해킹 기법 탐구
@학년 @반 @@@
1. Ddos란?
디디오에스/디도스, 분산 서비스 거부 공격(Distributed Denial of Service attack)을 뜻하는 것으로 서비스 거부 공격 DoS(Denial of Service attack)에서 한 단계 발전 시킨 것이다. 인터넷상에서 사이트 공격을 하는 방법 중 하나로 사이버테러의 대표적인 경우다.
생각외로 기본원리는 단순하다. "세상 여기저기에 퍼져있는 좀비PC들아 내게 힘을 빌려줘" 라며 그냥 여러 대의 컴퓨터에서 한 웹 서버에 비정상적인 트래픽을 흘려보내 웹 서버가 과도한 트래픽 소모 및 프로세스 진행, 과도한 입출력 등을 통해 서버가 먹통이 되게 만드는 기본적인 서버 공격방법. 어찌 보면 굉장히 간단하지만 의외로 확실하게 막을 방안이 없다.
단순한 방법
브라우저의 F5키를 연타하는 것도 서버에 웹 페이지 크기만큼의 트래픽을 주기 때문에 Dos 공격에 해당된다. 물론 혼자서 해서는 여러 대의 컴퓨터라는 정의에 맞지 않기 때문에 단순 DoS 공격일 뿐이고 조직적으로 어떤 시간대에 동시에 F5키를 연타하면 DDoS라고 부르는 것이 가능하다. 디시의 유명 프로그램 방법시리즈가 이 방식이다.
좀비 PC
유포한 악성코드를 통해서 PC들을 순식간에 '유사시에 공격이 가능한' 좀비 PC로 만든 뒤 공격에 동원하기도 한다. 뉴스 같은 곳에서 중국이 어쩌구... 하며 나오는 DDoS는 거의 이것이다. 감염된 수많은 컴퓨터가 일제히 서버에게 대량의 트래픽을 전송하여 서버가 허용하는 트래픽 용량을 넘어서게 되면 정상적인 클라이언트가 서버로 접속할 수 없게 된다. 근래 들어 수많은 컴퓨터가 좀비 PC가 되었다가 맛이 가는 사례가 뉴스에 종종 보도되니 주의하자. 다만 좀비 PC가 맛이 가는 경우는 DDoS 공격 자체의 특성이 아니고 좀비 PC를 조종하는 측에서 파괴 명령을 내린 것이다. 그렇지 않다면 좀비 PC측의 피해는 컴퓨터가 느려지는 정도. 그 외에 좀비 PC에서 개인정보를 꺼내가기도 한다. 공인인증서를 하드디스크에 저장했다면 삼가 고인의 명복을 빈다.
좀비pc로 감염되지 않으려면 윈도우 같은 OS는 정품사용을 하도록 하고 윈도우 기준으로 정기적인 윈도우 업데이트로 보안패치 만큼은 수시로 해 주는게 좋다. 또한 컴퓨터 백신은 정기적으로 최신버전으로 업데이트 하는 게 좋고, pc검사도 주기적으로 해주도록 하자. 이러한 간단한 컴퓨터 보안관리만으로도 감염으로 인한 2차 피해 (공인인증서, 금융보안 사고 등)를 예방할 수 있다.
위의 것과는 다른 방식으로 디도스를 실행하기도 한다. 악성스크립트를 이용하는 방식으로 방법은 이렇다. 접속량 많은 제 3의 사이트를 해킹해서 A사이트에 디도스를 실행해라라는 스크립트를 삽입한다. 그 순간부터 제 3의 사이트를 접속하는 사람은 자신도 모르게 A사이트를 접속해 공격하는 것이다. 이 방식은 탐지하기 힘들다. 해킹당한 제 3의 사이트는 자신의 사이트에 아무런 영향이 없기에 해킹당했다는 것을 알지 못해 해킹에 대응하지 않고 공격을 하는 접속자는 자신의 컴퓨터가 감염된 것이 아니기에 디도스에 악용되고 있다는 상황을 인지하지 못한다. 보안부분에서 제 3의 빈 공간이 생겨서 취약점이 만들어지는 것이다
2. SQL INJECTION
SQL이란?
에스큐엘, 혹은 시퀄이라고 읽는다. 구조적 데이터 질의 언어. 데이터베이스에서 자료를 처리하는 용도로 쓰인다.
어느 데이터베이스에서나 기본으로 제공하기 때문에 배워두면 여러 곳에서 쓸데가 많다. 다만, NoSQL 계열에서는 SQL 문을 사용하지 않는다.
