네트워크 보안 질문입니다. 답변해 주세요. 감사합니다.

베스트 답변 침입 공격은 공격의 황금기라고 할 수 있습니다. 많은 시스템이 취약하고 쉽게 공격을 받기 때문에 해커가 활용하기 좋은 시대입니다. 방법과 도구가 너무 많습니다! 여기서는 일반적으로 사용되는 침입 공격 방법에 대해서만 설명합니다. 서비스 거부 공격 서비스 거부(DoS)는 가장 오래되고 가장 일반적인 공격 형태 중 하나입니다. 엄밀히 말하면 서비스 거부 공격은 특정한 공격 방법이 아니라, 공격의 결과로, 궁극적으로 대상 시스템이 어느 정도의 손상으로 인해 정상적인 서비스를 계속 제공할 수 없게 되고, 심지어 물리적인 손상까지 초래하게 되는 것입니다. 또는 붕괴. 구체적인 운영 방식은 다양할 수도 있고, 단일 방식일 수도 있고, 여러 방식을 조합한 방식일 수도 있습니다. 결과는 동일합니다. 즉, 합법적인 사용자가 필요한 정보에 접근할 수 없습니다. 서비스 거부 공격은 일반적으로 두 가지 유형으로 나눌 수 있습니다. 첫 번째는 시스템이나 네트워크를 비활성화하는 것입니다. 공격자가 불법 데이터나 패킷을 전송하면 시스템이 중단되거나 다시 시작될 수 있습니다. 본질적으로 공격자는 누구도 리소스를 사용할 수 없었기 때문에 서비스 거부 공격을 수행했습니다. 공격자의 관점에서 볼 때, 공격의 흥미로운 점은 적은 수의 패킷만 전송하여 시스템에 액세스할 수 없게 만드는 것이 가능하다는 것입니다. 대부분의 경우 시스템을 다시 온라인으로 전환하려면 관리자가 개입하여 시스템을 재부팅하거나 종료해야 합니다. 따라서 이러한 유형의 공격은 가장 파괴적입니다. 조금만 하면 공격이 중단될 수 있지만 복구하려면 사람의 개입이 필요하기 때문입니다. 두 번째 유형의 공격은 시스템이나 네트워크에 대량의 정보를 전송하여 시스템이나 네트워크가 응답할 수 없게 만드는 것입니다. 예를 들어, 시스템이 1분에 100개의 데이터 패킷을 처리할 수 없는데 공격자가 1분마다 1,000개의 데이터 패킷을 시스템에 보내는 경우, 합법적인 사용자가 시스템에 연결하려고 할 때 시스템에 액세스할 수 없게 됩니다. 자원이 부족합니다. 이 공격을 수행하려면 공격자는 시스템에 지속적으로 패킷을 보내야 합니다. 공격자가 시스템에 대한 패킷 전송을 중단하면 공격이 중단되고 시스템은 정상으로 돌아갑니다. 이 공격 방법은 지속적으로 데이터를 보내야 하기 때문에 공격자 입장에서는 많은 노력이 필요하다. 때때로 이러한 공격으로 인해 시스템이 다운될 수 있지만 대부분의 경우 시스템을 복원하는 데는 약간의 인간 개입만 필요합니다. 두 공격 모두 로컬 시스템이나 네트워크를 통해 수행될 수 있습니다. ※ 서비스 거부 공격 유형 1 Ping of Death TCP/IP 사양에 따르면 패킷의 최대 길이는 65536바이트입니다. 패킷의 길이는 65536바이트를 초과할 수 없지만, 패킷을 분할하는 여러 조각의 중첩은 가능합니다. 호스트가 65536바이트보다 긴 길이의 패킷을 수신하면 Ping of Death 공격을 받게 되어 호스트가 충돌하게 됩니다. 2 티어드롭 IP 데이터 패킷이 네트워크를 통해 전송될 때 데이터 패킷은 더 작은 조각으로 나눌 수 있습니다. 공격자는 두 개 이상의 패킷을 전송하여 TearDrop 공격을 구현할 수 있습니다. 첫 번째 패킷의 오프셋은 0이고 길이는 N이며, 두 번째 패킷의 오프셋은 N보다 작습니다. 이러한 데이터 세그먼트를 병합하기 위해 TCP/IP 스택은 비정상적으로 많은 양의 리소스를 할당하므로 시스템 리소스가 부족하고 시스템이 다시 시작되기도 합니다. 3 Land 공격자는 패킷의 소스 주소와 대상 주소를 대상 호스트의 주소로 설정한 후 IP 스푸핑을 통해 공격 대상 호스트로 패킷을 보냅니다. 이러한 종류의 패킷은 공격 대상 호스트가 연결을 시도하도록 할 수 있습니다. 