1. 네트워크 보안과 방화벽
257p
TCP/IP, 공중망, 인터넷 모두 같은 말임.
그 인터넷엔 정상적인 사용자와 해커들이 있겠지.
우리 회사에는 온갖 서버가 있을 거임, 형상관리, 영업관리, 내부 직원 등 우리회사랑 인터넷과 물려있는 첫번째 라우터가 있을거임. 회사 내부망을 지키기 위한 가장 기본적인 장비가 방화벽, 그리고 방화벽만으로는 부족하니까 IDS/IPS를 사용함.
방화벽 - 차단, IDS - 탐지, IPS - 방지
하나씩 설치된거지.
DMZ도 있음 회사 홈피, 이메일 서버등은 외부에서도 접근이 되어야 함. 근데 그걸 내부망에 구축하면 어떻게 될까? 회사 홈페이지에는 고객 게시판이 있고 해커가 악성 프로그램을 첨부하면, 관리자가 해당 파일을 열어보는 순간 내부망이 뻥 뚫리겠지. 그래서 대외망이나 회사 홈페이지 등은 방화벽 바깥에 구축함. 보안 솔루션 바깥에 구축하고 이걸 DMZ라고 부름.
허니팟 = 꿀단지. 미끼역할을 함. 해커가 각고의 노력으로 내부망에 침입해서 논다고 가정. 근데 실제로 해커가 뚫은게 DMZ의 허니팟인거임. -> 관리자는 해커의 기술과 툴을 볼 수 있음. 미끼임. -> 모든 구색은 다 갖추고 있음. 너무 뚫기가 어려우면 안됨. 너무 쉬워도 안됨(눈치챔), 적당히 어렵고 미끼역할을 할만한 내용이 있어야지.
UTM 통합위험관리, 실제로 웬만한 중견기업 서버실 들어가면 쓰지 않는 보안 장비 많음. 뭐가 필요하다 싶으면 사놓고 좀 쓰다가 버림. 그래서 UTM은 매번 새로운 솔루션 쓰지 말고 니가 가진거 통합해서 잘 쓰자
ESM 원격통합관제, 보안 솔루션 도입은 회사 입장에서는 그렇게 큰 부담이 안됨. -> 물론 비쌈. 아무튼 그걸 운영하려면 보안 관리자가 있어야함. 그 사람은 비싸고, 국민연금이니 4대보험이니.. 비쌈. -> 그래서 비싸니까 전문업체랑 계약을 맺어서 외주 주는 것임. 공격이 들어오면 세팅값을 바꿔주거나 설정값을 바꿔서 해커를 막아주거나 차단해 줌.
위협은 외부위협과 내부위협이 있음
외부는 적절한 보안 장비와 보안 솔루션으로 막을 수 있는데, 내부위험은 못막음.. 내부 직원이 악의를 품고 진행하면 방법이 없음.. 현재까지 가장 좋은 내부 위협을 막는 방법은 보안 교육밖에 없음..ㅎㅎ.. 사실 협박임. 징역 3년이상 ^^ㅎ
퇴사자가 가장 큰 문제임. USB도 문제임. 엑스레이에도 통과함..ㅎㅎ.. 내부 직원들이 위협ㅇ이지..ㅎㅎ...
가. 개념
1) 허니팟(Honeypot): 꿀단지, 미끼역할
공격성향이 있는 자들을 중요한 시스템으로 부터 다른곳으로 끌어내도록 설계
공격자 정보 수입
해커를 시스템에 충분히 머무르게 해야함
가) 개념
나) 허니팟의 요건
충분히 미끼역할, 적당히 어렵고, 모든 구색, 공격자 감시
2) DMZ
외부에 노출되어 있는 서비스를 아예 방화벽 바깥에 구축
웹서버, 도메인 네임 시스템, 메일서버 등이 위치함. 보안조치가 취해진 네트워크 영역으로 내부 방화벽과 외부 방화벽 사이에 위치할 수 있음.
