매일 변하는 것 같지만, 접속하는 것을 확인하여 기록해 봅니다.
(조사 중에도 계속 변하긴 합디다.)
출처 : 한국 인터넷 스톰센터 http://www.nchovy.kr/security/kr_cert_top_hacking/
| TCP Invalid port | 30.79% |
| UDP Tear Drop | 28.82% |
| Ping Sweep | 11.71% |
Host Sweep  |
11.26% |
| SMB Service sweep(tcp-445) | 7.78% |
| Netbios Scan (Messenger, RPC Dcom, MyDoom...) (UDP-137) | 4.16% |
| Dcom_ICMP_Sweep(Welchia.worm, ICMP-Type8,Code0) | 1.63% |
공격에 대한 간단한 설명
1. TCP Invalid port
0번 포트나 알려진 포트에 비 정상적인 패턴을 보내어 OS가 무엇인지 알아내거나, 혼란에 빠뜨리는 공격
-> 알려진 포트는 A 라는 형태의 패킷이 와야 정상 처리가 되는데, A' 형태를 보내므로, 서버가 에러 메시지를 줄 때 OS
정보를 같이 노출하게 된다.
해결 방안 : 문제가 되는 서버 찾아서 해당 IP와 포트 막기!
2. UDP Tear Drop
보내는 쪽에서 IP Datagram을 쪼개고, 받는 쪽에서 합치는 일을 하는 네트워크의 특성을 이용해서, 합칠 수 없도록 논리적인 문제를 주는 공격
-> UDP를 분할해서 보내는 경우 정상적으로 짤라서 보내면, 특정 사이즈 단위로 패킷이 와야 하는데, 자기 마음대로 패킷이 와 버리면 시스템은 당황하게 된다.
해결 방안 : 문제가 되는 서버 찾아서 해당 IP를 일정 시간 동안 막는 방법
3. Ping Sweep
Sweep은 치우다 / 거칠게 휩쓸고 가다... 축구 수비수를 Sweeper라고 하나요? 여기에서는 스캐닝의 의미로 사용되었습니다. 특정 IP Address 가 사용중인지 확인하기 위해 Ping을 날려 봅니다. ICMP에서 echo 이면서 IP가 Broadcast인 경우 Ping sweep 공격으로 인식됩니다.
해결 방안 : 해킹의 잠재 징후이니 지속적으로 모니터링 해야 합니다.
4. Host Sweep
실제 공격에 들어가기 전에 호스트 정보를 수집하는 활동을 뜻합니다. 핑 (ICMP), 포트 스캔 (TCP, UDP) 등의 방법을 이용해서 다수의 호스트를 스캔하는 경우 탐지됩니다. 공격자는 이 단계를 통해 네트워크에서 공격 가능한 호스트를 찾아내고 실제 공격에 들어갈 수 있으므로 주의를 기울여야 합니다. 가급적 방화벽에서 꼭 필요하지 않은 포트의 접근을 차단함으로써 불필요한 경보 발생을 줄일 수 있습니다. 내부 네트워크 주소에서 발생하는 스캐닝은 정상적인 서비스 동작에서 발생한 것일 수 있습니다. 대부분은 실질적인 위협이 되지 못하지만 해당 호스트에서 추가적으로 이상 행동을 보인다면, 잠재적인 위협 가능성이 있으니 조사해 볼 필요가 있습니다.
해결 방안 : 해킹의 잠재 징후이니 지속적으로 모니터링 해야 합니다.
5. SMB Service sweep(tcp-445)
파일이나 프린터가 공유 되어 있는지 확인해서 공유 취약점을 이용해서 해킹하기 위해서 스캔하는 행위를 뜻합니다.
해결 방안 : 공유 프린터나 공유 파일을 쓰지 말자.
6. Netbios Scan (Messenger, RPC Dcom, MyDoom...) (UDP-137)
NET BIOS를 스캔하여 호스트명, 도메인 명, MAC Address를 획득하는 것. 해킹의 시작점.
해결 방안 : 137 ~139 포트를 막습니다.
7. Dcom_ICMP_Sweep(Welchia.worm, ICMP-Type8,Code0)
RPC DCOM 취약점을 이용하여 135 포트를 점거하고, 666~765 포트를 열어서 명령어를 실행합니다.
해결 방안 : 135 포트를 닫기.