해커를 꿈꾸는 개발자

정보보안기사 필기 독학 / 네트워크 보안 / 5. 네트워크 해킹 공격

스니핑(Sniffing) (eavesdropping, tapping 

네트워크상의 데이터를 도청하는 행위를 뜻하고, LAN에서의 스니핑은 Promiscuous Mode에서 작동합니다. 

- ARP Redirect 공격 : 공격자가 “나의 MAC 주소가 라우터의 MAC 주소이다."라는 위조된 ARP Reply를 브로드캐스트로 네트워크에 주기적으로 보내어 스위칭 네트워크상의 다른 모든 호스트들이 공격자 호스트를 라우터로 믿게 하는 공격입니다. 

- ICMP Redirect 공격 : 공격자가 ICMP Redirect 메시지를 생성하여 공격 대상 시스템에게 전송함으로써 공격대상 시스템이 전송하는 패킷이 공격자에게 먼저 전송되도록 합니다. 

- Switch Jamming 공격 : 공격자는 위조된 MAC주소를 지속적으로 네트워크에 흘림으로써 스위칭 허브의 주소 테이블을 오버플로우시켜 허브처럼 동작하게 하여 다른 네트워크 세그먼트의 데이터를 스니핑 할 수 있습니다. 

서비스거부(DoS), 

공격자가 시스템의 하드웨어나 소프트웨어 등을 무력하게 만들어 시스템이 정상적인 수행을 하는데 문제를 일으키는 공격입니다. 종류로는 Land Attack, TearDrop, Targa, NetTear, Nestea, Ping Of Death, Inconsistent Fragmentation, SYN, Smurf, UDP Flood 등이 있습니다.

- Land Attack : 출발지와 목적직의 IP 주소를 공격대상의 IP와 동일하게 만들어서 공격 대상에게 보내는 공격입니다. 패킷을 만들어 전송하더라도 자신의 IP이므로 외부로 전송하지 못하고 자신의 컴퓨터에서 부하가 발생하게 되어, 루프 상태에 빠지게 됩니다. 

- TearDrop : 헤더가 조작된 일련의 IP 패킷조각(IP Fregments)들을 전송함으로써 공격이 이루어지며 공격자는 데이터의 일부가 겹치게 됩니다. 일부 데이터를 포함하지 않는 패킷 조각들을 전송함으로써 패킷 재조합 시 공격대상에서 부하를 발생시키는 공격입니다. 

- Ping Of Death : ICMP Echo Request 패킷의 크기를 정상적인 크기보다 크게 만들어 공격 대상 네트워크에 송신하고 네트워크를 통해 라우팅되어 공격 대상 네트워크에 도달하는 과정에서 작은 조각(Fragment)들로 분할하도록 하는 공격입니다. 

- Smurf : 공격대상자는 스푸핑된 소스 IP로부터 ICMP reply를 동시에 수신하는 현상을 갖는 공격입니다. 

- 분산 반사 서비스 거부 공격(DRDoS : Distributed Reflection DoS) : 출발지의 IP를 위조하어 정상 요청(request)하면 공격 대상에 대량의 응답 값이 전달되는 것을 이용한 공격방법입니다.

- SYN Flooding 공격 : TCP의 3 way Handshake 약점을 이용하는 공격으로 소스 IP를 존재하지 않는 IP 주소로 위조하여 대량의 SYN 패킷을 발송하여 해당 시스템의 백로그 큐를 가득 채워 서비스 거부를 하도록 하는 공격입니다. 

분산서비스거부(DDos) 공격

네트워크로 연결되어 있는 많은 수의 호스트들에 패킷을 범람 시킬 수 있는 Dos용 프로그램을 분산 설치하여 이들이 서로 통합된 형태의 공격입니다. 종류로는 Trinoo, TFN, Stacheldraht, TFN2K 등이 있습니다.