외부방화벽-DMZ-내부방화벽
3) 보안시스템
아파트가 있으면 여기에는 수위실이 있음. 그 안에 경비아저씨 있음. 이 경비아저씨가 하는 일은 입주민이 들어오려고 하면 통과, 모르는 사람이 들어오려하면 막음 -> 방화벽: 침입차단시스템 = 경비원 -> 등록된 아이피 통과, 비등록 아이피 차단,
문제는 도둑은 정문으로 안들어오고 뒷문으로 들어와요~ 그땐 경비원이 못막음. 그래서 CCTV 설치 -> 돌아서 오는 도둑도 탐지 = IDS, 침입탐지시스템 -> 모니터로 보고 있다가 지금 저쪽 뒤로 도둑이 침입중이구나를 아는게 침임탐지시스템 -> 수동
근데 CCTV는 탐지만하지 잡지는 못함. 그래서 나온게 IPS 침입방지시스템, 캡스임. 캡스는 신고 받으면 출동하지. 삐뽀삐뽀하고, 도둑을 잡거나 쫓아내지. 침입방지시스템은 캡스와 같음 -> 능동, 침입 방지는 간단함, 연결을 끊음 히히
그래서 능동임.
방화벽: 경비원
IDS: CCTV
IPS: 캡스
ESM: 원격통합제어, ESM업체에서 대신 관리
UTM: 통합유형관리, 가진거 업데이트하고 패치해; 새로 사지 말구;;
나. 방화벽
1) 방화벽 개념
경비원 역할, 내부네트워크와 외부 네트워크 사이에 위치, 외부로부터의 1차 침입을 막음. 불법 사용자의 침입도 차단함.
하스웨어(서버구매) 및 소프트웨어(프로그램만 있음. 이걸 가져다가 굴러다니는 아무PC에 깔아서 방화벽으로 세팅해서 사용)가 있음.
2) 인바운드(Inbound)와 아웃바운드(Outbound)
외부망(비신뢰) --데이터--> 내부망(신뢰) = 인바운드 -> 들어오는 것
내부망(신뢰) --데이터--> 외부망(비신뢰) = 아웃바운드 -> 나가는 것
인바운드: 나한테 들어오는 것, 기본 설정 다 차단. 그중 내가 필요한 것만 오픈함.
아웃바운드: 나가는 건 상관 무~ 모든 접속 허용
3) 방화벽의 역할
비 인가된 사용자를 내부로 못들어오게 하는 것
tip. 게이트웨이(Gateway)
(1) 나랑 붙은 첫번째 라우터의 아이피
(2) 게이트 웨이는 이종망간 통신을 하게 해줌
4) 방화벽의 목적
가) 내부망과 외부망의 분리
나) 외부로부터의 침입 방지
다) 부정접속 차단
라) 허가되지 않은 트래픽 차단
마) 통신제어
방화벽이 쌍방 통신을 제어하는 역할도 함.
5) 방화벽의 주요 기능
가) 접근통제
나) 로깅(Logging)과 감사추적(Auditing) 및 모니터링
로그파일 남김. 사용자가 진짜가 맞나 인증하는 작업, 필요에 의해서는 나갈때 데이터를 암호화 함.
다) 사용자 인증(Authentication)
라) 데이터 암호화
마) 방화벽 주요 기능
- 접근통제
- 기록 및 감사, 추적, 모니터링 등으로 로그파일 남기고
- 트래픽 암호화
- NAT: 나갈 때 보면 내부 사용자 아이피가 나가겠지. 근데 그러면 내부 사용자의 IP가 노출됨. 그럼 안되니까 방화벽이 마치 본인이 만든거 처럼 송신자 IP를 속임. -> 내부 사용자를 은닉함.
