IT System Management/Security

네트워크/애플리케이션 공격 유형 정리

iseop 2022. 3. 27. 00:29

네트워크 공격 유형

수동적 공격

  • Switch Jamming(MAC Address Flooding): 스니핑을 위해 스위치의 MAC 테이블을 채워 스위치가 허브처럼 동작하도록 함
  • TCP Full Open Scan(Connect Scan): 포트가 열린 경우 SYN+ACK가 돌아옴을 이용한 스캔
  • TCP Half Open Scan(SYN Scan): Full Open Scan 중 SYN+ACK 수신 후 바로 RST를 전송하여 추적 회피
  • TCP NULL/FIN/XMAS Scan: 포트가 열린 경우 응답이 없음을 이용한 스캔
  • TCP ACK Scan: 대상 방화벽이 stateful한지, 대상 포트가 방화벽에 의해 필터링 되는지 여부를 파악

능동적 공격

  • ARP Redirect: 공격자가 게이트웨이 MAC을 위조하여 ARP Reply를 네트워크에 broadcast
  • ARP Spoofing: 공격자가 특정 호스트 MAC을 위조하여 ARP Reply
  • IP Spoofing: 패킷의 source를 다른 호스트 주소로 설정하여 전송 
  • ICMP Redirect: 공격자가 희생자에게 ICMP Redirect를 전송하여 패킷을 가로챔
  • Ping of Death: 큰 ICMP 패킷을 전송하여 부하 유발
  • Smurf(ICMP Flooding): 희생자 주소를 source로 한 echo reqeust를 directed-broadcast하여 부하 유발
  • Teardrop: 두 개로 단편화된 패킷을 보내는데, 두 번째 단편화 패킷의 크기를 매우 작게 하여 오작동 유발
  • Bonk/Boink: 실제 단편화 패킷보다 큰 fragment offset 값을 전송하여 오작동 유발
    • Bonk/Boink에 대한 설명이 국내 자료/정보보안기사 교재와 해외 구글 검색 결과가 다릅니다.
    • 국내 교재에서는 "Bonk=TCP 세그먼트 시퀀스를 1로 조작, Boink=정상인 척 하다가 시퀀스를 조작"으로 설명되어 있습니다.
  • Land: Source와 destination이 같은 패킷을 전송하여 오작동 유발
  • SYN/ACK/FIN Flooding
  • TCP Flag Flooding: 다양한 flag를 가진 세그먼트를 전송하여 서버 부하 유발
  • TCP Connection Hijacking: HUNT/Juggernaut 활용
  • Fraggle(UDP Flooding)

애플리케이션 공격 유형

수동적 공격

  • Directory Listing
  • Fingerprinting
  • FTP Bounce: 익명 FTP 서버를 이용하여 내부 시스템을 스캔함

능동적 공격

  • DNS
    • DNS Spoofing
  • SSL/TLS
    • Poodle: SSL 3.0 사용을 유도한 MITM 공격
    • Logjam: DHE_EXPORT 취약점을 통한 MITM 공격
    • FREAK: MITM을 통해 약한 암호 스위트 사용을 강제함
  • Web/Database
    • GET/POST Flooding
    • GET Flooding with Cache Control
    • 동적 HTTP Request Flooding
    • Slow HTTP POST: 장시간에 걸쳐 POST 데이터를 분할 전송하여 DoS 유발
    • Slow HTTP Read: Window size를 작게 하여 DoS 유발
    • Slowloris: HTTP 헤더 정보를 누락한 채 전송하면 서버가 장시간 대기하게 되어 DoS 유발
    • HTTP Session Hijacking
    • Hash DoS
    • HULK DoS: URL을 변경해가며 GET Flooding 공격
    • SQL Injection
    • Cross Site Scripting
    • Cross Site Reqeust Forgery
  • VoIP
    • SIP Flooding
  • Ransomware
    • GandCrab
    • CLOP
  • 인증 우회
    • Pass the hash: mimikatz 활용하여 탈취한 NTLM/LANMAN 패스워드 해시를 통해 로그인
    • Credential Stuffing: 미리 확보한 크리덴셜(자격 증명)을 무작위 대입하여 계정을 탈취
  • DRDoS
    • 프로토콜 취약점을 악용한 분산 반사 서비스 거부 공격
    • 공격 도구: Trinoo, TFN, Stacheldraht, TFN2K
    • DNS 증폭 공격: ANY, TXT, 재귀 요청을 통해 많은 응답 패킷 생성을 강제
    • NTP 증폭 공격: monlist 요청을 통해 많은 응답 트래픽 생성을 강제
    • SNMP 증폭 공격: GetBulkRequest 요청을 통해 많은 응답 트래픽 생성을 강제
    • CHARGEN 증폭 공격: 접속 후 많은 문자열을 전송
  • ETC
    • 공급망 공격
    • 역직렬화 공격: Byte stream을 객체로 변환시키는 코드의 취약점을 악용
    • CryptoJacking

 

저작자표시 비영리 변경금지