네트워크

단답형

217

다음 빈칸에 적절한 용어를 쓰시오.

(    )은/는 특정 IP 주소와 포트 번호의 조합으로서 같은 IP의 동일한 시스템이 동시에
특정 클라이언트의 복수 개의 응용프로그램에 정확하게 통신할 수 있게 해주는 기반을 제공
해주는 소프트웨어 모듈을 의미한다.

• 정답
  : 소켓

218

다음 빈칸에 적절한 용어를 쓰시오.

Well-known 포트의 범위는 ( A )이고, 통상적으로 23번포트를 사용하는 ( B ), 25번 포트
를 사용하는 ( C )가 있다.

• 정답
  A : 0 - 1023
  B : Telnet
  C : SMTP

• 해설
  well-known 포트

225

이 프로그램은 ICMP Echo Request 메시지를 특정 호스트에 송신하여, 이에 대한 ICMP Echo Reply를 수신하므로써 호스트의 활성화 여부를 검사하고 요청과 응답에 대한 경과 시간 RTT(Round Trip Time)를 알아볼 때 사용한다. 어떤 프로그램에 대한 설명인지 쓰시오.

• 정답
  : ping

• 해설
  : ping 명령은원격 호스트에 대한 접근성(활성화 여부) 및 해당 구간에 대한 네트워크 속도(왕복 시간) 및 품질(손실률)을 검사하기 위한 명령어이다.

227

다음은 리눅스 시스템에서 명령을 수행한 결과이다. 명령어와 상세 옵션을 쓰시오.

[root@localhost ~]#
Active Internet connections (servers and established)
proto Reacv-Q Send-Q Local Address
tcp		0    0 0.0.0.0:44867		Foreign Address			State
tcp		0    0 0.0.0.0:3306			0.0.0.0:*				LISTEN
tcp		0	 0 0.0.0.0:111			0.0.0.0:*				LISTEN
tcp		0	 0 0.0.0.0:22			0.0.0.0:*				LISTEN
tcp		0	 0 127.0.0.1:631		0.0.0.0:*				LISTEN
tcp		0	 0 127.0.0.1:25			0.0.0.0:*				LISTEN
tcp		0	 0 192.168.197.133:23	192.168.197.1:3473		ESTABLISHED

• 정답
  : netstat -ant

• 해설
  a : 모든 상태의 소켓 정보 출력
  t : tcp 소켓만 출력
  u : udp 소켓만 출력
  n : 주소정보를 호스트명 또는 서비스명이 아닌 숫자 형식으로 출력
  p : 해방 소켓의 PID/프로세스명 정보 출력

230 ⭐️⭐️

다음 빈칸 ( A ), ( B ), ( C )에 적절한 용어를 쓰시오

tracerout 명령은 목적지까지 패킷 도달 여부를 확인하는 도구로서 목적지까지 진행 경로를
추적한다. 처음에는 IP 패킷의 ( A ) 필드값이 1인 패킷을 보내게 된다. 그러면 이 패킷이
도달한 라우터에서는 ( A ) 필드값이 감소하게 되고 ( B ) 프로토콜에 의해 시간초과
(Time Exceeded)오류 메시지를 출발지로 보내게 된다. 다음은 ( A ) 필드값이 ( C )인
패킷을 보내어 라우터 정보를 얻어오는 방식을 반복함으로써 최종 목적지까지의 경로를 확인
할 수 있다.

• 정답
  A : TTL
  B : ICMP
  C : 2
  
  
• 리눅스/유닉스(traceroute) 계열과 윈도우(tracert) 계열
  • traceroute
    : 목적지 호스트 포트(33434/udp 이상)로 UDP 패킷의 TTL값을 1씩 증가 시키면서 진단
  • tracert
    : 목적지 호스트로 ICMP Echo Request 패킷의 TTL 값을 1씩 증가 시키면서 진단

235

다음 중 TCP 포트가 닫힌 경우에만 패킷이 되돌아오는 원리를 이용한 포트 스캔 방법을 모두 고르시오.