6) 방화벽의 장점
외부에 취약한 서비스에 대한 첫번쨰 방화벽
일관된 보안 정책: 방화벽에 온갖 보안 세팅을 집중적으로 할 수 있음. 방화벽이 없으면 보안 셋팅을 서버마다 해야함
로깅, 감사, 추적, 모니터링과 같은 통계 자료
7) 방화벽의 단점
한 번 뚫리면 끝임.
SQL 인젝션 공격이 취약함. (초창기에)
SQL 인젝션 공격방법
개발자가 프로그램을 대충 짜면, 관리자 아이디는 admin 패스워드는 ' or 1 = 1 --'을 넣어봄.
그러면 개발자가 SELECT COUNT(*) FROM MEMBER WHERE id = 'admin' AND pw =
' or 1 = 1 --' 가 적용됨. --이하 주석처리
AND는 둘 다 True여야해서 거짓이지만, or은 하나만 True면 되어서 1=1이 True가 되어 관리자 로그인이 됨.
외부로부터의 침입은 막을 수 있으나 내부로 부터의 위협은 막을 수 없음.
내부자의 공격 보안적용이 불가하다
방화벽을 우회하는 공격은 막을 수 없음. -> 직원의 노트북에 와이파이가 켜져 있는 경우 공격자가 바로 들어가겠지. 아싸 꿀맛.
제한된 서비스만 제공함. 가장 저렴하고 가장 기본적인 침입차단만 제공
전혀 새로운 공격(새로운 바이러스)에 취약함.
8) 방화벽 시스템의 종류(유형 분류): 패서프하
가) 패킷 필터링(Packet Filtering) 방식
공중망이 있고 웹서버, 라우터가 있음.
회사에서 방화벽 샀는데 싸구려 삼. 그래서 며칠 뒤에 방화벽이 왔네. 했는데, 박스가 요만함. 그래서 열어봄. 영어로 된 메뉴얼만 한보따리임. 그 뒤에 CD가 하나 있음. 그리고 쿠폰이 하나 있음. -> 니네 남는 컴퓨터에 CD 프로그램 깔면 그 컴퓨터가 방화벽이 될거야. 그리고 쿠폰도 있었는데 교육받으러 오라 -> 일주일 정도 교육받음.
라우터에 방화벽 프로그램을 깔아서 컴퓨터를 방화벽처럼 쓰는거임.
가장 저렴함. 프로그램만 사서 컴퓨터에 설치해서 사용.
계층이 낮을 수록 저렴함.
- 계층: 3,4계층(송/수신지 IP주소, 포트번호, TCP 플래그 등 검
-> 3계층까지만 체크하겠다는 거임. 성능이 후침.. 그래서 포트 넘버까지 본다 -> 4계층 방화벽, 근데 안에 있는 컨텐츠도 열겠다 = 7계층 방화벽
- 개념: 확실하게 금지 아니면 통과함. -> 블랙리스트 아니면 통과함.
Port 번호, TCP Sync 플래그 등을 이용함. (티씨피의 모든 플래그)
- 특징: 엑세스리스트(통과 리스트)로 관리하고
- 장점: 저렴
- 단점: 성능 구림
나) 서킷 게이트웨이 방식 = 회로 레벨 프록시(Circut Level Proxy)
그래도 돈 좀 써서 하드웨어 구매함. 방화벽 하나가 FTP서버, 웹서버, 무슨 서버를 하나하나 관리함. 만약 얘가 뻗으면 다 안됨 히히
실제로 장비를 산거라 조금 더 성능이 조와요. 그래서 5,6,7계층 다 봐요.
- 계층: 5,6,7계층
- 개념: 확실하게 허가되지 않으면 금지함 -> 화이트 리스트
들어올 때 몇가지만 허가한 거임. 그 놈만 출입되고 나머지는 차단
- 특징:
- 장점: 투명한 서비스 -> 몰라도 되는 서비스
- 단점: 프로그램 깔아야함.
