본문 바로가기

프로그래밍 학습/보안 이론

[정보보안기사 필기] 클라이언트보안(크래킹, 포트스캐닝, 키로그)

728x90

ㅁ 크래킹 SW

개요

- 크래킹은 해킹과 비교하여 악의적인 목적을 가지고 시스템에 침입하는 행위이다. 쉐어웨어 프로그램을 정식버전으로 변환하는 행위도 한다.

- 해킹도구로써 크래킹 기술은 사용자의 ID/PW 를 찾는 도구로써 활용되고 있으며 대입해보면서 해킹을 시도한다.


도구

ㅇ WWWhack, Golden Eye, Webcrack

- 웹서버, 접속계정, FTP, POP의  ID/PW와 패스워드를 크랙


포트 스캐닝 SW

개요

- 공격자가 공격대상 시스템의 열려진 포트를 스캐닝한느 것으로 OS 판별, 공격경로 선택등을 위해서 수행하는 절차이다.


- Port Scanner에 의한 목적지 시스템에 대하여 열려있는 Port를 찾기위한 행위이다. 공격자들은 대상 시스템이 살아 있는지 확인한다. - 주로 Ping을 이용하며 네트웤 단위에서는 ping sweep을 함

- 열려진 Port를 탐색한 후 취약점 Scanner(Nessus, Internet Scanner 등)를 이용하여 취약점 분석을 한다. 그 후에 시스템의 취약점을 이용하여 공격을 하게된다.

- 포트스캐닝은 특정 포트에 대해서 3WAY hand-shaking가 확립되면 포트가 열려진 것을 확인할 수 있다.


종류

ㅇ NMap

특징 : 다양한 방식을 이용한 포트스캐너

방법

- TCP connect() scan : 3Way hand-shaking을 이용한 scanning이다. 완전한 TCP 연결을 하여 port의 상태를 확인하여 쉽게 탐지가능


- TCP SYN scan : Half-open scan 또는 stealth scan으로 불리기도 하며 완전한 TCP 연결을 하지 않고 대상포트로 SYN 패킷을 전송하여 SYN/ACK을 받으면 open상태, RST/ACK를 받으면 close상태이다. half-open 상태에서 확인하기 때문에 비밀스러운 연결로 로그가 남지 않고 TCP중 속도가 빨라 가장 많이 사용


ㅇ TCP FIN, Xmax Tree, Null scan :  Stealth scan이라고도 불리며 UNIX에서만 사용, 이 세가지로 스캔한 결과가 없다면 Windows 계열의 시스템이라고 판단할 수 있다. 세가지 scan 후 포트가 모두 close상태이면 RST 패킷을 되돌려 보낸다. Open 상태는 패킷을 무시한다.


- TCP FIN scan : TCP Flag의 FIN을 활성화하여 대상 포트로 패킷을 전송

- Xmax Tree scan : TCP Flag의 FIN, URF, PUSH을 활성화하여 대상 포트로 패킷을 전송

- NULL scan은 TCP Flag를 모두 비활성화하여 대상 포트로 패킷을 전송한다. 


ㅇ UDP Scan( 종류 : Superscan, Aat4xx)

특징 : UDP를 사용하는 열린 포트를 찾기위한 스캐닝이다. 대상 포트로 UDP 패킷을 전송하여 'ICMP Port Unreachable' 메시지를 받으면 close 상태이고 메시지가 오지 않으면 open 상태이다. 정확도가 떨어지기 떄문에 결과에 대해서 신뢰할 수없고 Close상태는 정확하게 알 수 있다.  


ㅁ 키로그 SW

개요

- 설치된 컴퓨터에서 키보드로 입력한 정보를 로그로 넘기는 프로그램이며 기능이 업데이트 된 키로그 프로그램은 키보드 입력 뿐만 아니라 윈도우를 이용한 프로그램사용, 인터넷 익스플로러를 이용한 인터넷 접속 정보등도 로그로 남기며 실시간으로 로그파일을 공격자에게 전송함.


탐지 방법

- 안티바이러스 프로그램에 의한 탐지

- 키로그 전용탐지도구에 의한 탐지

- 특정 문자열을 타이핑한 후 파일의 내용에서 타이핑한 문자열 검색


종류

- KeyLog25 : 자판에 입력한 정보를 파일에 로그로 남김

- SK-Keylog : 키보드 입력을 로그로 남김, 지정된 시간에 로그파일을 설정된 공격자 메일로 자동 전송

- Winhawk


누킹 SW (종류 : Vconnect, Cgsioob)

- 레지스트리, 키 파일, 파일 시스템 등을 훼손하여 시스템을 사용 불능상태로 빠뜨리는 프로그램으로 'blue bomb', 'WinNuke'로 알려짐


폭탄메일 SW(종류 : QuickFyre, Avalanche, eremove)

- 특정사람에게 한꺼번에 많은 양의 메일을 전송하는 것, 주로 상대방의 메일용량을 초과시켜 많은 피해를 준다.

- Anonymail은 익명으로 메일을 보낼수 있는 프로그램이다. 메일주소를 임의로 작성해서 보낼 수 있도록 제공한다.