여기서 말하는 세션(Session)이란?
'사용자와 컴퓨터, 또는 두 대의 컴퓨터간의 활성화된 상태'를 말합니다.
우리가 이번에 알아볼 것은 TCP 세션 하이제킹 입니다.
TCP 세션 하이재킹은 TCP가 가지는 고유한 취약점을 이용해 정상적인 접속을 빼앗는 방법입니다.
TCP는 클라이언트와 서버간 통신을 할때 패킷의 연속성을 위해 각각 시퀀스 넘버를 사용 합니다.
이때 시퀀스 넘버가 잘못되면 바로잡기 위한 작업을 하는데, TCP 세션 하이제킹은 이때
시퀀스 넘버를 위조해 연결된 세션에 혼란을 준 뒤 자신이 끼어들어 가는 방식입니다.
기본적인 단계를 알아봅시다
1. 클라이언트와 서버 사이의 패킷을 통제합니다. 그후 ARP 스푸핑을 통해 클라이언트와 서버 사이의 통신 패킷이 모두 공격자를 지나가게 하도록 합니다.
2. 서버에 클라이언트 주소로 연결을 재설정하기 위한 RST 패킷을 보낸후
서버는 해당 패킷을 받고, 클라이언트의 시퀀스 넘버가 재설정 된것으로 착각, 다시 TCP 쓰리웨이 핸드 쉐이킹을 합니다.
3. 공격자는 클라이언트 대신 연결되어 있던 TCP 연결을 그대로 물려받습니다.
이렇게 되면 공격자는
Telnet 등을 통해 연결놓은 세션을 아이다와 패스워드 입력없이 그대로 뺏은 효과가 됩니다.
방어 :
일단 세션하이제킹을 막기 위해서는 SSH등과 같은 인증수준이 높은 프로토콜을 이용하고
MAC주소를 고정시키는 방법은 ARP스푸핑 자체를 막기 때문에 세션 하이제킹도 막을수 있지만
MAC주소 고정 방법은 저번에도 말했듯이 영구적인게 아닌것을 알아둬야 됩니다.
'Security > Network Hacking' 카테고리의 다른 글
| No.6 메일을 이용한 IP 추적 (0) | 2012.07.11 |
|---|---|
| No.5 Whois 서버이용 정보획득 (0) | 2012.07.11 |
| No.4 Network Packet분석 (0) | 2012.07.11 |
| No.2 Sniffing OR Spoofing (0) | 2012.07.11 |
| No1. 서비스 거부 (Dos) 공격과 방어 (0) | 2012.07.11 |