안녕들 하시죠 !

이번시간에는 Wireshark를 이용한 패킷 스니핑을 실습해보겠습니다.

Sniffing ( 스니핑 ) 이란?

스니핑이란 네트워크 상에서 자신 이외의 사용자들의 패킷을 엿보는 것을 의미합니다.

위의 이미지를 예로 들면 Noel과 Susan이 주고받는 'I love you' 'Me too' 와 같은 패킷을 엿보는 것입니다.

초기 TCP/IP 프로토콜은 보안적 측면을 고려하지 않고 평문통신을 했기때문에 이러한 스니핑에 취약했습니다.

현재는 대부분 암호화 통신을 하기때문에 비교적 안전하지만 평문통신구간에서 Wireshark를 이용해 보안적 취약점에 대해 실습해 봤습니다.

우선, 제 실습환경에서 로그인 준비를하고 Wireshark를 켜 문자열 필터를 통해 진행해보겠습니다.

아이디와 패스워드를 입력해 로그인하겠습니다.

돋보기 단추 ( find a packet )을 누른 후 Display Filter부분을 클릭해 string으로 바꿔주겠습니다.

② 맨 왼쪽 Packet list 부분을 Packet details로 바꾼 후 ③ 검색창에 로그인 창에서 입력한 아이디 ( kisec ) 을 입력 후 Find 하겠습니다.

맨 아래를 보게되면 제가 입력한 아이디 kisec과 sql injection으로 입력한 비밀번호 'or 1=1 -- 이 나와있네요.

이렇게 평문통신을 하게되면 사용자의 중요정보가 쉽게 노출 될 수 있다는 것을 확인해봤습니다.

암호화 통신의 중요성을 실습을 통해 느낄 수 있는 시간이였습니다.

오늘은 여기까지입니다 감사합니다 !

안녕들 하시죠 !

이번시간에는 네트워크 해킹에 대해 알아보겠습니다.

아래에는 McAfee Labs에서 공개한 2017년 네트워크 해킹 Top 8 입니다.

Top 8

1. 브라우저 공격

2. 브루트포스 공격

3. 디도스 공격

4. 웜 공격

5. 멀웨어 공격 ( 피싱 메일, 악성 페이지, 악성 광고 )

6. 웹 공격 ( XSS 등 )

7. 스캔 공격

8. 기타 공격 ( APT, 물리공격, 내부공격 )

네트워크 해킹 이란?

네트워크 상에서 발생되는 해킹을 의미.

보안의 기본 요소에 따라 기밀성, 무결성, 가용성의 침해를 받는다.

- 내부의 자산을 파악하기 위해 훔쳐 보는 네트워크 스캐닝 같은 행위 ( 기밀성 )

- 정상적인 통신을 강제로 끊고 공격자가 세션을 갈취하는 (  세션하이재킹 ) 등의 행위. ( 기밀성, 무결성 )

- 외부에서 네트워크 통신을 이용해 서비스가 정상 작동을 하지 못하도록 하는 행위 ( Dos ) ( 가용성 )

ㆍ 기밀성

- 스니핑 ( Sniffing )

- '킁킁 거리다'의 의미로 네트워크 흐름의 중간에서 도청, 감시 등의 공격을 하는 행위.

- 패스워드 등의 데이터를 통신하는 과정에서 중간에 도청하여 확인 할 수 있는 위협이 될 수 있음.

공격 예

크리덴셜 스터핑 ( Credential Stuffing ) : 공격자가 이미 확보한 크리덴셜(로그인 정보 등 개인 신상과 관련해 암호화한 정보)을 다른 

                                                   계정들에 마구 대입하는(stuffing) 방식으로 이용자 정보를 침해하는 것.

피해 사례 : 2018년 6월 23일 ~ 27일 우리은행 고객정보 해킹 사건

뉴스 URL : https://www.boannews.com/media/view.asp?idx=70843

ㆍ 무결성

- 스푸핑 ( Spoofing )

- '변조시키다'의 의미로 사용자가 원하는 행위를 속여 비정상적인 행동을 하는 행위.

- 통신 경로 조작 등을 이용해 정상적인 행동을 비정상적인 행동으로 강제 변환 시킬 수 있음.

공격 예

- DNS 스푸핑 : DNS를 변조하여 정상적인 URL을 조회하였으나 공격자가 만든 페이지로 이동하게 만드는 공격 ( 피싱 사이트 )

- ARP 스푸핑 : ARP를 이용하여 Mac 주소를 속이는 공격.

ㆍ 가용성

- Dos 공격

- Denial of Service의 약자로 서비스 거부 공격을 수행하여 서버나 시스템이 동작하지 못하도록 공격하는 행위.

공격 예

- SYN Flood 공격 : SYN 패킷을 이용하여 네트워크 트래픽 용량을 초과 시켜 정상 접근이 어렵도록 하는 공격.

- HTTP Flood 공격 : HTTP 프로토콜 중 GET 또는 POST 메소드를 이용하여 웹 페이지 접근 한도를 초과 시키는 공격.

다음시간에는 스캐닝, Flood공격 등등 을 직접 실습해볼 계획입니다.

오늘은 여기까지입니다 감사합니다 !

참고서적 「K Shield Jr. 기술보안 운영」