해커 가 검 측 수단 을 피하 다.

해커 의 똑똑 함 은 서버 침입 을 알 고 있 는 것 이 아니 라 공격 을 위장 하 는 방법 을 알 고 있 는 것 이다.악의 적 인 공격 자 는 자신 이 감지 되 지 않도록 다양한 도피 수단 을 사용 하기 때문에 시스템 관리자 로 서 발생 할 수 있 는 공격 에 대처 해 야 한다.이 글 의 주요 목적 은 해커 의 새로운 공격 수법 을 밝 히 는 것 이 아니 라 해커 들 이 사용 하 는 검 측 회피 수법 과 그들 이 남 길 수 있 는 증 거 를 묘사 하 는 것 이다.이런 수단 들 은 사기 성 이 매우 크기 때문에 그것들 을 감지 하 는 것 도 더욱 어렵다.  네트워크 서버  우리 의 실험 환경 은 두 가지 가장 자주 사용 하 는 네트워크 서버,Apache 와 마이크로소프트 의 인터넷 을 사용한다. Information Server(IIS)。저희 레 드 에 있어 요. Hat Linux 에서 아파 치 실행 1.3.9 NT 4.0 에서 IIS 실행 4.0。또한 두 가지 모두 일반 버 전과 SSL 을 허용 하 는 버 전 을 사용 하기 때문에 암호 화 되 지 않 은 서버 의 공격 을 테스트 할 수 있 습 니 다.16 진수 인 코딩 의 가장 간단 한 공격 위장 수단 은 URL 수정 요청 입 니 다.관리자 로 서 로그 파일 에서 일부 문자열 이나 일반 텍스트 의 문자 집합 을 찾 습 니 다.예 를 들 어 우 리 는 요청 에서 이미 알 고 있 는 구멍 과 일치 하 는 문자열 을 찾 습 니 다.예 를 들 어 IIS 서버 에서 다음 과 같은 문자열 을 발 견 했 습 니 다.IIS 에서 원 격 으로 이용 할 수 있 는 MDAC 구멍 이 있 는 지 찾 고 있 는 사람 이 있 습 니 다.  06:45:25 10.0.2.79 GET /msadc/ 302 공격 자가 이러한 일치 검 사 를 어떻게 피 했 는 지 알 고 싶 으 시 면 악의 적 인 공격 자 전략의 일부분 으로 아래 의 요 구 를 참고 하 시기 바 랍 니 다.msadc 디 렉 터 리 가 존재 하 는 지 확인 하려 면 공격 자 는 다음 과 같은 내용 을 입력 할 수 있 습 니 다:[root@localhost /root]# nc -n 10.0.2.55 80  GET /msadc HTTP/1.0 에서 보 이 는 로그 파일 을 만 듭 니 다.공격 자 는 16 진수 의 ASCII 문자 인 코딩 을 요청 할 수 있 습 니 다.위의 예 에서 문자열 msadc 는 16 진수 인 코딩 이후 6D 로 변 합 니 다. 73 61 64 63。Windows 사용 가능 Charmap 프로그램 은 문자 의 ASCII 를 16 진법 으로 빠르게 변환 합 니 다.위의 HTTP 요청 은 문자열 msadc 를 16 진수 로 인 코딩 한 후 다음 과 같 습 니 다.  [root@localhost]# nc -n 10.0.2.55 80  GET /%6D%73%61%64%63 HTTP/1.0  IIS 로그 파일 표시:07:10:39 10.0.2.31 GET /msadc/ 302  주의해 야 할 것 은 16 진 인 코딩 수단 을 사 용 했 지만 16 진 인 코딩 을 사용 하지 않 은 URL 과 같은 로 그 를 만 들 었 습 니 다.그래서 이 예 에서 인 코딩 은 공격 자가 검 사 를 피 하 는 데 도움 이 되 지 않 았 다.