- Stacheldraht : 트리누와 TFN을 참고하여 제작된 도구로서 이들이 갖고 있는 특성을 대부분 가지고 있는 공격도구입니다. 마스터 시스템 및 에이전트 데몬 사이에 통신을 할 때 암호화 하는 기능이 추가 되었으며, TFN이나 TFN2K와 같이 ICMP Flood, SYN Flood, UDP Flood와 Smurt 등의 Ddos 공격을 할 수 있는 기능을 갖고 있습니다. 

워터링홀(watering hall)

공격대상이 방문할 가능성이있는 합법적인 웹 사이트를 미리 감염시키고 잠복하고 있다가 공격대상이 방문하면 악성코드를 감염시키는 공격 방법입니다. 

파밍(Pharming)

도메인을 탈취하거나 도메인 네임 시스템 또는 프록시 서버의 주소를 변조함으로써 사용자들로 하여금 진짜 사이트로 오인해 접속하도록 유도한 뒤, 개인 정보를 탈취하는 해킹 기법입니다. 

관련 문제

9회 공격의 종류가 적절하게 짝지어진 것은? 3
[보기1]
(A) 네트워크에서 IP 주소, 하드웨어 주소등의 정보를 속임으로써 권한을 획득 또는 중요 정보를 가로채어 서비스를 방해하는 공격행위
(B) 네트워크 패킷이나 버스를 통해 전달되는 중요 정보를 엿보고 가로채는 공격행위
(C) 메모리에 할당된 배열의 크기를 초과하는 데이터를 입력하여 프로그램의 복귀 주소를 조작하여 해커가 원하는 코드를 실행하는 공격행위
[보기2]
㉠ 스니핑
㉡ 스푸핑
㉢ 버퍼오버플로우
(A) (B) (C)
① ㉠ ㉡ ㉢
② ㉡ ㉢ ㉠
③ ㉡ ㉠ ㉢
④ ㉢ ㉠ ㉡

7회 다음 중 네트워크 기반 서비스 거부 공격이 아닌 것은? 1
① 버퍼 오버플로우(Buffer Overflow)
② 스머프(Smurf)
③ SYN 플러딩(Flooding)
④ 티어드랍(Teardrop)

13회 스위칭 환경에서의 스니핑 공격 유형 중, 공격자가 “나의 MAC 주소가 라우터의 MAC 주소이다."라는 위조된 ARP Reply를 브로드캐스트로 네트워크에 주기적으로 보내어 스위칭 네트워크상의 다른 모든 호스트들이 공격자 호스트를 라우터로 믿게 하는 공격은? 3
① Switching Jamming
② ICMP Redirect
③ ARP Redirect
④ DNS Spoofing

13회 L2 스위치로 구성된 네트워크 환경에서 스니핑 공격에 대한 설명으로 옳지 않은 것은? 2  
① L2 스위치로 구성된 네트워크 환경에서 스니핑 공격을 시도하기 위해 사용되는 주요 방법들로는 ARP Cpoofing ICMP Redirect, MAC Address Flooding 등이 있다.
② ARP Spoofing 공격은 공격자가 대상시스템에 조작된 ARP Request를 지속적으로 전송함으로써 이루어지며,
대상시스템의 ARP cache table을 변조한다.
③ ICMP Redirect 공격은 공격자가 ICMP Redirect 메시지를 생성하여 공격 대상 시스템에게 전송함으로써 공격대상 시스템이 전송하는 패킷이 공격자에게 먼저 전송되도록 한다.
④ MAC Address Flooding 공격은 공격자가 조작된 MAC 주소를
프레임의 출발지 MAC 주소에 설정하여 보내는 과정 을 반복함으로써 스위치가 더미허브처럼 동작하도록 한다.

