티스토리시작

• 삽입(Injection)

oSQL 삽입 공격 :

-SQL문이 결과적으로 참이 될 수 있다면 SQL삽입공격에 사용되는 SQL문은 무엇이라도 상관없음.

-이러한 SQL삽입 공격은 로그인 뿐만 아니라 웹에서 사용자의 입력값을 받아 데이터베이스에 SQL문으로 데이터를 요청하는 모든 곳에 가능.

-방어법 : 사용자가 입력창을 통해서 SQL문을 완성하여 데이터베이스에 전송할 때 이입력값중에 특수문자가 존재하는지 여부를 필터링하는 것.

 

• Cross-Site Scripting(XSS)

o웹 어플리케이션을 이용하여 다른 사용자에게 악성 코드를 보내는 데 사용

o대처방안 : 어플리케이션 차원에서 HTTP헤더, 쿠키, 쿼리 스트링, 폼필드, 히든 필드 등의 모든 인자들에 대해 허용된 유형의 데이터만을 허용하도록 한다.

o대처방안 : 어플리케이션 차원에서 HTTP헤더, 쿠키, 쿼리 스트링, 폼필드, 히든 필드 등의 모든 인자들에 대해 허용된 유형의 데이터만을 허용하도록 한다.

• CSRF(Cross Site Request Forgery 크로스 사이트 요청 변조)

oXSS에서 변형된 것으로 Javascript를 사용할 수 없는 상태에서도 공격이 가능하다.

사이트에서 제공하는 기능을 피해자의 웹브라우저에서 요청시키도록 하는 공격이다. 공격자의 악성코드를 읽은 피해자는 요청을 서버로 보내게 되고, 서버는 피해자의 권한으로 요청에 대한 처리를 하게 된다.

oCSRF공격의 예

-댓글 자동달기, 자동 친구등록, 자동회원정보변경, 도토리 자동기부

o방어법

-XSS와 동일하며 웹 클라이언트로부터 전달되는 세션토큰의 여부를 확인해야 하며, 단순히 세션토큰만을 이용한 권한 부여를 금지해야 한다. 즉, 중요정보를 변경할 경우에는 eamil이나 sms와 같은 방법을 이용해 재인증을 요구해야 한다.

* 전송 계층 프로토콜(Transport Layer Protocol)

- 서로 다른 호스트에서 동작하는 애플리케이션 프로세스 간의 논리적 통신(Logical Communication)을 제공하지만, Network Layer Protocol은 호스트 사이의 논리적 통신을 제공한다.

* 계층 별 패킷(Packet)을 일컫는 말

- 세그먼트(Segment) : 전송 계층

- 데이터그램(Datagram) : 네트워크 계층

- 데이터프레임(Data Frame) : 링크 계층

* 다중화(Multiplexing) & 역다중화(Demultiplexing)

- 다중화 : 세그먼트 데이터를 올바른 소켓으로 전달하는 작업.

- 역다중화 : 세그먼트를 생성하기 위해 각 데이터를 헤더 정보로 캡슐화하고,

그 세그먼트들을 네트워크 계층으로 전달하는 작업.

UDP

* UDP(User Datagram Protocol)

- L4에서 제공해야할 최소한의 서비스. 즉, 프로세스 대 프로세스 데이터 전달과 오류 검출만을 제공하는

비연결형 전송 프로토콜.

* UDP의 특징

- 비연결형

- UDP가 제공하는 두 가지 서비스(최소한의 두 가지 전송 계층 서비스)

1. 프로세스 대 프로세스 데이터 전달.

포트 - 프로세스 매핑, 두 개의 포트 정보(근원지, 목적지)를 통해 소켓 식별.

2. 오류 검출 : 헤더에 오류 검출 필드를 포함함으로써 무결성 검사를 제공.

- Way HandShake 같은 연결 설정이 없다.

