정보보호개론 7주차

TCP 프로토콜 - 세그먼트 전송 실패 시 재전송 요청으로 오류를 복구하기 때문에 신뢰성

- IP 프로토콜이 전달하는 패킷 재조합->세그먼트 생성

- 연결 지향적인 프로토콜이다.(Connection-oriented)

-> 송수신 통신이 둘 사이 연결이 맺어지고 통신이 끝날때까지 연결 지속

UDP 프로토콜 - 비연결 지향

- 연결 맺고 끊는 복잡한 과정이 있지만 TCP보다 빠르다

 

연결지향적인 TCP는 3-way Handshacking으로 통신 시작

1. 송신자 : 요청 SYN패킷(동기화) 보냄

2. 수신자 : 송신 요청 승인하는 SYN+ACK패킷(동기확+수락) 패킷 보냄

3. 송신자 : 수신 패킷 확인했다는 의미로 ACK패킷 보냄

-> 연결 생성 상태가 된다.

 

실제 메세지가 오가는 2-way방식

- 흐름제어(Flow Control) : 수신자 ACK 패킷을 일정 시간 송신자가 못받은 경우

1. 송신자는 수신자에게 다시 메세지 전송

2. TCP 헤더 정보(순서 번호) 이용, 슬라이딩 윈도우 기법으로 처리

 

TCP 종료 4-way 방식

1. 송신자 : 수신자에게 연결 끊고자 FIN(종료)패킷 보냄

2,3. 수신자 : ACK패킷과 FIN패킷을 각각 보낸다.(종료 요청 확인 과 동시에 자신도 연결 종료 요청)

4. 송신자 : 수신자 종료 패킷 확인으로 CK 패킷 보냄

-> 연결 닫힘 상태로 변경

 

TCP 포트 - 단말기 내에서 사용되는 주소

 

보안 공격

- 능동적 공격 : 직접적 피해 O, 탐지 쉬움

ex) DDos, Dos

- 수동적 공격 : 직접적 피해 X, 탐지 어려움

ex) 스니핑, 도청

 

스니핑(도청)

1. 허브환경에서 스니핑 (1계층에서 공격)

허브 : 더미 허브 or 수동 허브

- 일종의 리피터 장비 : 입력으로 전달받은 패킷을 나머지 모든 포트로 단순히 전달

- 운영체제상 다른 PC로 전달되는 패킷 무시(네트워크 카드NIC의 세팅)

-> 네트워크 카드를 무차별 모드로 설정 : 나의 MAC 주소 아닌 패킷도 전달 받음 (허브 환경에서 스니핑 가능)

2. 스위치 환경에서 스니핑 (2계층에서 공격)

스위치 : MAC주소를 이용해 패킷을 해당 목적지로만 전달 (무차별 모드로 세팅해도 스니핑 불가능)

1) 모니텅링 포트 사용 시 스니핑 가능 // 물리적 개념

-> 모니터링 포트는 스위치 통과하는 모든 패킷 내용을 전달하는 포트

-> 정상적 관리 목적으로 사용하기 위해 네트워크 장비 자체가 제공

=> 물리적으로 스위치에 접근 가능 (모니터링 포트를 통해 스니핑 가능)

2) 스위치 재밍을 이용 : 스위치가 공격을 받아 더미 허브와 같은 동작을 하게 되는 것

-> 모든 사용자에게 패킷을 전송하게 만드는 방법

재밍 : 전파 방해

- 매핑 테이블 최대 저장 개수보다 더 많은 정보 추가 -> 브로드 캐스팅 모드로 동작

- 매핑 테이블 : IP 주소를 MAC주소로 변환하기 위해 내부적으로 관리하는 테이블

- 브로드캐스팅 모드 : 자신이 전달받은 모든 패킷을 연결된 단말기에 전달(더미 허브처럼 동작)

3) 스푸핑 공격 기법 : 공격자가 마치 수신자 처럼 위장하는 기법 (능동적 공격)

 

스니핑 방지 대책 : 암호화

- 스니핑에 가장 효과적인 대처 방안

- 웹 환경의 HTTPS (Hypertext Transfer Protocol over Secure Socket Layer)

- 이메일 환경의 PGP, S/MIME 

- 원격 접속을 위한 SSH

- VPN(Virtual Private Networks) : 사설 가상망

-> Remote Access VPN : 두 종단 각각에서 VPN 장비로 접속

=> PC(지사)->VPN장비(지사)->인터넷->VPN장비(본사)->서버(본사)

-> Dial-up VPN : 인터넷에서 직접 VPN 장비로 접속

=> PC(인터넷)->인터넷->VPN장비(본사)->서버(본사)

스니핑 방지 대책 : 암호화 외

- 스위치 정적 매핑 테이블 사용 (연결 PC MAC주소 미리 조사, IP 주솟값 고정)

 

스니핑 탐지 방법

- 명령어 ping을 이용 : 존재하지 않는 IP 주소에 대한 요청에도 응답이 오는지 (원래 안옴)

-> 무차별 모드가 켜져있으면 응답이 온다.

- DNS 방법 : ping 방식같이 IP에 대한 도메인 이름 물어보는 요청 확인

-> 원격 네트워크에도 사용 가능(ping 방식은 로컬 네트워크)

- 호스트 기반 탐지 도구 ifconfig, promiscdetect

- 네트워크 기반 탐지 도구 : ARP watch