다) 프록시 게이트웨이 방식 = 어플리케이션 레벨 프록시(게이트웨이) = 응용 프록시
안되겠어서 전용 방화벽을 만듦, FTP 전용 방화벽, 웹서버 전용 방화벽 등을 따로따로 세팅함. 하나 뻗어도 걔만 안되겠징.
전용장비 산거임.
- 계층: 7계층
- 개념: 화이트 리스트
- 특징:
- 장점:
- 단점: 서비스 유연성 떨어짐. 신규 서비스 추가하면 새로운 프록시 서버 필요함 -> 비쌈
라) 하이브리드(Hybrid) 방식
짬뽕, 패킷, 서킷, 프락시 다 섞여 있음.
회사 상황에 맞는 형태로 얘를 구축함. 복합적으로 구성함.
- 계층:
- 개념:
- 특징:
- 장점:
- 단점: 구성 난이도 높음.
마) 상태기반검사(Stateful Inspection) 방식 = 상태 기반 패킷 검사(Stateful Packet Inspection)
웹서버 같은거 할 때 하는거 있음.
패서프하~
9) 방화벽 구축형태(보안 구성)
가) 스크린 라우터(Screen Router): 패킷 필터링 방식과 유사함.
패킷 필터링 방식과 유사함. 라우터에 프로그램 깐거임.
- 특징: 패킷 필터링 방식만 있음.
- 장점:
- 단점:
나) 베스천 호스트(Bastion Host = 싱글홈 G/W)
장비 삼 -> 서킷게이트웨이임.
서버를 사서 쓰는 거임. S/W 탑재해 사용
DMZ이야기 나오면 얘임.
- 특징:
- 장점:
- 단점: 병목현상 발생
다) 듀얼 홈드 게이트 웨이(Dual-homed Gateway)
베스천호스트의 랜카드가 두개임
- 특징:
- 장점: 안정적 운영
- 단점: 프락시서버 추가 필요
라) 스크린 호스트 게이트웨이(Screen Host Gateway)
스크린 라우터+듀얼 홈 게이트
- 특징:
- 장점: 융통성
- 단점: 비쌈
마) 스크린드 서브넷 게이트웨이(Screend Subnet Gateway)
가장 복잡, 하이브리드 방식
- 특징
- 장점: 강력한 보안
- 단점: 설치 관리 어려움
10) 기타 방화벽 솔루션
가) 웹 애플리케이션 방화벽(Web Application Firewall, WAF) = 웹 방화벽
웹서버 전용 방화벽임. 따로 판매함.
(1) 개념: HTTP 프로토콜 트래픽 감시
(2) 개발배경
요즘 웹서버 많이 쓰니까 보호할라고 만든거지 모
(3) 웹 방화벽의 역할
- 직접적인 웹 공격 대응
- 부정로그인 방지 솔루션
- 웹사이트 위/변조 방지 솔루션
- 정보유출 방지 솔루션
(4) 웹 방화벽 특징
URL 단위의 탐지 가능
포지티브: 긍정오류(양치기소년), 네거티브: 부정오류(사고)
(5) 주요 보안 기능
다. 침입탐지시스템(IDS: Intrusion Detection System)
CCTV
1) 개요
침입 탐지하고, 내부 사용자들도 어느정도 감시가능.
CCTV는 사무실 안에도 설치할 수 있음. 즉 얘는 내부 사용자의 활동도 감지 가능함.
탐지, 대응함.
2) IDS
Host, 네트워크의 데이터를 수집함. 이걸 축약 및 가공함. 분석및 탐지하기 좋도록. 분석및 탐지 기능에는(오용탐지, 이상탐지, 하이브리드가 있음) 그 후 보고 및 대응하여 관리자에게 알려줌.
이렇게 동작하는게 IDS의 탐지 순서임.
호스트 = pc, 네트워크 = 스위치, 라우터
오용탐지, 취약점 DB에 공격 패턴들이 들어가 있고, 들어오는 패턴이 DB에 있으면 탐지함.