- 연결 상태가 없다. 따라서 패킷 오버헤드가 적다. (세그먼트 당 8byte)

- DNS, NFS, SNMP, RIP 등이 사용.

- 세그먼트 구조 : 포트번호(근원지, 목적지), 길이, checksum | payload

- 잘 알려진 포트(well-known port) : 0 ~ 1023 | HTTP : 80, FTP : 21

TCP

* TCP(Transmission Control Protocol)

- UDP가 제공하는 서비스 뿐 아니라 신뢰성 있는 데이터 전달과 흐름 제어 및 혼잡 제어를 지원하는

L4의 연결 지향형 프로토콜

* TCP의 특징

- 연결 지향형(실제로 연결된 것은 아니기에 이런 애매모호한 말을 사용)

- TCP가 제공하는 서비스(UDP가 제공하는 서비스 더하기)

1. 신뢰적인 데이터 전달

2. 흐름 제어(Flow Control : 수신자 버퍼 오버플로우 방지)

혼잡 제어(Congestion Control : 네트워크 내의 패킷 수가 과도하게 증가하는 현상 방지)

- 두 개의 포트 정보(근원지, 목적지)와 두 개의 IP 정보(근원지, 목적지)를 통해 소켓 식별

- Packet Overhead : 20byte

- 대부분의 L7 프로토콜(HTTP, FTP, SMTP, Telnet 등)이 사용.

- 전이중(Full-Duplex), 점대점(Point to Point) 서비스.

- 통신 시작 : 3 way handshake, 통신 종료 : 4 way handshake

☐ 스니핑이란

• 사전적인 의미는 ‘코를 킁킁거리다’. 실제로는 네트워크 상에서 자신이 아닌 다른 상대방의 패킷 교환을 엿듣는 것을 의미. 이러한 스니핑을 가능하게 해주는 도구들을 스니퍼 Sniffer 라고 함.

• TCP/IP 프로토콜은 학술적인 용도로 인터넷 초창기 이전부터 설계된 프로토콜이기 때문에 보안은 크게 고려하지 않고 시작되었음. 스니핑은 이러한 보안의 기본 요소 중 기밀성을 해치는 공격 기법

☐ 스니핑의 방어

• SSL 적용

o HTTP, IMAP, POP, SMTP, Telnet 등은 SSL을 적용하여 HTTPS, IMAPS, POPS, SMTPS, Telnets 등으로 사용 가능.

o 사용자 이름, 패스워드 및 전자 상거래 결재 정보 등 웹 서핑의 내용을 암호화 할 수 있음

• PGP, S/MIME

o SMTP 상으로 보내지는 메일은 기본적으로 암호화되지 않기 때문에 스니핑하여 그 내용 쉽게 얻어낼 수 있음.

o PGP, S/MIME 등을 이용해 메일에 대한 암호화 기능 제공

• SSH

o 암호화 통신 제공해 Telnet, FTP, RCP, Rlogin 등을 대치 가능

• 사설망 혹은 가상사설망 VPN

o 스니핑이 우려되는 네트워크 상의 전용선으로 직접 연결해 중간에 도청되는 것을 막는 사설망. 하지만 거리가 멀어질수록 비용 높아짐

o 일반 인터넷 회선 이용해 사설망의 효과 내는 것이 VPN.

☐ 스푸핑이란

• 사전적인 의미는 '속이다'.

     • IP주소, 호스트 이름, MAC 주소 등을 속이는 공격

     • 범위 : 인터넷이나 로컬에 존재하는 모든 연결에 스푸핑이 가능

     • 종류 : MAC, IP, DNS, ARP Spoofing

     • IP 충돌 문제 역시 고의가 아닌 IP스푸핑일 경우도 있음

     • Sniffing 시 사용됨

     • Tools : MAC Address Change, Winarp_sk, Win_dnsspoof

☐ 스푸핑의 방어

• 윈도우키 + R 키를 누르시면 실행창이 뜹니다

       거기서 cmd 라고 치시면 도스창이 뜨게 되는데요

       ipconfig 라고 입력하시면

       Connection-specific DNS Suffix . :