그리고 무한 루프에 빠지게 되어 시스템 성능이 크게 저하됩니다. 4 Smurf 이 공격은 특정 요청(예: ICMP 에코 요청)이 포함된 패킷을 서브넷의 브로드캐스트 주소로 보내고 소스 주소를 공격할 호스트 주소로 위장합니다. 서브넷의 모든 호스트는 브로드캐스트 패킷 요청에 응답하고 공격받은 호스트에 패킷을 보내 호스트가 공격을 받게 됩니다. 5 SYN 플러드 이 공격은 여러 개의 임의 소스 호스트 주소를 사용하여 대상 호스트에 SYN 패킷을 전송하지만 대상 호스트로부터 SYN ACK를 받은 후 응답하지 않습니다. 이러한 방식으로 대상 호스트는 이러한 소스에 대해 많은 수의 연결 대기열을 설정합니다. 게다가 호스트는 ACK가 수신되지 않았기 때문에 이러한 대기열이 유지되어 리소스를 많이 소비하고 정상적인 요청에 대한 서비스를 제공할 수 없게 되었습니다. 6 CPU Hog는 시스템 리소스를 고갈시켜 NT를 실행하는 컴퓨터를 마비시키는 서비스 거부 공격입니다. 이 공격은 Windows NT가 현재 실행 중인 프로그램을 예약하는 방식을 이용합니다. 7 Win Nuke는 대상 호스트에 대한 서비스 거부를 목표로 하는 네트워크 수준 공격입니다. 공격자는 피해자 호스트의 포트 139인 netbios로 대량의 데이터를 전송한다. 이 데이터는 대상 호스트에 필요하지 않기 때문에 대상 호스트에 충돌이 발생합니다. 8 RPC Locator 공격자는 텔넷을 통해 피해 머신의 포트 135에 접속해 데이터를 전송함으로써 CPU 자원을 완전히 소모시킨다. 프로그램 설정과 실행 중인 다른 프로그램의 존재 여부에 따라 이 공격으로 인해 피해자의 컴퓨터가 느려지거나 응답이 중단될 수 있습니다. 두 경우 모두 컴퓨터를 정상 작동 속도로 되돌리려면 재부팅이 필요합니다. ※ 분산 서비스 거부 공격 분산 서비스 거부 공격(DDoS)은 공격자가 자주 사용하는 공격 방법으로 예방이 어렵습니다.

DDoS 공격은 전통적인 DoS 공격을 기반으로 한 공격 유형입니다. 단일 DoS 공격은 일반적으로 일대일 접근 방식을 채택합니다. 공격 대상의 CPU 속도가 낮거나 메모리가 작거나 네트워크 대역폭이 작은 경우 성능 지표가 높지 않으며 그 효과가 분명합니다. 컴퓨터와 네트워크 기술의 발전으로 컴퓨터의 처리 능력이 급속도로 증가하고, 메모리도 크게 늘어났으며, 기가비트 수준의 네트워크도 등장해 DoS 공격이 더욱 어려워지고, 악성 공격 패킷에 대한 표적의 '소화 능력'도 높아졌다. 예를 들어 공격 소프트웨어는 초당 3,000개의 공격 패킷을 보낼 수 있지만 내 호스트와 네트워크 대역폭은 초당 10,000개의 공격 패킷을 처리할 수 있으므로 공격은 효과가 없습니다. 따라서 분산 서비스 거부 공격 방법(DDoS)이 등장했습니다. 한 대의 공격 항공기로 공격하는 것이 더 이상 작동하지 않으면 공격자는 10, 100... 공격 항공기를 사용하여 동시에 공격합니다. DDoS는 더 많은 퍼펫 머신을 사용하여 이전보다 더 큰 규모로 공격을 시작하고 피해자를 공격합니다. 또한 고속으로 광범위하게 연결된 네트워크는 DDoS 공격에 매우 유리한 조건을 만듭니다. 저속 네트워크 시대에는 해커가 공격에 사용되는 꼭두각시 머신을 점유할 때 라우터를 통과하는 홉 수가 적고 효과가 좋기 때문에 항상 대상 네트워크에 가까운 머신에 우선 순위를 두게 됩니다. 요즘 통신 백본 노드 간의 연결은 모두 G 레벨이며, 대도시 간에는 2.5G 연결이 가능하므로 더 먼 곳이나 다른 도시에서 공격이 시작될 수 있으며 공격자의 퍼핏 머신의 위치가 분산될 수 있습니다. 더 넓은 영역에 걸쳐 선택이 더욱 유연해집니다. 비교적 완전한 DDoS 공격 시스템은 네 부분으로 나뉩니다. 공격자의 기계 제어 기계(인형 기계를 제어하는 ​​데 사용됨) 인형 기계의 피해자는 먼저 가장 중요한 제어 기계와 인형 기계를 살펴봅니다. 