티스토리 뷰
SW 개발 보안 3대 요소
- 기밀성: 인가되지 않은 개인 혹은 시스템 접근에 따른 정보 공개 및 노출을 차단하는 특성
- 무결성: 정당한 방법을 따르지 않고서는 데이터가 변경될 수 없고, 데이터의 정확성 및 완전성과 고의/악의로 변경되거나 훼손되지 않음을 보장하는 특성
- 가용성: 권한을 가진 사용자나 애플리케이션이 원하는 서비스를 지속해서 사용할 수 있도록 보장하는 특성
Dos 공격
시스템을 악의적으로 공격해 해당 시스템의 자원을 부족하게 하여 사용하지 못하게 하는 공격
- SYN 플러딩: 다른 사용자가 서버를 사용하지 못하게 하는 공격
- UDP 플러딩: 대량의 UDP 패킷을 만들어 임의의 포트 번호로 전송하여 지속적으로 자원을 고갈시키는 공격
- 스머프: 출발지 주소를 공격 대상의 IP로 설정해 네트워크 전체에게 ICMP Echo 패킷을 직접 브로드캐스팅하여 마비시킴
- 죽음의 핑: ping을 정상적인 크기보다 아주 크게 만들어서 전송
- 랜드어택: 출발지 IP와 목적지 IP를 같은 패킷 주소로 만들어 보내서 수신자가 자기 자신에게 응답을 보내도록 함
- 티어드롭: Fragment Offset 정보로 인해 수신 시스템이 문제를 발생하도록 만드는 공격
- 봉크/보잉크: 시스템의 패킷 재전송과 재조립이 과부하를 유발하게 하는 공격 기법
DDos 공격
여러 대의 공격자를 분산 배치하여 동시에 동작하게 함으로써 특정 사이트 공격
- Trinoo: 많은 소스로부터 통합된 UDP flood 서비스 거부 공격을 유발하는데 사용
- TFN: 많은 소스에서 하나 혹은 여러 개의 목표 시스템에 대해 서비스 거부 공격
- Stacheldraht: 분산 서비스 거부 에이전트 역할
DRDoS
공격자는 출발지 IP를 공격대상 IP로 위조하여 다수의 반사 서버로 요청 정보를 전송
- HTTP GET Flodding: 과도한 GET 메시지 사용으로 웹 서버의 과부하를 유발시키는 공격
- Slowloris: HTTP GET 메서드
- RUDY
- Slow Http Read DoS
- Hulk DoS
- Hash DoS
네트워크
- 스니핑: 직접 공격을 하지 않고 데이터만 몰래 들여다보는 수동적 공격
- 패스워드 크래킹
- 사전 크래킹: ID-PW 단어 파일
- 무차별 크래킹: 패스워드로 사용될 수 있는 글자를 무작위로 패스워드 자리에 대입
- 패스워드 하이브리드 공격: 사전 + 무차별
- 레인보우 테이블 공격: 패스워드 별로 해시 값을 미리 생성해서 역으로 패스워드를 찾음
- IP 스푸핑: 본인의 패킷 헤더를 인증된 호스트의 ip로 위조하여 타깃에 전송
- ARP 스푸핑: 공격자가 특정 호스트의 mac 주소를 공격자의 mac 주소로 변경
- ICMP Redirect: 스니핑 시스템을 네트워크에 존재하는 또 다른 라우터라고 알림
- 트로이 목마: 겉보기에는 정상적인 프로그램으로 보이지만 실행 시 악성 코드를 실행하는 프로그램
시스템 보안 위협
'정처기 실기' 카테고리의 다른 글
정처기 실기 단답식 정리 (커서 잡으면 답 나옴) (0) | 2023.07.17 |
---|---|
10. 애플리케이션 테스트 관리 (0) | 2023.07.13 |
8. 서버프로그램 구현 (0) | 2023.07.12 |
4. 통합 구현 | 5. 인터페이스 구현 (0) | 2023.07.12 |
3. 데이터 입출력 (0) | 2023.07.12 |