7회 다음 지문에서 설명하고 있는 스니핑 공격은?3
보기
공격자는 위조된 MAC주소를 지속적으로 네트워크에 흘림으로써 스위칭 허브의 주소 테이블을 오버플로우시켜 허브처럼 동작하게 하여 다른 네트워크 세그먼트의 데이터를 스니핑 할 수 있다.
① ARP Redirect 공격
② ICMP Redirect 공격
③ Switch Jamming 공격
④ ARP Spoofing 공격

13회 10회 다음 용어 중 개념상 나머지와 가장 거리가 먼 것은? 4
① sniffing
② eavesdropping
③ tapping
④ spoofing

9회 다음 보기가 설명하는 공격은?1

[보기]
출발지와 목적직의 IP 주소를 공격대상의 IP와 동일하게 만들어서 공격 대상에게 보내는 공격이다. 패킷을 만들어 전송하더라도 자신의 IP이므로 외부로 전송하지 못하고 자신의 컴퓨터에서 부하가 발생하게 되어, 루프 상태에 빠지게 된다.

① Land 공격
② Targa 공격
③ Ping of Death 공격
④ Smurf 공격

11회 DoS 공격 중 Land 공격이 조작하는 IP 프로토콜의 필드에 해당하는 것은 무엇인가? 1
① 출발지 주소
② 목적지 주소
③ Time-To-Live 값
④ 헤더의 길이

14회 30. 아래 보기의 명령과 가장 관련있는 서비스 거부 공격은? 4

hping q.fran.kr  -a 10.10.10.5 --icmp --flood

①Ping of Death
②Land Attack
③Teardrop
④Smurf

11회 26. 다음 설명에 해당하는 서비스거부(DoS) 공격은?1
[보기]
헤더가 조작된 일련의 IP 패킷조각(IP Fregments)들을 전송함으로써 공격이 이루어지며 공격자는 데이터의 일부가 겹치거다. 일부 데이터를 포함하지 않는 패킷 조각들을 전송함으로써 패킷 재조합 시 공격대상에서 부하를 발생시키는 공격 유형이다.
① Teardrop
② Land attack
③ Syn Flooding
④ Smurf attack

11회 39. 어떤 프로토콜에 대한 DoS 공격인가?1
[보기]
- "목적지 도달 불가(Destination Unreachable)' 메시지가 일부 방화벽에서 상당히 많은 리소스를 소비한다는 사실을 이용한다.
- 이 DOS 기술은 방화벽을 트래픽으로 뒤덮어버리는 것이 아니라, CPU를 high load 시키기 때문에 효율적이다.
① ICMP
② HTTP
③ TCP
④ SMTP

11회 28. 다음 보기에서 설명하고 있는 공격에 대한 방식은?2
[보기]
ICMP Echo Request 패킷의 크기를 정상적인 크기보다 크게 만들어 공격 대상 네트워크에 송신하고 네트워크를 통해 라우팅되어 공격 대상 네트워크에 도달하는 과정에서 작은 조각(Fragment)들로 분할된다.
① Teardrop 공격
② Ping of Death 공격
③ UDP Traffic Flooding 공격
④ Tiny Fragmentation 공격

7회 29. DoS(Denial of Service) 공격의 일종으로 공격대상자는 스푸핑된 소스 IP로부터 ICMP reply를 동시에 수신하는 현상을 갖는 공격은 무엇인가?2
① Ping of Death
② Smurf Attack
③ TearDrop Attack
④ Land Attack

9회 8회 34. 지문의 특성을 갖는 공격 방법은 무엇인가?2

[보기]
- 출발지의 IP를 위조하어 정상 요청(request)하면 공격 대상에 대량의 응답 값이 전달되는 것을 이용한 공격방법이다.
- 에이전트 설치의 어려움을 보완한 공격 기법으로 TCP 프로토콜 및 라우팅 테이블 운영상의 취약성을 이용한 공격으로 정상적인 서바스를 제공 중인 서버 Agent로 활용 하는 공격기법이다.
-클라이언트의 특성상 외부 인터넷 서버 접속이 잦음으로 인하여 클라이언트의 보호는 사실상 불가능하다.