       IP Address. . . . . . . . . . . . : 192.168.0.9

       Subnet Mask . . . . . . . . . . . : 255.255.255.0

       Default Gateway . . . . . . . . . : 192.168.0.2

       이런 화면이 나옵니다.

       arp -a 라고치시면 밑에 화면이 나오게 되구요

       Interface: 192.168.0.9 --- 0x2

       Internet Address Physical Address Type

       192.168.0.2 00-06-c4-04-00-d8 dynamic

       위에 ipconfig 라고 치신거에서 Default Gateway . . . . . . . . . : 192.168.0.2<-- 이부분           이 디폴트 게이트 웨이라는 곳인데요.. 이것을 arp 테이블에 고정적 주소로 넣어주시                 면 arp 스푸핑 공격에서 안전하실 수 있습니다.

       넣는법은

       arp -s 192.168.0.2 00-06-c4-04-00-d8 라고 치시면

       192.168.0.2 00-06-c4-04-00-d8 static 이렇게 dynamic-> static 으로 변경됩니다..

       이제 어떤상대가 스푸핑 공격으로 패킷을 날려도 공격이 먹혀들지 않습니다..

방화벽

- 네트워크 packet에서 3계층과 4계층을 기반으로 IP와 Port 정보를 기반으로 방어를 하는 개념

IDS,IPS

- 3계층부터 7계층 까지의 packet 내용을 문자열 비교에 의해 침입 시도를 감시하고 차단하는 역할

웹방화벽

- 7계층 중에서 http 의 내용만을 문자열에 비교에 의해 침입 시도를 감시하고 차단하는 역할

---------

분명한 차이점은,

문자열을 비교할 때 비교하는 DATA의 종류가 다르다는것 이다.

IDS,IPS에서 검사하는 문자열은 Application Layer 에 쌓여있는 상태의 DATA이고

웹 방화벽 에서는 Application 에서 직접 사용하게 되는 풀려진 상태의 DATA 문자열을 비교하게 되는 것이다.

자세히 말하면 Application Layer에서 암호화된 DATA를 IDS,IPS 에서는 기존의 문자열 비교를 통해서는 침입패턴을 검출해 낼수 없다는 것이다. 하지만 웹 방화벽에서는 이미 하위 Layer 에서 복호화를 마친 DATA를 문자열 비교를 하기 때문에 침입 패턴을 검출해 낼수 있게 되는 것이다. 웹 방화벽은 HTTP프로토콜만을 감시하기 때문에 단순한 문자열 비교만을 이용한 침입패턴 탐지가 아닌 HTTP의 프로토콜 속성 값을 통해서 효율적인 방어를 할수 있다.
 

<기타 정리>

IPS,IDS 는 Dos나 DDos를 탐지 및 차단을 하고 방화벽은 일부지원한다고 한다.

IPS,IDS 는 바이러스나 웜은 탐지 및 차단이 가능하고 방화벽은 불가능 하다.

IDS와 IPS 구분 

- IDS : 탐지 대상 시스템이나 네트워크를 감시하여 비인가 되거나 비정상적인 행동을 탐지하여 구별

IDS 한계성 : 1. 침임에대한 자동 대응

                   2. 근원적인 차단

                   3. 우회공격기법 증가

- IPS : IDS와 마찬가지로 네트워크 트래픽을 감시, 위협을 인지한 후 이에 즉각적인 대응을 위한 네으워크 보안기술
IDS : 탐지
IPS : 방지
 

비슷한 장비이지만 약간의 차이가 있다.

1. 버퍼 오버플로우 공격

 버퍼(Buffer)에 일정 크기 이상의 데이터를 입력하여 프로그램을 공격하는 하는 방식을 말한다.

