[보안기사] 포트 스캐닝, 세션 하이재킹

포트 스캐닝 유형

  (1) Sweep - 특정 네트워크에 대하여 해당 네트워크에 속해 있는 시스템의 유무를 검사 (소유하고 있는 IP나 네트워크 범위 파악)

  (2) Open scan

      - 시스템에서 제공하는 서비스 확인

      - 일반 사용자 권한으로 connect() 시스템 호출, 정상적인 TCP 연결 설정 수행 후 신뢰성 있는 결과 획득

      - tcp full scan은 속도가 느리고, 스캔 로그가 남음

      - 동작방식

        SYN 송신 > SYN+ACK 수신 > 오픈 여부 확인 > RST + ACK 전송 후 종료

  (3) Half open scan

      - 노출되지 않고 보안장비를 우회할 수 있음

      - 관리자 권한으로 TCP 패킷을 조작하여 TCP 포트 오픈 여부 판단

        1) 포트가 열린 상태 : SYN 송신 > SYN+ACK 수신 > RST 송신 후 세션 종료

        2) 포트가 닫힌 상태 : SYN 전송 > RST+ACK 수신 (포트가 닫혀 있으므로 목표 시스템이 연결 요청을 받지 못함)

 

세션 하이재킹 공격

  (1) 공격절차

      1) ARP 스푸핑을 통해 패킷이 공격자로 지나가게 만들어 스니핑

      2) 클라이언트의 시퀀스 넘버 획득

      3) 클라이언트의 IP로 위장 RST 패킷 전송 (서버와 클라이언트 연결 단절, 서버는 Closed or Established 상태로 유지)

      4) 공격자는 새로운 시퀀스 번호 생성하여 3-way 핸드쉐이킹

      5) 서버는 신규 시퀀스 번호 수신 후 서버의 시퀀스 번호 재생성 공격자에게 전달

      6) 클라이언트-공격자-서버 서로 간의 세션을 established로 유지하여 2개의 세션을 관리

      7) 공격자가 TCP 연결의 중간자로 개입해 두개의 시퀀스 번호를 사용하여 통신을 중계

      8) 기존 연결을 가로채 패킷을 서버에 전달

      9) 서버가 공격자와 클라이언트 모두에게 ACK Reply

     10) 클라이언트는 보낸적 없는 ACK reply 수신 이를 교정하여 다시 ACK 송신

     11) 서버도 다시 ACK 송신하면서 양측이 반복적으로 ACK를 주고받음 (ACK 스톰이라고 부름)

     12) RST 또는 FIN 패킷을 클라이언트에 전송하여 세션 종료

     13) 세션이 가로채어진 상태에서 공격자가 자신의 명령어 또는 요청을 서버에 전송 피해자의 권한으로 동작하게 만듦.

  (2) 탐지 방법

      - 비동기화 상태 탐지 : SEQ/ACK 번호가 비정상적으로 불일치 하거나 중복/누락된 SEQ 번호가 수신되면 세션 비동기 상태로 판단

      - ACK storm 탐지 : c/s 간 ACK 만 반복 송수신되거나, ack 패킷의 비율이 급격히 증가하는 경우

      - TCP 재전송 비율 비정상적으로 증가하면 세션 하이재킹 의심

      - 통신 중 갑작스러운 RST 패킷 수신

  (3) 대응 방법

      - 세션정보(시퀀스 번호, 인증정보, 쿠키 등) 가 노출되지 않도록 TLS, IPSec 사용

      - 시퀀스번호 랜덤화

      - 세션 보안설정 강화 : 로그인 시 세션ID 재생성 및 일정시간 비활성 시 세션 자동 종료