① Botnet
② DRDoS
③ APT
④ Sniffing

14회 13회 39. 보안 위협과 공격에 대한 설명 중 옳지 않은 것은?1
①분산 반사 서비스 거부 공격(DRDoS : Distributed Reflection DoS)은 DDoS의 발전된 공격 기술로서 공격자의 주소를 위장하는IP Spoofing 기법과 실제 공격을 수행하는 좀비와 같은 감염된 반사체 시스템을 통한 트래픽 증폭 기법을 이용한다.
②봇넷을 이용한 공격은 봇에 의해 감염된 다수의 컴퓨터가좀비와 같이 C&C 서버를 통해 전송되는 못 마스터의 명령에 의해공격이 이루어지므로 공격자 즉 공격의 진원지를 추적하는데 어려움이 있다.
③Smurf 공격은 ICMP Flooding 기법을 이용한 DoS 공격으로 Broadcast address 주소의 동작특성과 IP Spoofing 기법을 악용하고 있다.
④XSS(Cross-Site Scripting) 공격은 공격 대상 사용자가이용하는 컴퓨터 시스템의 브라우저 등에서 악성코드가 수행되도록 조작하여사용자의 쿠키 정보를 탈취, 세션 하이재킹과 같은 후속 공격을 가능하게 한다.

8회 36. DDoS 긴급 대응 절차 순서를 올바르게 나열한 것은?3

[보기]
가. 모니터링
나. 상세분석
다. 공격탐지
라. 초동조치
마. 차단조치
① 라, 다, 가, 나, 마
② 라, 가, 마, 다, 나
③ 가, 다, 라, 나, 마
④ 가, 다 나, 라, 마

9회 28. 다음 지문이 설명하는 것은?1
[보기]
트리누와 TFN을 참고하여 제작된 도구로서 이들이 갖고 있는 특성을 대부분 가지고 있는 공격도구이다. 마스터 시스템 및 에이전트 데몬 사이에 통신을 할 때 암호화 하는 기능이 추가 되었으며, TFN이나 TFN2K와 같이 ICMP Flood, SYN Flood, UDP Flood와 Smurt 등의 Ddos 공격을 할 수 있는 기능을 갖고 있다.

① Stacheldraht
② Targa
③ Bonk
④ Boink

7회 TCP 연결 2HS 중 3-way handshake으1 Half Open 연결 시도의 취약점을 이용한 공격은?2
① Land 공격
② SYN Flooding 공격
③ Smurf 공격
④ Trinoo 공격

13회 38. 다음 지문의 방법들이 탐지하려는 공격은?2
[보기]
- 비동기화 상태 탐지
- Ack Storm SATI
- 패킷의 유실과 재전송 증가 탐지
- 예상치 못한 접속의 리셋
① MITM 공격
② TCP 세션 하이재킹
③ 스푸핑 공격
④ 스머프 공격.

10회 다음중 UDP flooding 공격 과정에서 지정된 UDP 포트가 나타내는 서비스가 존재하지 않을 때 발생되는 패킷은 무엇인가?1
① ICMP Unreachable
② UDP Unreachble
③ ICMP Drop
④ UDP Drop

9회 Session Hijacking에 대한 설명으로 올바르지 않은 것은?3
① 세션을 Brute-Force guessing을 통해 도용하거나 가로채어 자신이 원하는 데이터를 보낼 수 있는 공격 방법이다.
② 이미 인증을 받아 세션을 생성, 유지하고 있는 연결을 빼앗는 공격을 총칭한다.
③ 데이터 처리율을 감소시키고 서버가 정상 상태로 회복될때까지 대기 상태에 빠지게 한다.
④ TCP의 세션을 끊고 순서번호(Sequence Number)를 새로 생성하여 세션을 빼앗고 인증을 회피한다.

