Spoofing(TCP Session Hijacking)

Session Hijacking

   • 세션(Session)

      ⸰ 두 대의 시스템(host) 간의 통신(활성화 된 상태)을 의미

   • 세션 하이재킹(Session Hijacking)

      ⸰ Sniffing + Spoofing을 이용한 공격

      ⸰ 이미 인증을 받아 세션 생성 및 유지되어 있는 연결을 여러 기법을 이용하여 빼앗는 공격

      ⸰ 종류

            ‣ TCP Session Hijacking

            ‣ Web Session Hijacking

      ⸰ 유형

            ‣ Passive Hijacking

               - 공격자의 시스템에서 세션 데이터 흐름을 모니터링하여 민감한 데이터 획득

            ‣ Active Hijackig

               - 두 host 중에 임의의 host를 대신하여 연결 진행

 

TCP Session Hijacking

   • 정상적인 TCP 통신에서 연결의 신뢰성 확보를 위한 동작을 악용한 공격

      ⸰ Sequence Number, IP주소, TCP port

   • IP Spoofing의 공격 개념과 유사하나 Telnet, FTP 등 TCP를 이용하는 세션 갈취 가능

   • 문제점

      ⸰ ACK Storm

            1. 공격자가 Session Hijacking을 시도하는 동안 클라이언트는 정상적인 패킷을 서버로 전송

            2. 공격자에 의해 공격당한 서버는 해당 패킷을 정상적이지 않은 Sequence Number로 인식하여 ACK 패킷 전송

            3. 클라이언트 역시 서버가 보낸 정보가 자신의 정보와 다름을 인지 후 서버에게 ACK 패킷 전송

            4. 1,2,3 과정 무한 반복

      ⸰ 공격자 입장에서의 ACK Storm 해결

            ‣ ARP Spoofing을 이용하여 잘못된 패킷은 전달(Forwarding)되지 않도록 공격 실시

   • 보안 대책

      ⸰ 비동기화 상태 탐지

      ⸰ ACK Storm 탐지

            ‣ TCP Session Hijacking 중에 발생가능한 ACK Storm 탐지(=트래픽에서 ACK Packet 비율 탐지

      ⸰ 패킷 유실 및 재전송 증가 탐지

            ‣ MITM 공격 형태로 작동하기 때문에 패킷 유실 or 재전송 발생으로 서버와의 응답시간 ↑

      ⸰ 지속적인 인증(Continumous Authentication)

            ‣ 특정행동 or 일정시간 이후 재인증 수행으로 접속자가 유효한 사용자(정당한 인증 수행)인지 여부 확인

      ⸰ 암호화 방식 사용

            ‣ 데이터 전송 시 암호화를 통해 Sniffing 보안

            ‣ Sniffing에 대한 대응을 통해 Sequence Number 추측이 제한되도록 함

   • 공격 예시

            ‣ hping3 -a <출발지 IP> -s <출발지 port> -p <목적지 port> -M<Sequence Number> -L <Acknowledge Number>

             -E <전송 데이터가 들어있는 파일 경로> -d <전송 데이터 크기> -PA -c <패킷 카운트> <목적지 IP>