Information Security

1. UDP Flooding 공격 1) 개요 - 공격자는 다량의 UDP 패킷을 서버로 전송하여 서버가 보유한 네트워크 대역폭을 소진시켜 다른 정상적인 클라이언트의 접속을 원할하지 못하도록 유발시키는 공격 2) 특징 - 53/udp(DNS서비스) 포트로 다량의 UDP 패킷이 타겟 서버로 발생(패킷 캡처 화면) 2. Trinoo 공격 1) 개요 - DDos 공격툴로 Attacker, Master, Agent로 공격네트워크를 구성하여 UDP Flooding 공격을 수행한다. - Attacker는 Master에게 접속하여 공격명령을 내리고 Master는 Agent에게 공격타겟에 대한 명령을 내리면 Agent는 해당 타겟에게 DDoS 공격을 수행한다.

1) 개요 - 악성 봇에 감염된 PC가 해커의 명령을 받기 위해 C&C 서버로 연결을 시도할 때 C&C 서버 대신 싱크홀 서버로 우회시켜 더 이상 해커로부터 조종/명령을 받지 않도록 해주는 서비스 2) 동작과정 ① KISA에서 배포한 C&C 목록을 ISP 등 DNS 싱크홀 적용기관의 DNS 서버에 업데이트 작업을 주기적으로 진행한다. ② 악성봇에 감염된 PC가 싱크홀이 적용된 DNS에 C&C서버에 대한 질의를 요청한다. ③ DNS는 악성봇 PC에 싱크홀 서버 IP 주소를 반환한다. ④ 이를 통해 악성봇 PC는 C&C 서버가 아닌 싱크홀 서버로 접속하여 공격자의 명령으로부터의 피해를 방지할 수 있다.

1) 개요 - IP 패킷의 재조합 과정에서 잘못된 fragment offset 정보로 인해 수신시스템이 문제를 발생하도록 만드는 DoS 공격을 말한다. - 공격자는 IP fragment offset 값을 중첩되도록 조작하여 전송하고 이를 수신한 시스템이 재조합하는 과정에서 오류가 발생, 시스템의 기능을 마비시키는 공격방식이다. 2) 대응책 OS의 보안패치를 하여 OS의 취약점을 해소한다.

1)개요 - 스머프 공격은 출발지IP를 희생자IP로 위조한 후 증폭 네트워크로 ICMP ECHO REQUEST를 브로드캐스트함으로써, 다수의 ICMP Echo Reply가 희생자에게 전달되어 서비스 거부를 유발시키는 공격기법이다. 2) 대응책 - 단시간에 다수의 ICMP Echo Reply패킷이 발생한다면 해당 패킷들을 침입차단시스템을 통해 모두 차단시킨다. - 증폭 네트워크로 사용되는 것을 막기 위해 다른 네트워크로부터 자신의 네트워크로 들어오는 DIrected Broadcast 패킷을 허용하지 않도록 라우터 설정을 한다. - 브로드캐스트 주소로 전송된 ICMP Echo Request 메시지에 대해 응답하지 않도록 시스템 설정을 한다.

1) 개요 - ICMP 패킷을 정상적인 크기보다 아주 크게 만들어 전송하면 MTU에 의해 다수의 IP 단편화가 발생하게 된다. > Ethernet의 경우 1500bytes, 즉 IP 패킷의 최대 크기가 1500bytes 이기 때문에 IP 헤더부(20bytes)를 제외하면 ICMP 패킷은 최대 1480bytes의 크기로 생성된다. - 수신측에서는 단편화된 패킷을 처리(재조합)하는 과정에서 많은 부하가 발생하거나, 재조합 버퍼의 오버플로우가 발생하여 정상적인 서비스를 하지 못하도록 한다. 2) 대응책 - 보통의 ICMP 패킷은 분할하지 않으므로 패킷 중 분할이 일어나 패킷을 공격으로 의심하여 탐지하도록 한다.

1) TCP Connect(Open) 스캔 ① OPEN 상태 : 타겟으로부터 SYN+ACK 응답이 오고 연결 완료 후 ACK를 보낸 후 RST+ACK를 전송하여 연결을 강제로 종료한다. ② CLOSED 상태 : 타겟으로부터 RST+ACK 응답이 온다. ③ 결과는 가장 정확하지만 연결 설정을 직접 수행하므로 시스템 로그가 남는다. 2) TCP SYN(Half-Open) 스캔 ① 기본적으로 관리자 권한을 가지고 있어야 SYN 스캔을 할 수 있다. ② 완전한 연결 설정 과정을 수행하지 않기 때문에 Half-Open 스캔이라 한다. 완전한 연결을 수행하지 않기 때문에 시스템 로그가 남지 않아 그 흔적을 알 수 없다는 의미로 Stealth Scan이라 한다. ③ OPEN 상태 : 타겟으로부터 SYN+ACK 응답이..

1) 개요 - 공격자가 희생자의 MAC 주소를 자신의 MAC 주소로 위조한 ARP reply를 만들어 희생자에게 지속적으로 전송하면 희생자 ARP cache Table의 MAC 정보가 공격자의 MAC정보로 지속적으로 변경된다. 이를 통해서 희생자간의 송수신 패킷을 공격자가 스니핑하는 기법이다. - MAC 주소를 속이는 공격으로 로컬에서 통신 하고 있는 서버와 클라이언트의 IP 주소에 대한 2계층 MAC 주소를 공격자의 MAC 주소로 속임으로써 클라이언트에서 서버로 가는 패킷의 흐름을 왜곡시킨다. 2) 실습 - 공격 전 : ARP cache 정보를 보면, 희생자PC(B)의 MAC 주소가 정상적으로 설정되어 있음을 확인할 수 있다. - 공격 후 : ARP cache 정보를 보면, 희생자(B)의 MAC주소가 ..

1) 주도주란? - 주식시장을 이끌어가는 주된 업종 또는 종목군을 말한다. - 수명이 짧게는 몇 개월에서 길게는 2~3년 이어지며 대체로 경기 사이클과 같은 사이클을 그리는 것이 특징이다. - 기업실적이 두드러지게 좋거나 호전되는 산업 혹은 기업군에서 나타난다. 2) 테마주란? - 정부정책의 변화 또는 시대흐름과 패러다임의 변화로 특정 재료를 보유하게 된 종목들이 동시에 같은 방향으로 움직이는 것 - 적게는 4~5개, 많게는 20 ~60개 종목이 집단을 이루어 움직이며 시장의 자금을 특정 종목군에 집중시켜 엄청난 주가 폭등을 가져온다. 참고 서적 : 주식투자무작정따라하기