이들은 제어에 사용됩니다. 그리고 실제 공격이 시작됩니다. 피해자의 경우 실제 DDoS 공격 패킷은 공격 인형기에서 전송되며, 제어 장치는 명령만 내리며 실제 공격에는 참여하지 않습니다. 해커는 제어 기계 및 인형 기계를 제어하거나 부분적으로 제어하고 해당 플랫폼에 해당 DDoS 프로그램을 업로드합니다. 이러한 프로그램은 일반 프로그램처럼 실행되며 해커의 지시를 기다립니다. 일반적으로 그들은 다른 사람으로부터 자신을 숨기기 위해 다양한 수단을 사용하기도 합니다. 평소에는 이러한 인형 기계에 특별한 일이 없지만, 일단 해커가 접속하여 이를 제어하고 명령을 내리면 인형 기계를 공격하는 것이 다른 사람에게 위협이 되어 공격을 하게 됩니다. "왜 해커는 꼭두각시 기계를 제어하는 ​​대신, 꼭두각시 기계를 직접 제어하고 공격하지 않습니까?" 이것이 DDoS 공격을 추적하기 어려운 이유 중 하나입니다. 공격자의 관점에서 볼 때 그는 확실히 잡히기를 원하지 않으며 공격자가 사용하는 인형 기계가 많을수록 실제로 피해자에게 더 많은 분석 기반을 제공합니다. 높은 수준의 공격자는 머신을 점유한 후 먼저 두 가지 작업을 수행합니다. 1. 백도어를 유지하는 방법에 대해 생각합니다. 2. 로그를 정리하는 방법에 대해 생각합니다. 이는 발자국을 닦아 다른 사람들이 당신이 한 일을 알아채지 못하게 하기 위한 것입니다. 비교적 후배 해커들은 상황에 관계없이 모든 로그를 삭제하지만 네트워크 관리자는 로그가 사라진 것을 발견하면 누군가 나쁜 짓을 했다는 것을 알게 될 것이고 기껏해야 누가 그랬는지 알 수 없을 것이다. 로그. 반대로, 진짜 전문가들은 비정상적인 상황을 누구도 볼 수 없도록 자신과 관련된 로그 항목을 선택하고 삭제합니다. 이를 통해 인형 기계를 오랫동안 사용할 수 있습니다. 그러나 공격 인형극 시스템에서 로그를 정리하는 것은 실제로는 큰 프로젝트입니다. 좋은 로그 정리 도구의 도움에도 불구하고 해커는 이 작업에 여전히 어려움을 겪고 있습니다. 이로 인해 깨끗하지 않은 일부 공격 시스템이 발생했으며 이를 제어하는 ​​상위 컴퓨터는 그에 대한 단서를 통해 찾을 수 있습니다. 그러나 이것이 통제를 위한 꼭두각시 기계라면 해커 자신은 여전히 ​​안전하다. 제어되는 인형 기계의 수는 상대적으로 적습니다. 일반적으로 하나의 기계로 수십 대의 공격 기계를 제어하는 ​​것이 해커가 한 컴퓨터의 로그를 정리하는 것이 훨씬 쉽고 제어 기계에서 해커를 찾을 가능성도 크게 줄어듭니다. ※ 서비스 거부 공격 도구인 Targa는 8가지의 서비스 거부 공격을 수행할 수 있으며 작성자는 Mixter이며 [url][/url] 및 [url]www.rootshell.com[/에서 다운로드할 수 있습니다. url] 웹사이트. Mixter는 독립적인 DOS 공격 코드를 모아 사용하기 쉬운 프로그램을 만듭니다. 공격자는 단일 공격을 수행하거나 성공할 때까지 모든 공격을 시도하도록 선택할 수 있습니다. FN2K DDOS 도구. 트라가의 향상된 프로그램이라고 볼 수 있습니다. TFN2K는 Traga와 동일한 DOS 공격을 실행하며 5개의 추가 공격이 있습니다. 또한 이는 DDOS 도구입니다. 즉, 인터넷상의 여러 컴퓨터가 한 대의 컴퓨터와 네트워크를 동시에 공격할 수 있는 분산 모드에서 실행될 수 있습니다. Trinoo DDOS 도구는 출시된 최초의 주류 도구이므로 기능이 TFN2K만큼 강력하지 않습니다. 트리누는 TCP와 UDP를 사용하므로 기업이 스캐너를 이용해 정상적으로 포트를 확인한다면 공격 프로그램을 쉽게 탐지할 수 있다.

Stacheldraht Stacheldraht는 TFN의 기능을 trinoo와 결합하고 구성 요소 간의 암호화된 통신 및 자동 업데이트 데몬과 같은 몇 가지 보완 기능을 추가하는 또 다른 DDOS 공격 도구입니다.