해커의 공격으로부터 네트워크를 더 잘 보호하기 위해서는 해커의 공격 방법, 공격 원리 및 공격 과정에 대한 심층적이고 세밀한 이해가 필요하다. 그래야만 네트워크를 더욱 효과적이고 목표로 사전 예방적으로 보호할 수 있다. 다음으로, 해커의 수단 특징에 대한 분석을 통해 해커 행동을 탐지하고 방어하는 방법을 연구한다.
첫째, 안티 공격 기술의 핵심 문제
안티-공격 기술 (침입 탐지 기술) 의 핵심 문제는 모든 네트워크 정보를 가로채는 방법입니다. 현재 정보를 얻는 방법에는 크게 두 가지가 있습니다. 한 가지 방법은 모든 네트워크 정보 (그룹 정보, 네트워크 트래픽 정보, 네트워크 상태 정보, 네트워크 관리 정보 등) 를 얻는 것입니다. ) 사이버 차단 (예: 스니퍼, Vpacket 등 프로그램) 을 통해 해커가 공격하는 필연적인 방법이자 반격에 필요한 방법이다. 또 다른 하나는 운영 체제와 어플리케이션의 시스템 로그를 분석하여 시스템의 침입 행위와 잠재적인 보안 취약점을 파악하는 것입니다.
둘째, 해커가 공격하는 주요 방법
해커는 여러 가지 방법으로 인터넷을 공격한다. 일반적으로 공격은 항상 "시스템 구성 결함", "운영 체제 보안 취약성" 또는 "통신 프로토콜 보안 취약성" 을 사용하여 수행됩니다. 지금까지 2000 여종의 공격이 발견됐으며, 이 중 대부분의 해커 공격에는 그에 상응하는 해결책이 있다. 이러한 공격은 크게 다음 6 가지 범주로 나눌 수 있습니다.
1. 서비스 거부 공격: 일반적으로 서비스 거부 공격은 공격 대상 (일반적으로 워크스테이션 또는 중요 서버) 의 시스템 핵심 리소스를 과부하시켜 공격 대상 개체가 서비스의 일부 또는 전체를 중지하도록 하는 것입니다. 현재 알려진 서비스 거부 공격은 수백 가지가 있으며, 가장 기본적인 침입 공격 수단이자 가장 다루기 어려운 공격 수단 중 하나이다. 전형적인 예로는 SYN Flood 공격, Ping Flood 공격, Land 공격, WinNuke 공격 등이 있습니다.
2. 무단 액세스 시도: 공격자가 보호된 파일을 읽고 쓰거나 실행하려고 시도하는 것을 의미하며, 보호 액세스 시도도 포함됩니다.
3. 사전 탐지 공격: 지속적인 무단 액세스 시도 중 공격자는 일반적으로 이 공격 시도를 사용하여 네트워크 내부 및 네트워크 주변의 정보를 얻습니다. 전형적인 예로는 사탄 스캔, 포트 스캔, IP 중간 스캔 등이 있습니다.
4. 의심스러운 활동:' 표준' 네트워크 통신 범위 밖의 활동 또는 네트워크에서 필요하지 않은 활동 (예: IP 알 수 없는 프로토콜, 중복 IP 주소 이벤트 등) 을 나타냅니다.
5. 프로토콜 디코딩: 프로토콜 디코딩은 네트워크 또는 보안 관리자가 디코딩하고 적절한 결과를 얻기 위해 이러한 예상치 못한 방법 중 하나에서 사용할 수 있습니다. 디코딩된 프로토콜 정보는 FTU 사용자 및 포트 매퍼 에이전트와 같은 예상 활동을 나타낼 수 있습니다.
6. 시스템 에이전트 공격: 이 공격은 일반적으로 전체 네트워크가 아닌 단일 호스트에 대해 시작되며 RealSecure 시스템 에이전트를 통해 모니터링할 수 있습니다.
셋째, 해커 공격의 특징 분석과 반공격 기술.
침입 탐지의 가장 기본적인 수단은 패턴 일치를 통해 침입 공격을 발견하는 것이다. 효과적인 공격을 위해서는 먼저 침입의 원리와 작동 메커니즘을 이해해야 한다. 그래야 지기가 서로를 알고 침입 공격의 발생을 효과적으로 예방할 수 있다. 몇 가지 전형적인 침입 공격을 분석하고 그에 상응하는 대책을 제시하겠습니다.