7회 다음 중 UDP flooding 공격의 대응 방안으로 옳지 않은 것은1
① 다른 네트워크로부터 자신의 네트워크로 들어오는 IP Broadcast 패킷을 받도록 설정한다
② 사용하지 않는 UDP 서비스를 중지한다.
③ 방화벽 등을 이용하여 패킷을 필터링한다.
④ 리눅스 시스템인 경우 chargen 또는 echo 서비스를 중지한다.

7회 27. 다음은 어떠한 형태의 공격에 대한 대비 또는 대응방법인가?3
보기
1. 시스템의 백로그 큐 크기를 늘려준다.
2. 리눅스 계령의 경우 syncookies 기능을 이용하고 Window 계령의 경우 레지스트리를 변경한다.
3. 라우터에서는 방어 솔루션인 tcp intercept를 설정한다.
① Land Attack
② Smurf Attack
③ Syn Flooding Attack
④ Ping of Death Attack

14회 DoS 공격엔 다양한 종류가 있다. 다음 중 웹서버 운영체제(OS) 자원을 고갈시키는 DoS는 무엇인가?1
①Syn Flooding
②GET Flooding
③Teardrop
④Syn Cookie

14회 13회 공격대상이 방문할 가능성이있는 합법적인 웹 사이트를 미리 감염시키고 잠복하고 있다가 공격대상이 방문하면 악성코드를 감염시키는 공격 방법은? 2
①파밍
②워터링 홀
③스피어 피싱
④DNS 스푸핑

10회 다음 지문에서 설명하고 있는 공격은?3
[보기]
변조된 MAC 주소를 지속적으로 네트워크에 홀림으로써 스위칭허브의 주소 테이블을 오버플로우시켜 더미 허브처럼 동작하게 하여 다른 네트워크 세그먼트의 데이터를 스니핑 할 수 있다.
① ICMP Redirect
② ARP Redirect
③ Switch Jamming
④ ARP Spoofing

3. 다음 중 ing을 이용한 공격으로 ICMP_ECH0_REQUEST를 보내면 서버에서 다시 클라이언트로 ICMP_ECHO_REPLY를 보낸다. 이때, 출발지 주소를 속여서(공격하고자 하는) 네트워크 브로드캐스팅 주소로 ICMP_ECHO_RE_QUEST를 전달할 경우 많은 트래픽을 유발시켜 공격하는 기술은? 4
① 세션 하이젝킹 공격
② 브로드캐스팅 공격
③ Tear Drop 공격
④ Smurf 공격


13회 9회 도메인을 탈취하거나 도메인 네임 시스템 또는 프록시 서버의 주소를 변조함으로써 사용자들로 하여금 진짜 사이트로 오인해 접속하도록 유도한 뒤, 개인 정보를 탈취하는 해킹 기법은?2

① 피싱
② 파밍
③ 스미싱
④ 봇넷

7회 다음 지문이 설명하고 있는 것은?2

보기
C&C라는 중앙집중형 명령/제어 방식에서 탈피하여 웹 프로토콜인 HTTP를 기반으로 하거나 모든 좀바들이 C&C가 될 수 있는 분산형 명령/제어 방식으로 진화하고 있다.

① Trojan Horse
② Botnet
③Backdoor
④ Worm


9회 최근 APT공격이 지속적으로 발생하고 있다. 다음 사례에서 공통된 내용은 무엇인가?4

[보기]
- 2009년 7.7 디도스
- 2011년 3.4 디도스
- 2013년 3.20 사이버테러

① DBMS 파괴
② Ddos 공격
③ 홈페이지 변조
④ 마스터부트레코더(MBR) 파괴

5회 10. 다음 중 7.7 DDoS 공격과 3.20 DDoS 공격의 공통점은 무엇인가?3

① 대역폭 과부하
② 리소스 고갈
③ MBR 파괴
④ 금융 정보 유출