○ netstat 옵션
- -a : 모든 소켓 정보 출력
- -p : 지정한 프로토콜 연결 표시
- -n : 네트워크 주소를 숫자로 표시
- -e : 이더넷의 통계 표시
- -r : 라우팅 정보 출력
- -i : 네트워크 인터페이스에 대한 정보 출력
- -s : 각 네트워크 프로토콜(IP, TCP, UDP, ICMP)에 대한 통계정보 출력
○ VPN 계층별 터널링 프로토콜
- 2계층 : PPTP, L2TP, L2F
- 3계층 : IPSec(Transport Mode, Tunnel Mode)
○ 라우터의 no ip unreachables 설정
- 개념 : 송신할 수 없는 패킷이 나타나면 라우터는 최초출발지로 ICMP Unreachable 메시지를 보내게 된다.
- 보안관점 : DoS 공격으로 이용당할 수 있으며, 포트 오픈 여부를 판단 가능함.
○ 라우터의 no ip source-route 설정
- 개념 : 패킷이 목적지에 도달하기 위한 경로는 라우터들에 의해 결정이 된다. 패킷 자체는 목적지 주소만 가지고 있을 뿐 목적지에 도달하기 위한 경로에 대한 어떠한 정보도 가지고 있지 않은데 송신자 쪽에서 IP 옵션 헤더를 이용하여 경로 리스트를 직접 정의하면 지정된 경로로 라우팅이 되도록 할 수 있다. (IP 소스 라우팅)
○ 라우터
- User Mode -> enable -> Privileged Mode -> conf t -> Global Mode
○ UDP Flooding 공격
- UDP 프로토콜의 비연결적 특성을 이용한 DoS 공격으로 대량의 UDP 패킷을 희생자에게 전송하여 희생자의 네트워크 대역폭을 소진시키는 DoS 공격
○ 트리누(Trinoo) 공격
- DDoS 공격툴로 Attacker, Master, Agent로 공격 네트워크를 구성하여 UDP Flooding 공격을 수행한다. Attacker는 Master에 접속하여 공격명령을 내리고 Master는 Agent에게 공격타겟에 대한 명령을 내리면 Agent는 해당 희생자에게 DDoS 공격을 수행한다.
○ DoS와 DDoS 공격에 대한 대응책
- 라우터의 Ingress/Egress 필터링 기능을 활성화한다.
- Rate-Limit 기능을 이용한다.
- uRPF(unicast reverse path forwarding) 기능을 이용한다.
- direct broadcast와 redirect를 막는다(ICMP Broadcast와 ICMP Redirection 비활성화)
- Anti Dos/DDoS 장비를 도입한다.
○ DRDoS
- 공격원리 : 공격자는 출발지 IP를 공격대상의 IP로 위조하여 다수의 반사서버로 요청정보를 전송, 공격대상은 반사서버로부터 다수의 응답을 받아서 서비스거부상태(DoS)가 되는 공격형태
- 공격방식
1. TCP 프로토콜 : 위조된 주소의 syn 요청을 반사서버로 전달하여 syn+ack 응답을 공격대상에 보냄
2. ICMP 프로토콜 : 위조된 주소의 echo request 패킷을 반사서버로 전달, echo reply 패킷을 공격대상에 보냄
3. UDP 프로토콜 : DNS, NTP, SNMP, CHARGEN 등의 서비스를 이용하여 위조된 주소의 서비스 요청을 반사서버로 보내고 그 응답이 공격대상으로 향하도록 한다.
- DDoS와의 차이점 : DDoS에 비해 공격근원지 파악에 어려움이 있다. 역추적이 거의 불가능, 공격 트래픽 효율이 증가
※ 함께 보면 좋은 글
'정보보안기사' 카테고리의 다른 글
| [정보보안기사] 실기대비 요약 #8(어플리케이션 보안) (0) | 2022.04.09 |
|---|---|
| [정보보안기사] 실기대비 요약 #7(네트워크 보안) (0) | 2022.04.09 |
| [정보보안기사] 실기대비 요약 #5(네트워크 보안) (0) | 2022.04.07 |
| [정보보안기사] 실기대비 요약 #4(네트워크 보안) (0) | 2022.04.07 |
| [정보보안기사] 실기대비 요약 #3(시스템 보안) (0) | 2022.04.06 |