이상탐지기법은 시간 CPU사용량이 있으면 관리자가 임계치를 정해 놓음. 평소엔 그냥 쓰다가 가끔 임계치가 넘으면 뭐지? 하는게 이상 탐지 기법임. -> 패턴을 보는 것임: 행위기반, 비 정상 행위, 통계기반
하이브리드는 둘 다 섞인거
가) IDS 개념
시그니처, 이상탐지
공격시도 사전 예방은 불가능함.
이상탐지 기반 감지 방식 사
나) IDS 구성 및 탐지 단계 구성
다) 오용탐지와 이상탐지 비교
| 오용탐지 Misuse Detection | 이상탐지 Anomaly (행위 기반/ 비정상행위/ 통계 기반) | |
| 탐지방법 | 패턴들을 미리 저장했다가 특징 비교 기존의 침입 방법들을 데이터 베이스에 저장 |
정량적인, 통계적인, 패턴, 싱경망 모델(AI) AI시대에 각광받고 있음. 패턴 학습시킬 수 있어서 이상한 행동, 급격한 변화를 이상탐지함 |
| 특징 | 취약점 DB가지고 있음 기존에 알려진 건 패턴을 저장해 놨다가 일치하면 공격으로 판단 |
임계치 이상의 급격한 트래픽 변화, 정삭적인 행위를 프로파일화하기 위해서는 일정기간의 트레이닝 기간이 필요함. |
| 장점 | 긍정오류가 낮음 | 제로데이 공격을 탐지할 수 있음. -> 임계치 넘으면 잡히니까 부정오류 낮음 |
| 단점 | 알려진 공격만 탐지 가능하기 때문에 새로 만든 악성프로그램에 취약 첫 공격은 뚫림 -> 제로데이어택: 못 막겠지만 다음엔 업데이트 되어서 막겠지~-> 새로운 공격이 나올 때 마다 시그니처 갱신해야함. 부정오류가 높음; |
비정상행위를 가려내기 위한 명확한 기준(인계치)를 설정하기 어려워 긍정오류가 높음. |
| 종류 | |||
| 긍정오류 | False Positive | 공격이 아닌데 공격이라고 판단 | 오 |
| 부정오류 | False Negative | 공격인데 공격인 줄 모름 | 미탐 |
라) IDS 기능
내부자까지 감시함. CCTV는 내부에도 이써용.
알려진 공격에 대한 행위 패턴 인식
중요 시스템 무결성 검사 -> 파일 100개여야하는데 왜 101개..?
비정상적 행위 패턴에 대한 통계정 분석(이상탐지)
로그도 남김
마) 특징
신기술 적용이 빠름
외/내부 공격도 판단 가능
방화벽과 달리 한 번 뚫려도 그 안에서 돌아가는 것을 볼 수 있어서 무방비하게 뚫리지 않음.
수동적 탐지 위주임
3) 모니터링 대상에 따른 IDS종류
| 호스트기반의 IDS(HIDS) | 네트워크 기반의 IDS(NIDS) | |
| 특징 | PC에 깔린 IDS | 라우터나 스위치에 깔린 IDS |
4) IDS 동향 발전 방향
가) IDS동향
하이브리드화 되는 중
나) IDS 발전방향
속도 높이고 잘 찾기~
5) IDS도입 시 고려사항(보안 시스템 도입 시 고려사항)
가) 개념
내가 어떤 자산이 있는지 먼저 알아야함.
tip.
- 제로데이 공격: 해커가 악성 프로그램을 만들고 만든다음에 첫번 째로 공격하는 업체는 속수무책임. 그럼 한 번 당하고, 보안 업체에 알려주겠지. 그럼 보안 업체에서 패치를 해서 뿌림. 윈도 업데이트 = 패치 업데리트
- Snort: 무료 다운이 가능한 오픈소스 공개 침입탐지/침입방지 시스템임. -> 무료인데 성능 좋음.
