사이버 공격을 가로막는 방법
해커 공격 행위 특성 분석 반공격 기술 종합 분석 보고서 www.rising.com.cn 정보원: 컴퓨터와 보안이 해커의 공격으로부터 네트워크를 더 잘 보호하려면 해커의 공격 방법, 공격 원칙, 공격 과정에 대한 심층적이고 상세한 이해가 있어야 더 효과적이고 타겟이 될 수 있다 다음은 해커 공격 방법의 특징 분석을 통해 해커 공격 행위를 탐지하고 방어하는 방법을 연구한다. 첫째, 안티-공격 기술의 핵심 문제 안티-공격 기술 (침입 탐지 기술) 의 핵심 문제는 모든 네트워크 정보를 가로 채는 방법입니다. 현재는 주로 두 가지 방법으로 정보를 얻습니다. 하나는 스누퍼, Vpacket 등의 프로그램과 같은 네트워크 수신 경로를 통해 모든 네트워크 정보 (패킷 정보, 네트워크 트래픽 정보, 네트워크 상태 정보, 네트워크 관리 정보 등) 를 얻는 것입니다. 이는 해커가 공격하는 필연적인 방법이자 반공격을 수행하는 데 필요한 방법입니다. 또 다른 하나는 운영 체제 및 어플리케이션의 시스템 로그를 분석하여 침입 행위 및 시스템의 잠재적 보안 취약점을 파악하는 것입니다. 2. 해커가 공격하는 주요 방식 해커가 인터넷을 공격하는 방식은 다양하다. 일반적으로 공격은 항상' 시스템 구성의 결함',' 운영 체제의 보안 취약성' 또는' 통신 프로토콜의 보안 취약성' 을 이용해 진행된다. 지금까지 발견된 공격 방식은 2 가지가 넘습니다. 이 중 절대다수의 해커 공격 수단은 이미 적절한 해결책을 가지고 있습니다. 이러한 공격은 다음과 같은 6 가지 범주로 나눌 수 있습니다. 1. 서비스 거부 공격: 일반적으로 서비스 거부 공격은 공격 대상 (보통 워크스테이션 또는 중요 서버) 의 시스템 핵심 자원을 과부하하여 공격 대상의 일부 또는 전부를 정지시키는 것입니다. 현재 알려진 서비스 거부 공격은 수백 가지가 있는데, 이는 가장 기본적인 침입 공격 수단이자 가장 다루기 어려운 침입 공격 중 하나이며, 전형적인 예로는 SYN Flood 공격, Ping Flood 공격, Land 공격, WinNuke 공격 등이 있다. 2. 무단 액세스 시도: 공격자가 보호된 파일을 읽기, 쓰기 또는 실행하려는 시도이며 보호된 액세스 권한을 얻기 위한 시도도 포함됩니다. 3. 사전 탐지 공격: 연속적인 무단 액세스 시도 중 공격자는 네트워크 내부 정보 및 네트워크 주변 정보를 얻기 위해 일반적으로 SATAN 스캔, 포트 스캔, IP 중간 스캔 등을 예로 들 수 있습니다. 4. 의심스러운 활동: 일반적으로 정의된' 표준' 네트워크 통신 범주 밖의 활동이며, 네트워크에서 원하지 않는 활동 (예: IP Unknown Protocol, Duplicate IP Address 이벤트 등) 을 가리킬 수도 있습니다. 5. 프로토콜 디코딩: 프로토콜 디코딩은 네트워크 또는 보안 관리자가 디코딩 작업을 수행하고 적절한 결과를 얻는 데 사용할 수 있습니다. 디코딩된 프로토콜 정보는 FTU 사용자 및 Portmapper Proxy 와 같은 원하는 활동을 나타낼 수 있습니다. 6. 시스템 에이전트 공격: 이 공격은 일반적으로 전체 네트워크가 아닌 단일 호스트에 대해 시작되며 RealSecure 시스템 에이전트를 통해 모니터링할 수 있습니다. 셋째, 해커 공격 행위의 특징 분석과 반공격 기술 침입 탐지의 가장 기본적인 수단은 패턴 일치 방법을 채택하여 침입 공격 행위를 발견하는 것이다. 효과적으로 반공격을 하려면 먼저 침입의 원리와 작동 메커니즘을 이해해야 한다. 그래야 지기를 할 수 있다. 따라서 침입 공격 행위의 발생을 효과적으로 예방할 수 있다. 다음은 몇 가지 전형적인 침입 공격을 분석하고 그에 상응하는 대책을 제시합니다. 1.Land 공격 유형: Land 공격은 서비스 거부 공격입니다. 