표제지
감사의 글
Abstract
[국문 요약]
목차
I. 서 론 9
1. 배경 및 목적 9
2. 내용 및 구성 10
II. 침입 탐지 시스템 11
1. 침입의 개념 및 해킹기술의 변천 11
1. 전통적 해킹 기법 11
2. 새로운 공격 기법 13
1) 해킹 기법의 변화 13
2) 해킹 기법 동향 14
2. 침입의 분류 17
2.1 호스트 기반의 침입 17
2.2 네트워크 기반 침입 18
2.3 서비스 거부 공격 20
3. 침입탐지 방법 22
3.1 비정상(anomaly) 침입탐지 22
3.2 오용(misuse) 침입탐지 23
4. 침입탐지 기술 및 분류 25
5. 침입탐지시스템의 한계 29
5.1 기술적 한계 29
5.2 구현상 한계 30
5.3 네트워크 기반 침입탐지시스템 기능 및 제약 31
III. 우회 공격 34
1. 관련 연구 34
1.1 Ptacek & Newsham의 연구 34
1.2 Denmac System의 연구 34
2. 우회공격 사례 35
2.1 원리 35
2.2 종류 36
2.2.1 IP Fragmentation에 의한 공격 36
2.2.2 TCP Un-sync에 의한 공격 39
2.2.3. Low TTL 39
2.2.4. Max MTU 40
2.2.5. HTTP Protocol 40
2.2.6. Telnet Protocol 41
IV . 가상 프로토콜 스택 43
1. 개 념 43
2. 이동코드를 이용한 구성 44
2.1 Network Driver 44
2.2 Packet Router 44
2.3 Tester 45
2.4 IP Processor 45
2.5 TCP Processor 45
2.6 Mobile Code Platform 45
2.7 Client Data Sink 45
3. OS Fing erprinting를 이용한 구성 46
3.1 The FIN probe 46
3.2 The BOGUS flag probe 46
3.3 TCP ISN Sampling 46
3.4 Don' t Fragment bit 47
3.5 TCP Initial Window 47
3.6 ACK Value 47
3.7 ICMP Error Message Quenching 47
3.8 ICMP Message Quoting 48
3.9 ICMP Error message echoing integrity 48
3.10 Type of Service 48
3.11 TCP options 48
3.12 Windows 49
V . 구 현 51
1. 가상프로토콜 스택 51
1.1 Monitoring System 51
1.2 Target System 52
2. 침입탐지시스템 53
V I. 실험과 평가 55
1. 테스트 시나리오 55
(1) IP 단편화 (Fragmentation) 55
(2) IP 단편 다시 쓰기 (Fragment Rewrite) 55
(3) 무효 IP 버전 (Invalid IP Version) 56
(4) 무효 IP 헤더 사이즈 (Invalid IP Header Size) 56
(5) IP 패킷 데이터 길이 (IP Packet Data Length) 56
(6) 무효 IP 채크섬 (Invalid IP Checksum) 57
(7) TCP 연속수 (TCP Sequence Numbers) 57
(8) TCP 세그먼트 다시쓰기 (TCP Segment Rewrites) 57
(9) TCP 세그먼트 오버랩 (TCP Segment Overlap) 58
(10) 무효 TCP 체크섬 (Invalid TCP Checksum) 58
(11) 무효 TCP 헤더 길이 (Invalid TCP Header Length) 58
2. 침입탐지율 변화 61
V II. 결 론 63
1. 검 토 63
2. 향후 연구방향 64
V III. 참고문헌 65
[표 2-1] 년도별 해킹 기술의 변천 13
[표 2-2] 미국 COAST(Computer Operations, Audit and Security Technology) 의 분류에 의한 침입탐지시스템 분류 25
[표 2-3] IBM Zurich Research Lab.의 분류에 의한 침입탐지시스템 분류 26
[표 2-4] ICSA IDSC 분류에 의한 침입탐지시스템 분류 26
[표 6-1] 테스트 시나리오 : 리눅스와 윈도2000 60
[표 6-2] 테스트 시나리오 : FreeBSD 4.6과 SunOS 5.8 60
[그림 2-1] TCP/IP 프로토콜 헤더 19
[그림 2-2] TCP SYN Flooding 20
[그림 2-3] 침입탐지시스템 개요 27
[그림 2-4] 한국정보보호진흥원의 침입탐지시스템 모델 27
[그림 2-5] 침입탐지시스템의 침입탐지 방법 개요 28
[그림 3-2] ' X' 문자의 Evasion 도식 36
[그림 4-1] 가상 프로토콜 스택의 구성 45
[그림 5-1] VPS와 IDS를 포한한 구성 54
[그림 6-1] IP Fragment에 의한 침입탐지 패턴 테스트 61
[그림 6-2] 침입탐지 로그 62