- 공격유형과 대응조치:
라. 침입방지시스템(IPS: Intrusion Prevention System)
1) IPS 개요
능동적 보안대책ㄱ -> 연결을 끊음 ㅎㅎ
이상징후가 발견되면 자동적으로 사전에 차단함. -> 차단을 통한 방징임.
2) IPS 기능(특징)
연결을 끊음 (TCP Reset패킷을 보냄)
3) IPS 특징
마. 방화벽 vs IDS vs IPS
| 방화벽 | IDS | IPS | |
| 주요 역할 | 침입 차단 | 침입 탐지 | 침입 방지 |
| 목적 | 외부로 부터 막음 | 탐지 | 방지 |
| 단점 | 뚫리면 끝 내부자 못막음 |
시스템 부하 큼 | CAPEX(설차용) OPEX(운영비용) 비쌈 |
바. ESM(Enterprise Security Management)
1) ESM의 개요
원격통합관제, 전문적인 사람이 운영해야하니까 비싸니까 전문 업체에 맡기자. 보안 관제 시스템, 안정성을 높일 수 있음
2) ESM 구성도
3) ESM 구성요소
- ESM 클라이언트
- ESM 서버
- ESM 데이터 매니지먼트
4) ESM 도입효과
사. 침입감내 시스템(ITS: Intrusion Tolerant System)
1) 개념
2) 침입감내 기술
아. 바이러스 월(Virus Wall)
2. 망관리 프로토콜
가. SNMP(Simple Network Management Protocol): 망관리 프로토콜
KT가 전국에 흝어져 있는 전화교환국을 관리해야함. 본사에서 ICMP와 SNMP를 이용함. 7계층임(어플임)
SNMP안에 ICMP(요청한 것을 처리함) 가 있음
1) 개념
TCP/IP의 망관리 프로토콜임.
- UDP,ICMP,TTL값을 씀.
쓸데없이 TCP안씀. 그냥 상태만 전하면 되어서 UDP씀.
ICMP프로토콜이 숨어있음. ICMP는 IP를 이용해서 찾아가고, IP는 랜카드를 통해서 감.
IP 헤더에는 TTL값이 있음 이걸 이용함.
- 망관리인데 우리도 씀. IoT 제어 프로토콜이 이거임.
2) 특징
- 네트워크 관리 담당
- 7계층인 응용계층
- 포트 2개 씀 161, 162를 통해 UDP 통신함
- 분산네트워크 블록체인 등이 있음.
3) SNMP 구성요소
스마트폰할 떄 인터넷을 통해 SNMP를 통해 인터넷-> 우리집으로 들어가 IoT기기들을 원격으로 제어함.
(1) SNMP 매니저
(2) SNMP 에이전트
(3) MIB(Management Information Base)
4) SNMP의 동작
161번 포트로 로봇청소기 상태를 받음. 근데 장애가 생김. 162번 포트를통해 장애남을 알림.
5) SNMP 주요기능
가) 네트워크 구성관리
나) 성능관리
다) 장비관리
라) 보안관리
6) SNMP v1, v2, v3의 비교
가) SNMP v1: 후짐. 분산네트워크도 없었음.
나) SNMP v2
다) SNMP v3: 보안에 특별히 신경을 씀
라) 비교
| SNMP v1 | SNMP v2 | |
나. ICMP(Internet Control Message Protocol)
1) 개요
제어할 때 쓰는거임
PING과 트레이스RT, 트레이스 라우터
제대로 동작하는지 확인할 때
SNMP 프로토콜은 UDP프로토콜을 쓰고 상태정보 주고받으려고 ICMP사용하고 ICMP는 IP 인캡슐레이션 되어 있음.
2) 특징
ICMP는 TCP/UDP헤더가 필요없음.
