인터넷 공격에는 몇 가지 유형이 있습니까?

서비스 거부 공격은 서비스 컴퓨터를 무너뜨리거나 스팬하여 서비스 제공을 막으려고 합니다. 서비스 거부 공격은

죽음의 핑 (ping of death)

개요 많은 운영 체제에서 TCP/IP 스택 구현은 ICMP 패키지에서 64KB 로 규정되어 있으며, 패키지의 헤더 헤더를 읽은 후 해당 헤더 헤더에 포함된 정보에 따라 페이로드에 대한 버퍼를 생성해야 합니다. 자신의 크기가 ICMP 상한을 초과한다고 주장하는 패킷이 64K 상한선을 초과하는 경우 메모리 할당 오류가 발생하여 TCP/가 발생합니다.

방어: 모든 표준 TCP/IP 구현은 이제 초대형 패킷에 대처할 수 있으며, 대부분의 방화벽은 windows98 이후 windows, nt (서비스 팩 3 이후), Linux, sop 를 포함한 이러한 공격을 자동으로 필터링할 수 있습니다 또한 방화벽을 구성하여 ICMP 및 알 수 없는 프로토콜을 차단하는 것은 이러한 공격을 방지하는 것입니다. < P > 눈물 (teardrop)

개요: 눈물 공격은 TCP/IP 스택 구현에서 신뢰할 수 있는 IP 조각의 패킷 헤더에 포함된 정보를 사용하여 자체 공격을 수행합니다. IP 세그먼트에는 세그먼트에 포함된 원본 패킷의 세그먼트를 나타내는 정보가 포함되어 있으며, 서비스 팩 4 이전 NT 를 포함한 일부 TCP/IP (서비스 팩 4 이전 NT 포함) 는 겹치는 오프셋이 있는 위조 세그먼트를 받으면 충돌합니다.

방어: 서버는 최신 서비스 팩을 적용하거나 방화벽을 설정할 때 세그먼트를 전달하는 대신 재구성합니다.

UDP 홍수 (UDP flood)

개요: 다양한 위조 공격은 Chargen 및 Echo 와 같은 간단한 TCP/IP 서비스를 활용하여 쓸모없는 대역폭 가득 찬 데이터를 전송합니다. 한 호스트의 Chargen 서비스와의 UDP 연결을 위조하여 에코 주소가 Echo 서비스가 열려 있는 호스트를 가리키므로 두 호스트 사이에 충분한 불필요한 데이터 스트림을 생성할 수 있습니다. 충분한 데이터 스트림이 있으면 대역폭에 대한 서비스 공격을 초래할 수 있습니다.

방어: 불필요한 TCP/IP 서비스를 끄거나 인터넷을 통해 이러한 서비스를 요청하는 UDP 요청을 차단하도록 방화벽을 구성합니다.

SYN 플러드 (SYN flood)

개요: 일부 TCP/IP 스택 구현은 제한된 수의 시스템에서 ACK 메시지만 기다릴 수 있습니다. 접속 생성을 위한 제한된 메모리 버퍼만 있기 때문입니다. 이 버퍼가 잘못된 연결에 대한 초기 정보로 가득 차면 서버는 다음 연결에 대한 응답을 중지합니다. SYN 홍수는 접속 생성을 제한하지 않는 일부 구현에서도 유사한 영향을 미칩니다.

방어: 동일한 호스트의 후속 연결을 방화벽에서 필터링합니다. < P > 향후 SYN 홍수는 우려된다. 홍수 석방은 응답을 구하지 않기 때문에 단순하고 대용량 전송에서 확인할 수 없다.

Land 공격

개요: Land 공격에서 특별히 제작된 SYN 패킷은 원래 주소와 대상 주소가 모두 서버 주소로 설정되어 수신 서버가 자체 주소로 SYN-ACK 메시지를 전송하게 되고, 그 결과 ACK 메시지가 다시 전송되고 빈 접속이 생성됩니다

방어: 최신 패치를 적용하거나 방화벽에 구성하여 외부 인터페이스에 들어오는 내부 소스 주소를 필터링합니다. (1 도메인, 127 도메인, 192.168 도메인, 172.16 ~ 172.31 도메인 포함)

Smurf 공격

개요: 간단한 smurf 공격은 응답 주소를 피해 네트워크의 브로드캐스트 주소로 설정하는 ICMP 응답 요청 (ping) 을 사용합니다 좀 더 복잡한 Smurf 는 소스 주소를 제 3 자의 피해자로 변경하여 결국 제 3 자 눈사태를 초래했습니다.