SQL 인젝션
SQL 인젝션(SQL 삽입, SQL 주입으로도 불린다)은 코드 인젝션의 한 기법으로 클라이언트의 입력값을 조작하여 서버의 데이터베이스를 공격할 수 있는 공격방식을 말한다. 주로 사용자가 입력한 데이터를 제대로 필터링, 이스케이핑하지 못했을 경우에 발생한다. 공격이 쉬운 데 비해 파괴력이 어마어마하기 때문에 시큐어 코딩을 하는 개발자라면 가장 먼저 배우게 되는 내용이다. 이러한 injection 계열의 취약점들은 테스트를 통해 발견하기는 힘들지만 스캐닝툴이나 코드 검증절차를 거치면 보통 쉽게 발견되기 때문에 탐지하기는 쉬운 편이다. 보안회사 Imperva가 2012년에 발표한 보고서에 따르면 월평균 4회가량의 SQL 인젝션 공격이 일어난다고 한다. OWASP에서도 수년 동안 인젝션 기법이 보안 위협 1순위로 분류되는 만큼 보안에 각별한 주의가 필요하다.
GUI란?
지금 여러분이 쓰고 있는 OS의 인터페이스
Graphical User Interface의 약자다. 현재 OS는 물론이고 온갖 게임이나 유틸리티 등에서도 모두 이용되고 있는 이른바 세계의 대세. 기존의 직접 문자를 입력하는 인터페이스는 CLI(Command-line Interface) 또는 CUI(Character User Interface)라고 부른다. UNIX 콘솔이나 도스 시리즈가 CLI의 대표적인 예.
CUI 와 GUI의 차이를 알기 쉽게 설명하면, CUI는 음식을 주문 할 때 점원에게 메뉴를 말 또는 글로 주문하는 것이고 단, 주문하려는 메뉴의 이름을 정확하게 알고있어야하며, 한 글자라도 틀리는 경우 주문을 거부한다(...) 심각한 경우 대소문자 하나 잘못써도 주문을 해주지 않는다, GUI는 점원에게 음식이 그려진 메뉴판에서 원하는 것을 가리키며 달라고 하는 것과 같다.
장점 역시 이와 같은데, GUI의 일단 눈에 확 띄어서 뭘 하는지 잘 보인다는 점과 쉽고 직관적인 조작방식이 있다. 따라서 컴퓨터 언어를 몰라도 조작이 가능한데, 비유를 하면 외국 식당에 가서 주문을 넣을때, 해당 지역의 언어를 구사할 줄 몰라도 단순히 메뉴판의 그림을 가리키는 것 만으로도 주문이 가능한 것과 같다. 그밖에 CUI는 추상적인 명령어를 입력해야 했고, 명령을 입력해서 이게 잘 되나 안 되나 직접 눈으로 보는 것도 힘들었지만 GUI는 알기 쉽게 그래픽으로 다 표현해준다. 조작도 명령어 입력 등이 없고 그냥 마우스 커서 가져다 대서 클릭만 하면 다 된다.
ISP란?
개인이나 기업체에게 인터넷 접속 서비스, 웹사이트 구축 및 웹호스팅 서비스 등을 제공하는 회사를 말한다. 대표적으로 한국에서는 KT 인터넷, SK브로드밴드, LG U+ 등이 있다.
# 생기부를 어떻게 만들어야 대학에서 좋아하는지,
# 무엇을 준비해야 대회에서 상을 받는지
# 어떤 봉사를 해야 소재로 쓰이는지
저만의 꿀팁을 최대한 눌러 담았습니다.
'일상 > 보고서' 카테고리의 다른 글
[중국발 미세먼지] 미세먼지의 개념(-> 미세먼지 성분,개념,종류, 국내 미세먼지) (0) | 2020.08.05 |
---|---|
[지구과학 생기부 활동]미세먼지와 기상 사이의 관계 정보 공개(->지구과학 미세먼지, 기온역전 미세먼지) (0) | 2020.08.05 |
컴공과 생기부 보고서 공개(->컴공과 생기부, 보고서, 칼리리눅스, 해킹, 정보보안학과 준비) (0) | 2020.08.04 |
고등학생 홈페이지 제작 보고서 공개(-> 컴공과 준비, 컴공과 세특, 컴공과 생기부, 컴공과 고등학교 생기부, 컴공과 활동) (0) | 2020.08.04 |
정보보안 보고서 공개(-> 정보보안 분야 이슈, 요약, 정리, 고등학교 수행평가, 정보보안 방법, 해킹 방법, 해킹의 실체 ) (0) | 2020.08.04 |