공격 특징: Land 공격에 사용되는 패킷의 소스 및 대상 주소는 동일합니다. 운영 체제가 이러한 패킷을 수신할 때 스택의 통신 소스 및 대상 주소가 동일한 상황을 어떻게 처리해야 할지 모르거나 패킷을 반복적으로 보내고 수신하여 많은 시스템 리소스를 소비하여 시스템 충돌 또는 패닉 등의 현상이 발생할 수 있기 때문입니다. 감지 방법: 네트워크 패킷의 소스 주소와 대상 주소가 같은지 확인합니다. 반공격 방법: 방화벽 디바이스 또는 필터 라우터의 필터링 규칙을 적절히 구성하면 이러한 공격 행위 (일반적으로 패킷 폐기) 를 방지하고 이러한 공격을 감사 (이벤트 발생 시간 기록, 소스 호스트 및 대상 호스트의 MAC 주소 및 IP 주소 기록) 할 수 있습니다. 2.TCP SYN 공격 유형: TCP SYN 공격은 서비스 거부 공격입니다. 공격 특징: TCP 클라이언트와 서버 간의 세 가지 핸드셰이크 프로세스의 결함을 이용하여 수행됩니다. 공격자는 소스 IP 주소를 위조하여 공격자에게 대량의 SYN 패킷을 보냅니다. 공격당한 호스트가 대량의 SYN 패킷을 수신하면 이러한 연결을 처리하는 데 많은 캐시가 필요합니다. SYN ACK 패킷을 잘못된 IP 주소로 다시 보내고 ACK 패킷의 응답을 기다리다가 결국 캐시가 소진되어 다른 합법적인 SYN 연결을 더 이상 처리할 수 없게 됩니다. 즉, 대외적으로 정상적인 서비스를 제공할 수 없습니다. 감지 방법: 단위 시간 내에 수신된 SYN 접속 확인 아니오 시스템 설정 초과 값을 받습니다. 반공격 방법: 대량의 SYN 패킷이 수신되면 방화벽에 연결 요청을 차단하거나 패킷을 폐기하고 시스템 감사를 수행하도록 알립니다. 3.Ping Of Death 공격 유형: Ping Of Death 공격은 서비스 거부 공격입니다. 공격 특징: 공격 패킷이 65535 바이트보다 큽니다. 일부 운영 체제는 65535 바이트보다 긴 패킷을 수신하면 메모리 오버플로우, 시스템 충돌, 재부팅, 커널 실패 등의 결과를 초래하여 공격 목적을 달성합니다. 감지 방법: 패킷 크기가 65535 바이트보다 큰지 확인합니다. 공격 방지 방법: 새 패치를 사용하여 65535 바이트보다 큰 패킷을 받으면 패킷을 삭제하고 시스템 감사를 수행합니다. 4.WinNuke 공격 유형: WinNuke 공격은 서비스 거부 공격입니다. 공격 특징: WinNuke 공격은 대역 외 전송 공격이라고도 하며 공격 대상 포트가 특징입니다. 공격 대상 포트는 일반적으로 139, 138, 137, 113, 53 이며 URG 비트는 "1", 즉 비상 모드로 설정됩니다. 감지 방법: 패킷 대상 포트가 139, 138, 137 등인지 확인하고 URG 비트가 "1" 인지 확인합니다. 반공격 방법: 방화벽 장치를 적절히 구성하거나 라우터를 필터링하면 이러한 공격 수단 (패킷 폐기) 을 방지하고 이러한 공격을 감사할 수 있습니다 (이벤트 발생 시간 기록, 소스 및 대상 호스트의 MAC 주소 및 IP 주소 MAC). 5.Teardrop 공격 유형: Teardrop 공격은 서비스 거부 공격입니다. 공격 특징: Teardrop 는 UDP 기반 병적 조각화 패킷의 공격 방법으로, 공격자에게 여러 조각의 IP 패킷 (IP 조각화 패킷에 포함된 패킷과 패킷에서의 위치 등) 을 전송하는 방식으로 작동합니다. 일부 운영 체제는 겹치는 오프셋이 있는 위조된 조각화 패킷을 수신할 때 시스템 충돌, 재시작 등의 현상이 발생할 수 있습니다. 감지 방법: 수신된 조각 패킷을 분석하여 패킷의 조각 오프셋 (Offset) 이 잘못되었는지 여부를 계산합니다. 반공격 방법: 시스템 패치를 추가하고, 수신된 병적 조각 패킷을 버리고, 이 공격을 감사합니다. 6. TCP/UDP 포트 스캔 공격 유형: TCP/UDP 포트 스캔은 사전 감지 공격입니다. 