방어: 해커가 인터넷을 이용해 다른 사람을 공격하는 것을 막기 위해 외부 라우터나 방화벽의 브로드캐스트 주소 기능을 끕니다. 공격을 방지하기 위해 방화벽에 규칙을 설정하고 ICMP 패킷을 폐기합니다.

Fraggle 공격

개요: Fraggle 공격은 ICMP

방어 대신 UDP 응답 메시지를 사용하여 Smurf 공격을 간단하게 수정했습니다. 방화벽에서 UDP 응답 메시지 필터링

이메일 폭탄

개요

방어: 메일 주소를 구성하여 동일한 호스트에서 중복되거나 중복되는 메시지를 자동으로 제거합니다.

기형 메시지 공격

개요: 다양한 운영 체제의 많은 서비스에서 이러한 문제가 발생합니다. 이러한 서비스는 정보를 처리하기 전에 적절한 오류 검증을 수행하지 않았기 때문에 변형된 정보를 받으면 충돌할 수 있습니다.

방어: 최신 서비스 패치 적용.

2, 이용형 공격

이용형 공격은 시스템을 직접 통제하려고 시도하는 공격이다. 가장 일반적인 세 가지가 있다.

비밀번호 추측

개요: 해커가 호스트를 식별하고 NetBIOS, 텔넷, NFS 와 같은 서비스를 발견하면 < P > 방어: 단어와 구두점의 조합과 같이 추측하기 어려운 비밀번호를 사용해야 합니다. NFS, NetBIOS, 텔넷과 같이 이용할 수 있는 서비스가 공개 * * * 범위에 노출되지 않도록 합니다. 서비스가 잠금 정책을 지원하는 경우 잠금을 수행합니다.

트로이 목마

개요: 트로이 목마는 해커에 의해 직접 또는 의심스러운 사용자를 통해 타겟 시스템에 비밀리에 설치되는 프로그램입니다. 설치가 성공하고 관리자 권한이 부여되면 프로그램을 설치하는 사람이 대상 시스템을 직접 원격으로 제어할 수 있습니다. 가장 효과적인 것은 백도어 프로그램이라고 합니다. 악성 프로그램에는 NetBus, BackOrifice, BO2k 가 포함되며, netcat, VNC, pcAnywhere 와 같은 시스템을 제어하는 양성 프로그램입니다. 이상적인 백도어 프로그램은 투명하게 운영됩니다.

방어: 의심스러운 프로그램 다운로드를 방지하고 실행을 거부하고 네트워크 검색 소프트웨어를 사용하여 내부 호스트에서 수신 TCP 서비스를 정기적으로 모니터링합니다.

버퍼 오버플로우

개요: 많은 서비스 프로그램에서 부주의한 프로그래머가 strcpy(),strcat () 와 같은 유효한 비트 검사를 수행하지 않는 함수를 사용하기 때문에 악의적인 사용자가 보안 틈새를 추가로 열고 버퍼 페이로드 끝에 코드를 붙여 버퍼 오버플로가 발생할 때

방어: SafeLib, tripwire 와 같은 프로그램을 사용하여 시스템을 보호하거나 최신 보안 공고를 찾아 운영 체제를 지속적으로 업데이트합니다.

3, 정보 수집 공격 < P > 정보 수집 공격은 목표 자체에 해를 끼치지 않습니다. 이름에서 알 수 있듯이 이러한 공격은 추가 침입에 유용한 정보를 제공하는 데 사용됩니다. 주요 내용은 스캔 기술, 아키텍처 스파이, 정보 서비스 < P > 스캔 기술 < P > 주소를 이용한 스캔 < P > 개요: 핑 (ping) 과 같은 프로그램을 이용한 타겟 주소 감지, 이에 대한 응답은 존재를 나타냅니다.

방어: 방화벽에서 ICMP 응답 메시지를 필터링합니다.

포트 검색

개요: 일반적으로 일부 소프트웨어를 사용하여 광범위한 호스트에 일련의 TCP 포트를 접속하고, 스캔 소프트웨어에서 접속이 성공적으로 설정된 호스트의 열린 포트를 보고합니다.

방어: 많은 방화벽이 스캔 여부를 감지하고 자동으로 스캔 시도를 차단합니다.