그러나 아파 치 의 로그 상황 을 살 펴 보면 또 다른 상황 이다.CGI 스 크 립 트 를 검색 하려 면 다음 공격 자가 사용 하 는 명령 입 니 다.16 진수 인 코딩 을 사용 한 다음 명령 이 뒤 따 릅 니 다.  [root@localhost]# nc -n 10.0.0.2 80  HEAD /cgi-bin/test-cgi HTTP/1.0  [root@localhost]# nc -n 10.0.0.2 80  HEAD /%63%67%69-bin/test-%63%67%69 HTTP/1.0  이제 access 를 살 펴 보 겠 습 니 다.로그 파일:  10.10.10.10 - - [18/Oct/2000:08:22:47 -0700] "HEAD /cgi-bin/test-cgi HTTP/1.0" 200 0  10.10.10.10 - - [18/Oct/2000:08:23:47 -0700] "HEAD /%63%67%69-bin/test-%63%67%69 HTTP/1.0" 200 0  우선 주의해 야 할 것 은 이 두 가지 예 에서 모두 200 코드 설명 명령 이 성공 했다 는 것 이다.그러나 두 번 째 상황 에서 로그 에 나타 난 것 은 명문 이 아 닌 16 진법 의 값 입 니 다.만약 우리 가 형식 에 의존 하여 이런 공격 을 검 측 한다 면 우 리 는 발생 하 는 공격 을 감지 할 수 없 을 것 이다.많은 침입 검색 시스템 에서 사용 하 는 형식 매 칭 기술 의 지능 화 는 높 지 않 으 며,일부 제품 은 16 진법 의 URL 을 바 꾼 후에 매 칭 하지 않 습 니 다.그러나 사용 하 는 침입 검색 소프트웨어 가 16 진법 코드 를 바 꿀 수 있 든 없 든 모든 네트워크 관리 자 는 이런 수법 에 대해 알 아야 한다.  프 록 시 서버  공격 자 에 게 공격 행 위 를 완전히 숨 기 는 것 은 어 려 운 일이 기 때문에 공격 의 진실 한 출처 를 감 추 는 것 도 중요 한 과제 가 된다.해커 가 그의 원본 IP 주 소 를 숨 길 수 있다 면 잡 힐 걱정 없 이 공격 할 수 있 을 것 이다.해커 가 그들의 원본 IP 주 소 를 숨 기 는 수단 중 하 나 는 프 록 시 서버 를 사용 하 는 것 이다.  프 록 시 서버 는 하나의 접근 점 에서 여러 프로 토 콜 을 전송 하 는 데 합 법 적 으로 사용 된다.일반적으로 내부 사용 자 는 프 록 시 서버 를 통 해 인터넷 에 접근 해 야 하기 때문에 관리 자 는 프 록 시 서버 에서 외부 방문 과 내부 방문 의 제한 정책 을 지정 할 수 있 습 니 다.사용 자 는 먼저 프 록 시 서버 와 연결 을 한 다음 에 프 록 시 서버 는 연결 요청 을 실제 목적 주소 로 전송 합 니 다.목적 주 소 는 최초 로 요청 한 시스템 의 IP 주소 가 아 닌 프 록 시 서버 의 IP 주 소 를 기록 합 니 다.그러나 불 행 히 도 프 록 시 서버 가 인터넷 에 너무 자 유 롭 게 설치 되 어 있다.이 오류 설정 기기 의 목록 을 얻 기 위해 Proxys-4-All 을 볼 수 있 습 니 다.) 이 서버 들 은 인터넷 사용자 가 프 록 시 서버 에 연결 할 수 있 도록 설정 오류 가 자주 발생 합 니 다.한 인터넷 사용자 가 프 록 시 서버 를 통 해 한 서버 에 연결 되면 이 서버 는 프 록 시 서버 의 IP 주 소 를 요청 한 원본 주소 로 로그 에 기록 합 니 다.공격 당 한 서버 의 로그 에 공격 자 에 대한 기록 의 IP 주 소 는 공격 행위 가 없 는'무고 한'호스트 에 속 하 며 공격 자의 실제 주소 가 아 닙 니 다.