대한 공격을 참조합니다. 그리고 TCP 프로토콜에 관해 이야기하고 있다면 이것은 상당히 일반적인 공격 사례입니다.

TCP 프로토콜이란 무엇입니까? TCP 프로토콜은 서버가 있고 사용자와의 공개 연결 테이블이 있음을 의미합니다. 이 테이블은 크기가 무한할 수 없으며 공격자는 새로운 연결 생성을 시작하는 매우 많은 패킷을 특별히 설계하며 패킷은 가짜 IP 주소에서 나오는 경우도 많습니다.

이는 이 테이블을 오버플로하므로 귀하의 사이트를 방문하는 합법적인 사용자는 이 연결 테이블에 들어갈 수 없으며 결과적으로 귀하의 서비스를 받을 수 없습니다. 이는 최근 몇 년 동안 사람들이 대처 방법을 배운 일반적인 공격의 전형적인 예입니다.

그리고 최악의 것은 채널에 대한 공격입니다. 이는 일부 요청이 서버에 올 수 있는 수신 채널이 있고 전체 채널이 막히는 경우입니다.

두 가지 더 높은 수준의 공격에서 이러한 공격을 어떻게든 처리하기 위해 서버 자체에 일종의 논리를 적용할 수 있는 경우 서버 자체의 채널에 대한 공격의 경우 아무것도 할 수 없습니다. 필요한 작업을 수행하기 위해 요청을 수락하고 싶지만 전체 채널이 이미 막혀 있어 사용자가 일반적으로 문을 두드릴 수 없기 때문입니다.

왜? 이 분류에 대해 논의하는 이유는 무엇이며 왜 필요한가요? 그렇습니다. 이러한 각 유형의 공격에는 고유한 대응책이 있기 때문입니다. 이 문제가 발생하면 서비스 거부 공격이 발생하고 있다는 것을 이해하고 가장 먼저 해야 할 일은 어떤 유형의 공격이 진행되고 있는지 결정하고 이 공격에 맞서 싸울 올바른 방법을 선택하는 것입니다. 결합할 수도 있지만.

마고메드 체르비제프