응답 매핑

개요: 해커가 호스트에 거짓 메시지를 보낸 다음' 호스트 unreachable' 을 반환하는 메시지 특성에 따라 어떤 호스트가 존재하는지 판단합니다. 현재 정상적인 스캔 활동이 방화벽에 의해 쉽게 감지되기 때문에 해커는 방화벽 규칙을 트리거하지 않는 일반적인 메시지 유형 (예: RESET 메시지, SYN-ACK 메시지, DNS 응답 패킷) 을 사용합니다.

방어: NAT 및 라우팅되지 않은 프록시 서버는 이러한 공격에 자동으로 저항하거나 방화벽에서' 호스트 unreachable' ICMP 응답을 필터링할 수 있습니다. < P > 느린 스캔 < P > 개요: 일반 스캔 감지기의 구현은 특정 시간에 특정 호스트에서 시작된 접속 수 (예: 초당 1 회) 를 모니터링하여 스캔 여부를 결정하기 때문에 해커는 스캔 속도가 느린 스캔 소프트웨어를 사용하여 스캔할 수 있습니다.

방어: 서비스를 유인하여 느린 스캔을 탐지합니다.

아키텍처 probe

개요: 해커는 알려진 응답 유형의 데이터베이스를 사용하는 자동화 툴을 사용하여 타겟 호스트에서 잘못된 패킷 전송에 대한 응답을 확인합니다. 각 운영 체제마다 고유한 응답 방법 (예: NT 및 Solaris 의 TCP/IP 스택 구현은 다름) 이 있기 때문에 해커는 이 고유한 응답을 데이터베이스의 알려진 응답과 비교하여 대상 호스트에서 실행 중인 운영 체제를 파악하는 경우가 많습니다. < P > 방어: 운영 체제 및 다양한 어플리케이션 서비스를 포함한 다양한 Banner 를 제거하거나 수정하여 인식용 포트를 차단하여 상대방의 공격 계획을 방해합니다.

정보 서비스 활용

DNS 도메인 변환

개요: DNS 프로토콜은 변환 또는 정보 업데이트를 인증하지 않으므로 여러 가지 방법으로 프로토콜을 활용할 수 있습니다. 공용 * * * 의 DNS 서버를 유지 관리하는 경우 해커는 도메인 변환 작업을 한 번만 수행하여 모든 호스트의 이름과 내부 IP 주소를 얻을 수 있습니다.

방어: 방화벽에서 도메인 변환 요청을 필터링합니다.

Finger 서비스

개요: 해커는 finger 명령을 사용하여 finger 서버를 정탐하여 해당 시스템의 사용자에 대한 정보를 얻습니다.

방어: finger 서비스를 종료하고 서비스에 연결하려고 하는 상대방의 IP 주소를 기록하거나 방화벽을 필터링합니다.

LDAP 서비스

개요: 해커는 LDAP 프로토콜을 사용하여 네트워크 내 시스템과 해당 사용자에 대한 정보를 스누핑합니다.

방어: 내부 네트워크를 감시하는 LDAP 를 차단하고 기록하는 경우 공용 * * * 시스템에서 LDAP 서비스를 제공하는 경우 LDAP 서버를 DMZ 에 배치해야 합니다.

4, 가짜 메시지 공격

대상 구성이 잘못된 메시지 (주로 DNS 캐시 오염, 위조 이메일 포함) 를 공격하는 데 사용됩니다.

DNS 캐시 오염 < P > 개요: DNS 서버가 다른 이름 서버와 정보를 교환할 때 인증을 받지 않기 때문에 해커가 잘못된 정보를 섞어서 사용자를 해커의 호스트로 안내할 수 있습니다. < P > 방어: 방화벽에서 인바운드 DNS 업데이트를 필터링합니다. 외부 DNS 서버는 내부 시스템에 대한 내부 서버의 인식을 변경해서는 안 됩니다.

이메일 위조

개요: SMTP 는 메일 발신자의 신원을 확인하지 않으므로 해커는 내부 고객을 위해 이메일을 위조하고, 고객이 알고 믿는 사람이라고 주장하며, 설치 가능한 트로이 목마 프로그램 또는 악성 웹 사이트로 연결되는 연결을 함께 제공할 수 있습니다.

방어: PGP 와 같은 보안 도구를 사용하고 이메일 인증서를 설치합니다.