Network 계열 공격 - 인증 우회 기법

인증 우회

---

01. IP Spoofing

IP Spoofing

• 개념 : 공격자가 자신의 IP 주소를 다른 IP 주소로 위조하여 인증을 우회하는 공격
• 특징
  • Server와 Client의 신뢰 관계 이용
  • 대상을 Dos 공격으로 동결 시킨 후 공격 수행 → 대상이 RST 패킷을 못 수행하도록 사전 조치
  • 대상 대신 ACK 패킷으로 세션 연결
  • Blind Attack : TCP 시퀀스 번호를 모르고 공격하는 방식
• 대응법
  • uRPF 구성 : 패킷 수신 시 출발지 IP 주소 도달성 확인 후 검증 되지 않으면 차단(역방향 추적)
  • Ingress 필터링 : 인터넷 상에서 사용되지 않는 IP 대역은 들어오지 못하게 차단

 

02. TCP 세션 하이재킹

TCP 세션 하이재킹

• 개념 : TCP 세션 식별 정보를 공격자가 위조하여 세션을 탈취하는 공격
• 특징
  • 공격자가 TCP 세션 식별자들을 스니핑하는 전제 → 사전에 ARP 스푸핑 등으로 사전 공격
  • 공격자는세션이 완전히 끊어지지 않는 Seq Number 범위의 Rst 패킷을 보낸 후 스니핑 한 Seq Number를 활용해 클라이언트인 척 3-Way Handshake 맺음
  • 서버는 네트워크 상태로 인한 잠시동안의 연결 오류로 받아들이고 사전에 인증 된 클라이언트라서 별도 의심 없이 세션 연결 허용
  • 공격자가 새로운 세션을 맺는 동안 Client와 Server는 서로 Seq Number와 Ack Number가 불일치함을 재확인하는 ACK 패킷 전송 과정이 반복 발생 → ACK Storm 현상
• 대응법
  • ACK Storm 트래픽 탐지
  • 시퀀스 넘버를 탈취 할 수 없도록 암호화 데이터 전송
  • 재연결 시도 시 재인증 하도록 설정