라우터가 갑자기 장애가 생겨서 ICMP메세지를 만듦. 그럼 ICMP메세지는 3계층 IP헤더에 인캡슐레이션이 되어있음. 이게 2계층으로 내려와서 헤더와 테일러를 붙여서 ICMP를 만듦. 즉, 장애가 나는거임. ICMP는 배분 3계층 라우터에서 뭔가 동작을 하다가 장애가 나면 ICCCMP메세지를 만듦. 그럼 내가 3계층에서 2계층으로가고 1계층으로 가서 서버한데 타입과 코드를 이용해서 현재 내 상태가 어떤지 알림.
3계층에서 만들어지는거라 TCP UDP 필요없음
에러메시지를 다른 라우터에 전달함
ICMP리다이렉트(방향전환) 메시지는 라우터에 직접 접속된 네트워크에만 전송됨
원래 지나가는 경로 기니까 라우터 경로 줄이라고 라우터가 알려주는거
경로 1 트래픽은 호스트-라우터1-라우터2-서버
경로 2 트래픽으로 추천 호스트-라우터1-서버
3) 기능
에러보고: 오류전송 보고
혼잡보고: 수신 노드의 처리속도가 느리면 라우터가 천천히 보내라고 함.
트러블 슈팅: 두 노드간에 문제 파악 가능
타임아웃 보고: TTL이 0이면 패킷 폐기(미국가도 10홉임)
4) ICMP 패킷 구조
| 수신자 MAC |
송신자 MAC |
송신 IP |
수신 IP |
Type | code | 가변길이 | FCS/CRC | ||
| ICMP Data -> 65,507 byte | |||||||||
| ICMP Message | |||||||||
| IP 패킷 | |||||||||
| MAC 프레임 (이더넷 프레임) | |||||||||
| IP 헤더 | |||
| Type 8비트 | Code 8비트 | Checksum 16비트 | |
| 가변길이(type, Code에 따라 달라짐) | |||
타입과 코드가 온갖 에러 메시지를 만들어 냄.
ICMP는 3계층에서 만들어지고 IP헤더가 붙고 2계층에서 헤더와 테일러가 붙음.
5) 각 필터링 필드에 대한 메시지 종류
가) 개념
나) Type(유형): ICMP의 용도를 표현, 많이 알려진 유형에는 다음과 같은 것들이 있다.
| Type | 메시지 종류 | |
| 3 | 목적지 도달 불가 | |
| 5 | 라우트 변경(리다이렉트, 방향전환) | |
| 11 | 시간초과 | |
다) CODE(코드): 각 Type병로 세부적인 값, 다음은 Type 3 목적지 도달 불가에 대해서 많이 사용되는 코드
| 타입 | 코드 | |
| 3 | 0 | 네트워크 도달 불가 |
| 1 | 호스트 도달 불가 | |
| 2 | 어쩌구 저쩌구 |
라) Checksum
마) ICMP Data
6) ICMP가 발생하지 않는 경우
다. ICMP를 이용한 프로그램
1) 개요
2) PING
가) 개념
PING 대표적임. 웹서버한테 핑을 때림. 이거 세팅 어케하냐. 웹서버가 살아있으면 핑에 ICMP로 응답함. 그럼 호스트는 아 서버 살아있네라고 인지함.
근데 가는 인터넷이 라우터가 뻗음. 핑을 때림. 라우터가 장애가 나서 응답이 없음.-> 호스트는 라우터가 죽었는지 서버가 죽었는지 모름.
나) PING의 확인
3) Traceroute(Tracert/트레이스 알티)
핑의 단점 때문에 나옴.
가) 개념
네트워크 목적지 까지의 경로 정보 확인
패킷이 목적지까지 도달하는 동안 거치는 라우터 IP를 확인하는 도구, UDP와 ICMP, TTL값을 이용함.
