9장(세션 하이재킹) 연습문제 #네트워크 해킹과 보안

1. TCP 시퀀스 넘버에 대한 정보를 얻지 못한 채 세션 하이재킹을 실시하는 공격은 무엇인가?

- 원격 세션 하이재킹 공격

 

2. 시퀀스 넘버는 몇 비트 숫자인가?

- 32비트

 

3. 세션 하이재킹을 탐지하는 방법이 아닌 것은 무엇인가?

- 계속되는 SYN 패킷의 탐지

 

4. 세션 하이재킹에 대한 최우선의 방어책은 무엇인가?

- 암호화

 

5. SSH의 인증 순서를 표시하시오.

- 2단계 : 클라이언트는 자신의 사설키로 데이터를 암호화하고 이를 다시 서버의 공개키로 암호화한 뒤 서버로 전송한다.
  3단계 : 서버는 클라이언트로부터 전송받은 암호화된 데이터를 자신의 사설키로 먼저 복호화 한 후, 이를 다시 클라이언트의 공개키로 복호화해서 데이터를 읽는다.
  1단계 : 최초 클라이언트가 SSH를 통해서 SSH 서버에 접근하고자 하면, 클라이언트는 서버의 공개키를 얻어온다.

 

6. SSL의 인증 순서를 표시하시오.

- 2단계 : 서버는 서버의 SSL 버전과 암호화 알고리즘, 클라이언트가 접속하는 데 필요한 정보를 클라이언트에게 보낸다.
  5단계 : 이후 서버와 클라이언트 간에 전송되는 데이터는 모두 세션키를 통해 함호화 한다.
  1단계 : 클라이언트는 자신의 SSL 버전과 암호화 알고리즘, 임의로 만든 데이터, 인증과 관련하여 서버가 요구하는 일반 정보를 서버로 보낸다.
  3단계 : 서버가 자신의 인증서를 클라이언트에게 보내면 클라이언트는 인증서를 확인하여 서버를 인증한다. 인증에 실패할 경우 신뢰할 수 없는 서버임을 경고한다.
  4단계 : 인증이 확인되면 서버는 클라이언트에 'Master Secret'를 암호화하여 전송하고, 클라이언트와 서버는 'Master Secret'를 이용하여 통신에 사용할 세션키를 만든다.

 

7. 세션에 대해서 설명하시오.

- 사용자와 컴퓨터, 또는 두 대의 컴퓨터가 서로 활성화된 상태를 말한다.

 

8. TCP 쓰리웨이 핸드셰이킹을 할 때 TCP 시퀀스 넘버의 상태를 설명하시오.

- Client  - - SYN(Client_My_Seq) - -> Server
  Client <- - SYN/ACK(Server_My_Seq, Server_Client_Seq + 1) - - Server
  Client  - - ACK(Client_Server_seq + 1) - -> Server
  
  Client_My_Seq 클라이언트가 관리하는 자신의 시퀀스 넘버
  Client_Server_Seq 클라이언트가 알고 있는 서버의 시퀀스 넘버
  Server_My_Seq 서버가 관리하는 자신의 시퀀스 넘버
  Server_Client_Seq 서버가 알고 있는 클라이언트의 시퀀스 넘버
  Data_Len 데이터의 길이

 

9. TCP 시퀀스 넘버에 따른 데이터 전송 상태를 설명하시오.

- 321p ~ 322p

 

10. TCP 세션 하이재킹 시 TCP 시퀀스 넘버의 상태를 설명하시오.

- 324p 그림 9-3

 

11. SSH MITM 공격의 순서를 설명하시오.

- 1단계 : 클라이언트가 서버에 SSH 접속을 요청하면, 공격자가 ARP 스푸핑과 같은 공격으로 네트워크를 장악한 뒤 클라리언트의 공개키 요청을 받고 SSH 서버인 것처럼 자신의 공개키를 전송한다. 공격자는 클라이언트가 원래 접속하려던 서버에 자신이 클라이언트인 것처럼 공개키를 요청한다.
  2단계 : 정상적인 접속에서 클라이언트가 서버에 암호화된 데이터를 보내면 공격자는 이를 자신의 사설키와 클라이언트의 공개키로 복호화하고 내용을 확인한다. 그런 다음 다시 자신의 사설키와 서버의 공개키로 암호화해서 서버로 전송한다.
  3단계 : 서버가 클라이언트로 데이터를 보낼 때도 공격자는 서버가 전송한 데이터를 복호화 한 후, 다시 암호화해서 전송한다.

 

12. SSL 스니핑과 SSL 스트립 공격의 차이점을 설명하시오.

- 공격자는 임의의 인증서를 만들지 않고, 약간 변조된 URL로 클라이언트와 암호화되지 않은, 즉 SSL이 아닌 일반 HTTP 연결을 생성한다.