1. TCP SYN Flooding 공격 대응방안
1) 완전한 3-way handshaking이 이루어지지 않으면 backlog queue가 소비되지 않도록 설정
- sysctl -w net.ipv4.tcp_syncookies = 1
- echo 1 > /proc/sys/net/ipv4/tcp_syncookies
> SYN에 대한 응답으로 SYN/ACK 전송 시, 상대방을 식별할 수 있는 Cookie를 넣어 전송
> ACK 응답에서 Cookie를 보고 연결의 유효성 확인
2) 방화벽 또는 DDoS 대응 장비를 이용해 동일 IP SYN 요청에 대해 임계치 설정
3) First SYN Drop설정
4) Backlog queue 크기를 늘림 (임시적 조치)
- (리눅스) sysctl -w net.ipv4.tcp_max_syn_backlog = 1024
- (유닉스) ndd -set /dev/tcp tcp_conn_req_max_q0 1024
2. HTTP GET Flooding with Cache-Control (CC Attack)
- 웹 서버의 부하를 감소시키기 위해 캐싱 서버를 운영하여 많이 요청받는 데이터는 캐싱 서버를 통해 응답하도록 구축하는 경우, 공격자는 HTTP 캐시 옵션을 조작해 캐싱 서버가 아닌 웹서버가 직접 처리하도록 유도 → 웹 서버 자원 소진
- Cache-Control 값이 no-store(캐시저장금지), must-revalidate(웹서버가 캐싱 서버에 저장된 캐시 데이터에 대한 검증 요구) 로 설정되어있으면 공격으로 판단
* Cache-Control : no-cache
: 캐시서버에 캐시된 entry가 fresh한 상태라 하더라도 웹서버로부터 무조건 다시 읽어서 응답하라는 의미
no-cache vs no-store
: 캐시를 저장하되 캐시가 유효한지 매번 서버에 질의하는 것이고, no-store는 아예 캐시를 저장하지 않는 것
no-cache vs must-revalidate
: must-revalidate와의 차이는 재검사를 거쳐 응답을 하는 공통점이 있지만, 재검사 주기가 차이점
* Cache-Control : max-age=n
: 캐시의 수명을 결정하는 정책, n초 단위로 캐시 신선도를 설정
: no-cache값은 대부분의 브라우저에서 max-age=0 과 동일한 뜻
3. uRPF (unicast Reverse Path Forwarding)
- 라우터가 패킷을 받으면 출발지IP 주소를 확인해 해당 IP로 갈 수 있는 역경로가 존재하는지 확인함으로써 출발지IP가 스푸핑되었는지 여부를 체크해 접근차단
- DoS/DDoS 공격 대응책 중 하나
4. PE 파일(Windows의실행파일포맷)섹션구조 //기출
.text : 프로그램 실행 코드를 담고 있는 섹션
.data : 읽기 쓰기가 가능한 영역으로 전역변수, 정적변수 등이 위치
.rdata : 읽기 전용 데이터 섹션으로 상수형 변수, 문자열 상수 등이 위치
.bss : 초기화되지않은 전역변수
.idata : 임포트할 DLL과 그 API/함수들에 대한 정보
.edata : 익스포트할 DLL과 그 API/함수들에 대한 정보
.rsrc : 다이얼로그, 아이콘, 커서 등 윈도우 어플리케이션 리소스 관련 데이터들을 담고 있는 섹션
.reloc : 실행 파일에 대한 기본 재배치 정보
5. Windows 레지스트리 루트키
- HKCR : 파일 확장자와 확장자에 대한 연결 프로그램 정보 (CLASSES_ROOT)
- HKCU : 현재 로그인 중인 사용자의 환경설정 정보
- HKLM : 개별 사용자가 아닌 시스템 전체에 적용되는 하드웨어와 응용 프로그램 설정 데이터
- HKU : 다중 사용자 환경에서 각 사용자별로 키 항목을 생성해 환경설정 정보 저장, 각 사용자별 존재하는 하이브 파일인 ntuser.dat 파일을 로드하여 생성
- HKCC : 현재 사용중인 윈도우의 하드웨어 프로필 정보(디스플레이 정보 등) (CURRENT_CONFIG)
6. 혹스(Hoax)
- 남을 속이거나 장난을 목적으로 퍼뜨리는 가짜 바이러스
- 일반적으로 허위 바이러스 경고 메일 형태로 나타남
- 악성코드 감염으로 개인정보, 비밀번호, 연락처, 사진, 동영상 등의 정보를 탈취해서 가지고 있으니 비트코인 등을 보내라는 협박성 사기 메일 형태로 이루어짐
7. 조크 //기출
- 악성코드의 일종으로 사용자에게 데이터 파괴 등 구체적인 피해를 입히는 것은 아니지만, 바이러스와 유사한 증상으로 사용자들을 놀라게 하는 프로그램
8. 다운로더
- 악성코드에서 지정한 주소에 접속하여 추가 악성코드를 다운로드하여 실행시키는 악성코드
- 백신 프로그램을 우회하는 목적으로 사용
9. 드롭퍼
- 다운로더와 유사하게 새로운 악성코드를 생성하지만, 다운로더가 외부에서 파일을 다운받는 것에 비해 드롭퍼의 경우 자신 내부에 포함된 데이터를 이용해 악성코드를 생성한다는 차이점
- 사용자가 인식하지 못하는 순간에 악성코드를 생성하며 사용자 시스템 내/외부에서 다양한 경로로 악성코드 감염
- 드롭되는 파일들은 일반적으로 드롭퍼 내부에 압축된 형태로 존재하기 때문에 백신 프로그램을 통한 탐지가 어렵고 실제 실행을 해보지 않고는 확인이 어려움
10. 인젝터
- 드롭퍼의 특수한 형태로, 동작방식은 같으나 파일을 생성하지 않고 자신의 데이터를 이용해 바로 새로운 프로세스 생성
- 해당 코드가 메모리 영역에 상주하여 감염시킴
'정보보안 > 신용어 정리' 카테고리의 다른 글
정보보안기사 실기 대비 신용어 정리 4탄 (빈칸문제) (0) | 2021.10.26 |
---|---|
용어 빈칸문제 - 정보보안기사 실기 대비 v7 (0) | 2021.10.26 |
용어 빈칸문제 - 정보보안기사 실기 대비 v5 (0) | 2021.10.24 |
용어 빈칸문제 - 정보보안기사 실기 대비 v4 (0) | 2021.10.24 |
용어 빈칸문제 - 정보보안기사 실기 대비 v3 (0) | 2021.10.22 |
댓글