SYN Scan, FIN Scan, Xmas Scan, NULL Scan, Decoy Scan

• 정답
  : TCP FIN / NULL / Xmas 스캔

• 해설
  : SYN 스캔의 경우 포트가 닫혔을 때 RST 응답이 오지만, 열린 경우에도 SYN+ACK 응답이 오기 때문에 해당하지 않음

243 ⭐️

다음 포트 스캐닝(port scanning) 공격의 결과이다. 빈칸 ( A ), ( B ), ( C )에 적절한 용어를 쓰시오.

1) TCP Open(Connect) 스캔 공격 시 대상 호스트 포트가 닫힌 상태일 때 ( A ) 패킷 
   응답이 반환된다.
2) TCP Half Open(SYN) 스캔 공격 시 대상 호스트 포트가 닫힌 상태일 때 ( B ) 패킷 
   응답이 반환된다.
3) TCP NULL 스캔 공격 시 대상 호스트 포트가 닫힌 상태일 때 ( C ) 패킷 응답이 
   반환된다.

• 정답
  A : RST + ACK
  B : RST + ACK
  C : RST + ACK

248

IP 단편화(Fragmentation)는 이기종 네트워크 환경에서 IP 패킷의 효율적인 전송을 보장해주고있지만 이러한 IP 단편화를 악용한 공격기법들이 있다. 아래 설명하고 있는 IP 단편화를 이용한 공격기법은 무엇인가?

공격자는 공격용 IP 패킷을 첫 번째 단편에서는 패킷 필터링 장비에서 허용하는 HTTP(TCP 80)포트와 같은 포트 번호를 입력한다. 그리고 두 번째 단편에서는 offset을 아주 작게 조작해서 단편들이 재조합될 때 두 번째 단편이 첫 번째 단편의 포트 번호가 있는 부분까지 자기가 원하는 포트번호로 덮어 씌우는 공격기법이다.

• 정답
  : Fragment Overlap 공격
  
  
• 공격 방식
  1. 공격자는 공격용 IP 패킷을 위해 두개의 단편을 생성한다.
     첫번째 단편에서는 패킷 필터링 장베서 허용하는 포트번호로 설정
     두번째 단편에서는 offset을 조작하여 재조합 될 때 첫번 째 단편의 일부분을 덮어쓰도록 함
  2. 일반적으로 공격자들은 첫번째 단편의 포트번호가 있는 부분까지 덮어씌움
     침입 탐지/차단 시스템에서는 첫 번째 단편을 허용된 포트 번호이므로 통과시키고, 두 번째 단편은 이전에 이미허용된 첫 번째 단편의 ID를 가진 단편이므로 역시 통과 시킴
  3. 두 개의 단편들이 목적지 서버에 도달하여 재조합되면 첫 번째 단편의 포트 번호는 두 번째 단편의 포트 번호로 덮어쓰게 되어 공격자가 원하는 포트로 연결됨

249

TCP 헤더 부분을 아주 작게 만들어서 네트워크 침입탑지시스템이나 패킷 필터링 장비를 우회하는 공격으로 목적지 서버에서는 이 패킷들이 재조합되어 공격자가 원하는 포트의 프로그램으로 연결하는 공격기업은 무엇인가?

• 정답
  : Tiny Fragment 공격
  
  
• 공격 방식
  1. TCP 헤더가(일반적으로 20바이트) 2개의 단편에 나누어질 정도로 작게 쪼개서 목적지 TCP 포트가 두 번째 단편에 위치하게 함
  2. 패킷 필터링 장비나 IDS는 필터링을 결정하기 위해 포트 번호를 확인하는데, 포트 번호가 포함되지 않을 정도로 아주 작제 쪼개진 첫번째 단편을 그냥 통과 시킴
  3. 실제로 포트 번호가 포함된 두 번째 단편은 첫 번째 단편이 허용되었으므로 통과됨
  4. 보호되어야 할 목적지 서버에서는 이 단편들이 재조합되어 공격자가 원하는 포트로 연결됨