정보보호개론

[정보보호개론] 스푸핑 공격 (Spoofing)

스푸핑 공격 (Spoofing) 스푸핑 공격 방법에 대해 정리해보겠습니다. 스푸핑(Spoofing)은 '속이다'라는 의미를 가지고 있는 단어입니다. 공격자가 공격대상을 속여서 공격하는 방법이겠네요. 시스템이 잘못된 정보를 올바른 정보로 속여서 받아들일 수 있도록 함으로서 공격하는걸까요? 자세한 건 공격 방법들을 살펴보며 정리해보겠습니다. ARP 스푸핑 공격ARP는 IP 주소를 이용해 MAC 주소를 알아내기 위한 프로토콜입니다. 반대로 RARP는 MAC 주소로 IP 주소를 알아내기 위한 프로토콜이구요. ARP 스푸핑 공격은 MAC 주소를 속이는 것으로 공격하는 방법입니다. 로컬에서 통신하는 서버와 클라이언트의 IP 주소에 대한 데이터 링크 계층의 MAC 주소를 공격자의 MAC 주소로 속여 클라이언트에서 서..

[정보보호개론] 스니핑 (Sniffing)

스니핑 공격 기법 (Sniffing) 스니핑 공격 기법에 대해 정리해보려 합니다. 스니핑 공격은 공격대상에게 직접적으로 공격을 하지 않고 데이터만 몰래 들여다 보는 수동적 공격기법입니다. 간단히 스니핑 공격의 원리를 설명드리면 네트워크에서 송수신 되는 많은 데이터 중 본인에게 맞는 데이터만 보기 위해서 데이터 링크와 네트워크 레이어에서 필터링을 하고 있습니다. MAC 주소와 IP 주소를 확인해서 내 호스트와 맞지 않는 정보는 위 레이어까지 전달하지 않고 아래에서 필터링하게 되는거죠. 이 필터링을 만약 해제하게 된다면 필터링 되지 않고 위 레이어까지 모든 정보들이 전달되고 확인이 가능 할 것 같습니다. 랜 카드에는 프로미스큐어스(Promiscuous) 모드란 녀석을 지원합니다. 이 모드를 이용해서 필터링을..

[정보보호개론] Dos와 DDos (서비스 거부 공격)

서비스 거부 공격은 네트워크 보안에서 단순한 공격 기법 중 하나입니다. 서비스 거부 공격의 목적은 정보 탈취가 아니라 서비스 방해에 있습니다. 악의적인 요청으로 시스템의 리소스를 소비하게 하여 서비스를 마비시키는 것이죠. 예를 들어 여러분들이 수업시간에 발표를 하고 있는데 발표 중 큰 소리로 계속 떠듬으로서 여러분들의 발표를 다른 사람들이 듣지 못하도록 하는 방식이나 장사를 하는 곳에서 손님이 들어오지 못하게 난동을 부리는 것도 해당할 것 같습니다. 서비스 거부 공격으로 Dos와 DDos에 대해 정리해보겠습니다. 1. Dos (Denial of Service) 1) 취약점 공격형보잉크, 봉크, 티어드롭 공격 (Boink, Bonk, TearDrop Attack) 프로토콜의 오류 제어를 이용한 공격기법입니..

[정보보호개론] 정보보안의 3가지 속성

Confidentiality (기밀성) 비인가된 사용자의 정보 접근은 막고 인증된 사용자만이 정보에 접근할 수 있음을 뜻합니다. Confidentiality와 가까운 예로서 암호, 방화벽, 인증 등이 있습니다. Integrity (무결성) 권한을 가진 사용자만이 정보를 변경할 수 있음을 뜻합니다. 예를 들어 각 나라에서 발행하는 지폐는 해당 국가의 기관이 주관하게 될텐데요, 그와 별개로 다른 기관이나 개인이 지폐의 형태나 위조를 하는건 불법입니다. 또는 나의 인스타그램의 사진을 내가 아닌 누군가가 바꿀 수 있다는건 무결성을 잃게된 경우입니다. Availability (가용성) 필요한 시점에 정보에 대한 접근이 가능하도록 하는 것입니다. 요즘 많이 사용하는 삼성페이의 경우에 나의 카드를 등록해서 내가 결제..