1. 육지 공격
공격 유형: 육상 공격은 서비스 거부 공격입니다.
공격 특징: 육지 공격에 사용되는 패킷의 소스 및 대상 주소는 동일합니다. 운영 체제가 이러한 패킷을 수신할 때 스택에 있는 통신 소스 주소와 대상 주소가 동일한 경우를 처리하는 방법을 모르거나 패킷을 루프백 및 수신하여 많은 시스템 리소스를 소비하면 시스템 충돌 또는 패닉이 발생할 수 있기 때문입니다.
감지 방법: 네트워크 패킷의 소스 주소와 대상 주소가 같은지 확인합니다.
반공격 방법: 방화벽 디바이스 또는 라우터의 필터링 규칙을 적절히 구성하면 이러한 공격 (일반적으로 패킷 폐기) 을 방지하고 이러한 공격 (이벤트 발생 시간 기록, 소스 호스트 및 대상 호스트의 MAC 주소 및 IP 주소) 을 감사할 수 있습니다.
2.TCP SYN 공격
공격 유형: TCP SYN 공격은 서비스 거부 공격입니다.
공격 특징: TCP 클라이언트와 서버 간의 세 번의 핸드셰이크 프로세스의 결함을 이용해 공격합니다. 공격자는 소스 IP 주소를 위조하여 공격자에게 대량의 SYN 패킷을 보냅니다. 공격당한 호스트가 대량의 SYN 패킷을 받으면 대량의 캐시를 사용하여 이러한 접속을 처리하고, SYN ACK 패킷을 잘못된 IP 주소로 반송하고, ACK 패킷의 응답을 기다리며, 결국 캐시가 소진되어 다른 합법적인 SYN 접속을 처리할 수 없게 됩니다. 즉, 대외적으로 정상적인 서비스를 제공할 수 없습니다.
감지 방법: 단위 시간에 수신된 SYN 접속이 시스템 설정 값을 초과하는지 확인합니다.
반공격 방법: 대량의 SYN 패킷이 수신되면 접속 요청을 차단하거나 패킷을 폐기하고 시스템 감사를 수행하도록 방화벽에 알립니다.
3. 죽음의 공격에 대한 핑
공격 유형: 사망 공격 Ping 은 서비스 거부 공격입니다.
공격 특징: 공격 패킷이 65535 바이트보다 큽니다. 일부 운영 체제에서 65535 바이트보다 긴 패킷을 수신하면 메모리 오버플로우, 시스템 충돌, 재부팅, 커널 실패 등의 결과가 발생하여 공격 목적을 달성할 수 있습니다.
감지 방법: 패킷 크기가 65535 바이트보다 큰지 확인합니다.
공격 방지 방법: 새 패치를 사용하여 65535 바이트보다 큰 패킷이 수신되면 패킷을 삭제하고 시스템 감사를 수행합니다.
4. 위누크 공격
공격 유형: WinNuke 공격은 서비스 거부 공격입니다.
공격 특징: WinNuke 공격은 대역 외 전송 공격이라고도 하며 공격 대상 포트 (보통 139, 138, 137,/KLOC-) 를 특징으로 합니다.
감지 방법: 패킷의 대상 포트가 139, 138, 137 등인지 확인합니다. , URG 비트가 "1" 인지 확인합니다.
반공격 방법: 방화벽 디바이스 또는 필터 라우터를 적절히 구성하여 이러한 공격 (패킷 폐기) 을 방지하고 이러한 공격 (이벤트 발생 시간 기록, 소스 및 대상 호스트의 MAC 주소 및 IP 주소 MAC) 을 감사할 수 있습니다.
5. 눈물 방울 공격
공격 유형: 눈물 공격은 서비스 거부 공격입니다.
공격 특징: Teardrop 은 UDP 기반 병적 파편 패킷 공격 방법입니다. 피해자에게 여러 조각을 보내는 IP 패키지 (IP 조각팩에는 조각가방이 속한 패키지, 패키지 내 위치 등의 정보가 포함됨) 가 작동됩니다. 일부 운영 체제에서 오버랩 오프셋이 있는 위조된 조각 패킷을 수신하면 시스템이 충돌하고 재부팅됩니다.
감지 방법: 수신된 조각 패킷을 분석하여 패킷의 조각 오프셋이 잘못되었는지 여부를 계산합니다.
반공격 방법: 시스템 패치를 추가하고, 받은 병적 파편을 버리고, 이번 공격을 감사합니다.