2. 스택 버퍼 오버플로우 공격

 입력 값을 확인하지 않는 입력 함수에 정상적인 크기보다 큰 입력 값을 입력하여 RET 값을 덮어 씌움으로써 임의의 코드를 실행하는 공격을 스택 버퍼 오버플로우 공격이라 한다.



3. segmentation fault 란 무엇인가?

 공격을 하기전에 무작위로 값을 많이 입력해본다. 그러면 여러분은 segmentation fault가 출력되는 것을 볼 수가 있다. 이는 나중에 실습화면에서도 확인할 수 있을 것이다. 이는 프로그램의 ret 주소가 변조 되었음을 나타내는 것이다. 이 오류를 통해 ret주소의 위치를 역으로 확인이 가능해진다. 따라서, segmentaion fault가 발생했다면, 스택 버퍼 오버플로우 공격이 가능함을 말한다.



4. 힙 퍼퍼 오버플로우 공격

힙에 저장되는 데이터를 변조하거나, 함수에 대한 포인터 값을 변조함으로써 ret값을 변조하여 임의의 코드를 실행하기 위한 공격을 말한다.
 

5. 버퍼 오버플로우 공격에 취약한 함수

 - strcpy(char *dst, const char* src)

- strcat (char *dst, const char* src)

 - getwd(char * buf) , gets( char* s)

 - fscanf(FILE *stream, const char *format,..)

 - scanf(const char *format,...)

 - realpath( char *path, char resolved_path[])

 - sprintf( char *str, const char *format)



 6. RTL(Return to libc) 공격

 스택에 있는 ret 주소를 실행 가능한 임의의 주소로 돌력 원하는 함수를 수행하도록 만드는

 기법을 말한다.



 7. 보안 방안

 버퍼오버플로우가 일어나는 이유는 버퍼의 크기를 검사하지 않아서 일어나게 된다. 따라서 프로그래머의 경우는 버퍼의 크기를 체크하는 함수(strncpy)를 사용하여 프로그래밍을 하도록하며 OS내부적으로 버퍼오버플로우를 일으키는 취약점이 존재한다. 따라서 보안패치를 바로바로 하여 이러한 취약점을 이용한 버퍼오버플로우 공격에 당하지 않도록 한다.

<Active Mode>

Command Port는 클라이언트가 서버로 접속하고, Data Port는 서버가 클라이언트로 접속

 

동작 순서

1. 클라이언트에서 서버의 21번 포트(Command Port)로 접속 후,
   클라이언트가 자신의 포트 번호(1023 보다 큼)보다 1 값이 큰 포트 번호를 서버에 알려줌
   
   
2. 서버에서는 ack 로 응답
   
   
3. 서버의 20번 포트(Data Port)에서 클라이언트가 알려준 포트로 접속
   
   
4. 클라이언트가 ack 로 응답

기타

서버가 방화벽 안에 있다면 방화벽 설정에 아래의 port 가 허용 되어야 한다.
  - port 21 Inbound (Command Port) 사용 허용
  - port 20 Outbound (Data Port) 사용 허용

클라이언트가 방화벽 안에 있을 경우, 서버에서 클라이언트로의 접속이 차단될 수 있다.

<Passive Mode>

특징

Command Port 와 Data Port 모두 클라이언트가 서버로 접속

 

동작 순서

1. 클라이언트가 서버의 21번 포트(Command Port)로 접속
   
   
2. 서버는 서버에서 사용할 Data Port 를 클라이언트에게 응답으로 알려줌
   
   
3. 클라이언트는 다른 포트를 열어 서버가 알려준 Data Port 로 접속
   
   
4. 서버가 ack 로 응답

기타

서버가 방화벽 안에 존재한다면,
서버에서 사용할 수 있는 Data Port(1024 ~ 65535 또는 FTP 서버에서 설정한 포트 범위) 를 방화벽에서 허용해야 함

[출처] FTP의 Active Mode 와 Passive Mode|작성자 후리랜서