우 리 는 아래 의 예 를 보 자.  아래 의 예 는 해커 의 공격 과 공격 이 로그 에서 발생 하 는 관련 정 보 를 보 여 준다.  공격 자  [[email protected] /]# nc -v 10.8.8.8 80  HEAD / HTTP/1.0  로그 파일  10.1.1.1 - - [18/Oct/2000:03:31:58 -0700] "HEAD / HTTP/1.0" 200 0  아래 와 같은 상황 에서 우 리 는 공격 자가 같은 목적 을 달성 하 는 것 을 보 았 으 나 이번 에는 프 록 시 서버 를 사용 했다.  공격 자  [[email protected] /]# nc -v 216.234.161.83 80  HEAD http://10.8.8.8/ HTTP/1.0  로그 파일  216.234.161.83 - - [18/Oct/2000:03:39:29 -0700] "HEAD / HTTP/1.1" 200 0  이 예 에서 로그 파일 에 나타 난 주 소 는 공격 자의 실제 주소 가 아 닌 프 록 시 서버(216.234.161.83,proxy.proxyspace.com)입 니 다.이 사례 에서 공격 자 는 공격 의 출처 주 소 를 성공 적 으로 숨 겼 다.하지만 네트워크 관리자 가 프 록 시 서비스의 지원 을 받 을 수 있다 면 공격 의 진정한 출처 를 추적 할 수 있다.대부분의 프 록 시 서버 는 상당히 상세 한 로 그 를 저장 하기 때문에 대부분 공격 의 출처 를 찾 을 수 있다.그러나 도 고 일 척 마 고 일전 에 해커 도 해당 하 는 방법 으로 역 추적 을 할 수 있다.그들 은 다 중 대 리 를 사용 할 수도 있 고'대리 체인'으로 공격 할 수도 있다.관리자 와 법 집행 부서 도 모든 중간 프 록 시 서버 를 순서대로 검사 해 공격 원 을 확보 해 야 한다.해커 단체 에서 이런'대리 체인'의 사용 은 매우 보편적 이 고 SocksChain 과 유사 하 다. for 윈도 와 같은 도 구 는 사용 할 수 있다.  SSL  이에 대해 많은 사람들 이 논 의 했 지만 SSL 을 허용 하 는 서버 는 네트워크 침입 검색 시스템 에 의 해 감지 되 지 않 는 다 는 점 을 다시 한 번 제기 할 필요 가 있다.해커 에 게 80 포트(HTTP)와 443 포트(HTTPS)사이 에서 선택 을 하 게 하면 공격 자 는 매번 443 포트 를 선택한다.이것 은 사실상 무슨 수단 이 아니 라 암호 화 통신 의 사용 으로 인 한 부작용 이다.443 포트 의 요청 을 네트워크 서버 로그 파일 로 감시 할 수 있 습 니 다.결론.  우 리 는 너 에 게 인터넷 상의 해커 들 이 자주 사용 하 는 사기 수법 을 보 여 주 었 다.이런 수단 들 은 해커 들 의 상상력 과 창조력 이 끊임없이 증가 함 에 따라 끊임없이 확 대 된 것 이다.예 를 들 어 16 진수 인 코딩 과 같은 기술 은 사기 적 인 로그 파일 입구 와 같은 곳 에 만 사용 되 는 것 이 아니다.또한 네트워크 서버 의 URL 분석 체 제 를 속 이 고 소스 코드 노출 과 같은 구멍 이 생 길 수 있 습 니 다.공격 자 는 때때로 다 중 프 록 시 서버 를 사용 하여 스 캔 과 공격 을 하여 관리자 가 공격 의 진정한 출처 를 추적 하기 어렵 게 한다.물론 SSL 은 때때로'보안 해 킹'을 위 한 길 을 열 었 다.