나) Traceroute의 동작
각각의 라우터에 타임라인
호트스 - 1번 라우터 - 2번 라우터 - 3번 라우터 ....6번 라우터 - 서버
호스트가 ttl값 을 1로 서버에 보냄. 첫번째 라우터에서 받음, TTL이 0이 되니까 type 11을 보냄(TTL은 0인데 도착 못함) -> 라우터 1번은 살아있군 인지
그 다음에 ttl값을 2로... 살아있군!
이런식으로 TTL값을 1씩 증가시켜서 보냄.
언젠가는 웹서버에 도착하겠지~
명령어는 cmd에서
tracert www.google.com
트릭이 있음 처음에 TTL값을 1로 세팅해서 보내면 ICMP로 답이 오겠징.
맨 마지막엔 웹서버에 도착함. 근데 UDP라 서버가 응답 안하기도..ㅎ.. ㅋㅋㅋㅋㅋ
그래서 일부러 포트 넘버를 잘못된걸로 세팅해서 보내기도 함.
그래서 서버에서 포트넘버 이상하네? 그럼 웹서버가 포트넘버 도달불가 ICMP를 보냄.
라. ICMP Redirect(리다이렉트) 공격
1) 개념
방향전환임.
인터넷의 약속임. 프로토콜 어떻게 하라하면 그렇게 하장 하는거임. 리다이렉트 해라 하면 함.
원래 호스트가 웹서버까지 가려면 도메인 이름을 알아야지. 근데 진짜 필요한건 아이피 주소임. 근데 리다이렉트 패킷은 방향전환 하라는거임. 해커가 방향전환 하라고 하는게 리다이렉트 공격임.
호스트-라우터1-라우터2-웹서버로 잘 굴러가고 있었는데, 라우터 2가 느끼기에 너 왜 돌아가;싶은거 호스트-라우터2-웹서버로 해.라고 ICMP 리다이렉트 함.
2) ICMP 리다이렉트 패킷을 이용해 해킹하는 방법
3) ICMP Redirect(방향전환)가 발생하는 상황
3. 캐스팅모드(Casting Mode)
가. 개요
나. 개스팅 모드 종류
1) 유니캐스트: P2P(1:1통신)
2) 멀티캐스트 1:n 통신
멀티캐스트와 IGMP가 있어서 우리가 인터넷으로 생중계를 봄 어차피 컨텐츠는 같으니까 라우터가 받아서 카피해서 축구를 보고 있는 호스트들에게 복사해서 보내주는 것
D 클래스 이용함
3) 브로드캐스트 1:ALL
전부 다 보내는 것. IPv6에서 없어짐. 이 브로드캐스트로 서비스 거부공격 너무 많이 해서... -> 멀티캐스트에 수용됨.
ARP 프로토콜에서 맥 주소 물어볼 때 브로드캐스트 씀.
4) 애니캐스트
라우터까지 보내는게 애니케이스 -> 가장 가까운 호스트(수신자)에게 보내고 끝내는 것
4. IGMP(Internet Group Management Protocol)
가. 개요
그루핑 하는거, 축구보는이들 그룹핑, 야구 보는 이들 그룹핑
IP 멀티캐스트랑 같이 써서 최고의 성능 냄. 데이터를 카피해서 보냄
나. 그룹 관리
'정보보안기사 > 2024 최적합 정보보호론' 카테고리의 다른 글
| PART4. 네트워크 보안 - SECTION 6. 네트워크 기반 보안공격 (0) | 2026.02.16 |
|---|---|
| PART4. 네트워크 보안 - SECTION 5. 네트워크 보안과 방화벽 - 문제풀이 (0) | 2026.02.15 |
| PART4. 네트워크 보안 - SECTION 3,4 - 문제풀이 (0) | 2026.02.15 |
| PART4. 네트워크 보안 - SECTION 4. 무선통신 보안 (1) | 2026.02.14 |
| PART4. 네트워크 보안 - SECTION 3. 라우터와 라우팅 프로토콜 (0) | 2026.02.13 |