6.TCP/UDP 포트 검사
공격 유형: TCP/UDP 포트 스캔은 사전 감지 공격입니다.
공격 특징: 공격 대상 호스트의 다른 포트로 TCP 또는 UDP 연결 요청을 전송하여 공격 대상 서비스 유형을 감지합니다.
감지 방법: 통계 시스템 포트에 대한 외부 연결 요청, 특히 2 1, 23, 25, 53, 80, 8000, 8080 이외의 예외 포트입니다.
반공격 방법: 여러 TCP/UDP 패킷이 예외 포트에 연결되면 연결 요청을 가로채도록 방화벽에 알리고 공격자의 IP 주소와 MAC 주소를 검토합니다.
일부 복잡한 침입 공격 (예: 분산 공격 및 조합 공격) 의 경우 패턴 일치 방법뿐만 아니라 상태 전송 및 네트워크 토폴로지 방법을 사용하여 침입 감지를 수행해야 합니다.
넷째, 침입 탐지 시스템에 대한 몇 가지 생각
성능 측면에서 침입 감지 시스템이 직면 한 모순 중 하나는 시스템 성능과 기능의 절충입니다. 즉, 데이터의 포괄적이고 복잡한 검사는 시스템의 실시간 요구 사항에 큰 도전을 제기합니다.
기술적으로 침입 감지 시스템에는 다음과 같은 측면에서 해결해야 할 몇 가지 문제가 있습니다.
1.' 대규모 조합 분산 침입 공격' 식별을 위한 좋은 방법이나 검증된 솔루션은 없습니다. Yahoo 와 같은 잘 알려진 ICP 공격에서 보안 문제가 점점 더 두드러지고 공격자의 수준이 높아지고 있으며 공격 도구가 성숙해지고 다양해짐에 따라 공격 수단이 점점 더 복잡해지고 있으며 침입 탐지 시스템은 항상 최신 보안 기술을 추적해야 한다는 것을 알고 있습니다.
2. 네트워크 침입 탐지 시스템은 네트워크 패킷을 일치시켜 공격 행위를 발견합니다. 침입 탐지 시스템은 종종 공격 정보가 일반 텍스트로 전송된다고 가정하므로 정보를 변경하거나 다시 인코딩하면 침입 탐지 시스템의 감지를 속일 수 있으므로 문자열 일치 방법은 암호화된 패킷에 대해 아무 것도 할 수 없습니다.
3. 네트워크 장치의 복잡성과 다양성이 증가함에 따라 침입 탐지 시스템은 더 많은 환경의 요구에 맞게 사용자 정의 할 수 있습니다.
4. 침입 탐지 시스템의 평가에는 객관적인 기준이 없으며, 표준 불일치로 인해 침입 탐지 시스템이 상호 연결되기가 어렵습니다. 침입 탐지 시스템은 새로운 기술입니다. 기술의 발전과 새로운 공격 식별이 증가함에 따라 침입 탐지 시스템은 네트워크 보안을 보장하기 위해 지속적으로 업그레이드해야 합니다.
5. 부적절한 자동 응답도 침입 탐지 시스템에 위험을 초래할 수 있습니다. 침입 탐지 시스템은 일반적으로 방화벽과 함께 작동합니다. 침입 탐지 시스템이 공격을 발견하면 공격자의 모든 IP 패킷을 필터링합니다. 공격자가 다양한 IP 를 가장하여 공격을 시뮬레이션할 때 침입 감지 시스템은 실제로 공격받지 않은 이러한 모든 주소를 자동으로 필터링하도록 방화벽을 구성하여 새로운 서비스 거부 액세스를 발생시킵니다.
6. IDS 자체에 대한 공격. 다른 시스템과 마찬가지로 IDS 자체에도 보안 취약점이 있습니다. IDS 에 대한 공격이 성공하면 경보가 실패하고 침입자의 후속 행위가 기록되지 않습니다. 따라서 시스템에는 다양한 보안 조치가 필요합니다.
7. 네트워크 대역폭이 증가함에 따라 고속 네트워크 기반 감지기 (이벤트 분석기) 개발에는 여전히 많은 기술적 어려움이 있습니다.
침입 탐지 시스템은 네트워크 보안의 핵심 탐지 및 예방 시스템으로, 더 깊이 연구할 만한 여러 가지 측면이 있으며, 향후 네트워크 개발을 위한 효과적인 보안 수단을 제공하기 위해 더욱 보완해야 합니다.