공격 특징: 공격 대상 호스트의 다른 포트에 TCP 또는 UDP 연결 요청을 전송하여 공격 대상 실행 중인 서비스 유형을 탐지합니다. 테스트 방법: 시스템 포트에 대한 외부 접속 요청, 특히 21, 23, 25, 53, 8, 8, 88 등을 제외한 매우 많이 사용되는 포트에 대한 접속 요청을 계산합니다. 반공격 방법: 여러 TCP/UDP 패킷이 비정상적인 포트에 대한 연결 요청을 받으면 방화벽에 연결 요청을 차단하고 공격자의 IP 주소와 MAC 주소를 감사하도록 알립니다. 좀 더 복잡한 침입 공격 행위 (예: 분산 공격, 조합 공격) 의 경우 패턴 일치 방법뿐만 아니라 상태 전송, 네트워크 토폴로지 등을 활용하여 침입 감지를 수행해야 합니다. 넷째, 침입 감지 시스템에 대한 몇 가지 생각 성능상 침입 감지 시스템이 직면한 모순 중 하나는 시스템 성능과 기능의 절충입니다. 즉, 데이터의 포괄적이고 복잡한 테스트는 시스템 실시간 요구 사항에 큰 도전이 됩니다. 기술적으로 침입 탐지 시스템에는 해결해야 할 몇 가지 문제가 있으며, 주로 다음과 같은 측면에 나타납니다. 1. "대규모 결합 분산 침입 공격" 을 식별하는 방법은 아직 좋은 방법이나 성숙한 해결책이 없습니다. Yahoo 와 같은 유명한 ICP 의 공격 사건에서 우리는 보안 문제가 점점 더 두드러지고, 공격자의 수준이 끊임없이 높아지고, 점점 성숙해지고 있는 다양한 공격 도구와 점점 더 복잡한 공격 수법을 통해 침입 탐지 시스템이 최신 보안 기술을 지속적으로 추적해야 한다는 것을 알게 되었습니다. 2. 네트워크 침입 탐지 시스템은 네트워크 패킷 일치를 통해 공격 행동을 발견하고 침입 탐지 시스템은 종종 공격 정보가 일반 텍스트로 전송된다고 가정하므로 정보의 변경이나 재코딩은 침입 탐지 시스템의 감지를 속일 수 있으므로 문자열 일치 방법은 암호화된 패킷에 대해 무력해 보입니다. 3. 네트워크 장비가 점점 더 복잡해지고 다양해짐에 따라 침입 탐지 시스템이 더 많은 환경의 요구 사항에 맞게 사용자 정의될 수 있어야 합니다. 4. 침입 탐지 시스템에 대한 평가에는 아직 객관적인 기준이 없다. 표준의 불균형으로 침입 탐지 시스템 간 상호 연결이 쉽지 않다. 침입 탐지 시스템은 새로운 기술로, 기술이 발전하고 새로운 공격 식별이 증가함에 따라 침입 탐지 시스템을 지속적으로 업그레이드해야 네트워크 보안을 보장할 수 있습니다. 5. 부적절한 자동반응을 채택하는 것도 침입 감지 시스템에 위험을 초래할 수 있다. 침입 감지 시스템은 일반적으로 방화벽과 함께 작동합니다. 침입 감지 시스템이 공격 동작을 발견하면 공격자의 모든 IP 패킷을 필터링하고, 공격자가 여러 개의 다른 IP 를 위조하여 모의 공격을 할 때 침입 감지 시스템은 방화벽을 자동으로 구성하여 실제로 아무런 공격도 하지 않는 주소를 모두 걸러내어 새로운 서비스 거부 액세스를 발생시킵니다. (윌리엄 셰익스피어, Northern Exposure (미국 TV 드라마), 침입 감지 시스템, 침입 감지 시스템, 침입 감지 시스템, 침입 방지 시스템) 6. IDS 자체에 대한 공격. 다른 시스템과 마찬가지로 IDS 자체에도 보안 취약점이 있습니다. IDS 공격에 성공하면 경보가 실패하고 침입자의 후속 행동은 기록되지 않으므로 시스템에 다양한 보안 수단을 취해야 합니다. 7. 네트워크의 대역폭이 증가함에 따라 고속 네트워크 기반 감지기 (이벤트 분석기) 를 개발하는 방법에는 여전히 많은 기술적 어려움이 있습니다. 침입 탐지 시스템은 네트워크 보안의 핵심 측정 시스템으로, 더 깊이 연구할 만한 많은 측면을 가지고 있으며, 향후 네트워크 개발을 위한 효과적인 보안 수단을 제공하기 위해 더욱 보완되어야 합니다.
관련 내용