2022년 제 23회 정보시스템 감리사 기출문제 풀이 106-110번까지 이어서 풀이를 진행하고자 합니다. 도움이 되시길 바랍니다.
보안
문제 106
106. TCP SYN FLOODING 공격이 성공하기 위해서는 서버의 TCB 큐에 연결요청이 쌓여서 더 이상의 연결요청을 받지 못하는 상황이 되어야 한다. 아래 설명 중 TCB 큐에 연결정보를 제거(Dequeue) 시키는 상황으로 가장 적절하지 않은 것은?
① 클라이언트가 3-way handshake 과정을 종료함 ② TCB 큐의 레코드가 정해진 기준시간 보다 더 길게 머무름 ③ 공격자가 SYN 패킷을 보낼 때 랜덤하게 생성한 근원지 IP 주소를 사용함 ④ TCB 큐의 레코드에 해당하는 연결에 대해 RST 패킷이 도착함
출제의도
TCP SYN FLOODING 공격은 공격자가 대량의 SYN 패킷을 타깃 서버로 보내, 서버의 대기큐를 가득 채워 정상 클라이언트의 연결 요청을 방해하는 공격입니다. 이 공격은 서버의 TCB 큐가 연결 요청으로 인해 가득 차서 더 이상의 연결 요청을 받지 못하는 상황을 만듭니다.
각 문항에 대한 설명
① 클라이언트가 3-way handshake 과정을 종료함: TCP 3-way handshake는 TCP 연결을 설정하는 과정입니다. 클라이언트가 이 과정을 종료하면, 서버의 TCB 큐에서 해당 연결 정보가 제거됩니다. 따라서 이 선택지는 TCB 큐에서 연결 정보를 제거하는 상황에 해당합니다.
② TCB 큐의 레코드가 정해진 기준시간 보다 더 길게 머무름: TCP 연결에서는 일정 시간 동안 활동이 없는 연결을 자동으로 종료합니다. 따라서 이 선택지도 TCB 큐에서 연결 정보를 제거하는 상황에 해당합니다.
③ 공격자가 SYN 패킷을 보낼 때 랜덤하게 생성한 근원지 IP 주소를 사용함: 이 선택지는 TCB 큐에서 연결 정보를 제거하는 상황이 아닙니다. 대신, 이는 SYN FLOODING 공격에서 공격자가 사용하는 기법 중 하나로, 공격자는 SYN 패킷을 보낼 때 랜덤하게 생성한 근원지 IP 주소를 사용하여 자신의 실제 위치를 숨깁니다.
④ TCB 큐의 레코드에 해당하는 연결에 대해 RST 패킷이 도착함: RST 패킷은 TCP 연결을 강제로 종료하는 데 사용되는 패킷입니다. 서버가 RST 패킷을 받으면, 해당 연결 정보는 TCB 큐에서 제거됩니다. 따라서 이 선택지는 TCB 큐에서 연결 정보를 제거하는 상황에 해당합니다.
따라서, 출제자의 의도는 TCP SYN FLOODING 공격과 TCP 연결 관리에 대한 이해를 테스트하는 것이며, 가장 적절하지 않은 선택지는 ③번입니다. 이 선택지는 TCB 큐에서 연결 정보를 제거하는 상황이 아니라, 공격자가 SYN FLOODING 공격을 수행하는 방법에 관한 내용입니다.
문제 107
107. 방화벽의 패킷 필터링 규칙이 다음과 같을 때적용되는 규칙에 대한 설명으로 가장 적절하지 않은 것은?
① 내부와 외부에서 웹 서버(192.168.1.10)에 접근하는 것을 허용한다. ② 외부의 모든 시스템에서 내부 시스템으로 SMTP 패킷을 보내지 못하도록 설정한다. ③ 내부 메일 서버(192.168.1.11)에서 외부 메일 서버(10.10.10.21)로 가는 IMAP 접근을 금지한다. ④ 내부 메일 서버(192.168.1.11)에서 외부 메일 서버(10.10.10.21)로 가는 SMTP 패킷을 허용한다.
출제의도
방화벽의 패킷 필터링 규칙에 대한 이해를 테스트하고 있습니다. 패킷 필터링 방화벽은 패킷의 IP 주소, 포트 번호 등의 조건으로 통신을 허가하거나 거부합니다.
각 항목에 대한 설명
① 내부와 외부에서 웹 서버(192.168.1.10)에 접근하는 것을 허용한다: 이 설명은 규칙 2에 해당합니다. 이 규칙은 모든 소스에서 웹 서버(192.168.1.10)로의 80번 포트(일반적으로 HTTP 서비스에 사용) 접근을 허용합니다.
② 외부의 모든 시스템에서 내부 시스템으로 SMTP 패킷을 보내지 못하도록 설정한다: 이 설명은 규칙 7에 해당합니다. 이 규칙은 외부 시스템에서 내부 시스템으로의 25번 포트(SMTP 서비스에 일반적으로 사용) 접근을 거부합니다.
③ 내부 메일 서버(192.168.1.11)에서 외부 메일 서버(10.10.10.21)로 가는 IMAP 접근을 금지한다: 이 설명은 규칙 5에 해당하지 않습니다. 규칙 5는 내부 메일 서버(192.168.1.11)에서 외부 메일 서버(10.10.10.21)로의 143번 포트(IMAP 서비스에 일반적으로 사용) 접근을 허용합니다.
④ 내부 메일 서버(192.168.1.11)에서 외부 메일 서버(10.10.10.21)로 가는 SMTP 패킷을 허용한다: 이 설명은 규칙 3에 해당합니다. 이 규칙은 내부 메일 서버(192.168.1.11)에서 외부 메일 서버(10.10.10.21)로의 25번 포트(SMTP 서비스에 일반적으로 사용) 접근을 허용합니다.
따라서, 가장 적절하지 않은 선택지는 ③번입니다.
문제 108
108. 다음 중 네트워크 기반 공격 기술에 대한 설명으로 가장 적절한 것은?
① Smurf 공격: 공격자가 송신자 IP 주소를 존재하지 않거나 다른 시스템의 IP 주소로 위장하여 목적 시스템으로 패킷을 연속해서 보내는 공격 기법이다. ② SYN Flooding 공격: 공격자가 공격 대상의 IP 주소로 위장하여 패킷을 브로드캐스트 주소로 전송하는 공격이다. ③ ARP Redirect 공격: TCP/IP의 구조적인 허점을 이용한 공격으로, 신뢰관계에 있는 두 개의 호스트 중 하나를 마비시킨 후 IP 주소를 속이는 공격이다. ④ Switch Jamming 공격: 위조된 MAC 주소를 지속 적으로 보내 스위치의 주소 테이블을 가득 채운 후 스니핑을 진행하는 공격이다.
출제의도
네트워크 기반 공격 기술에 대한 이해를 검증하려는 것 입니다.
각 문항에 대한 설명
① Smurf 공격: 이 공격은 공격자가 송신자 IP 주소를 위장하여 ICMP Echo Request를 브로드캐스트 하는 방식입니다.
② SYN Flooding 공격: 이 공격은 공격자가 대량의 SYN 요청을 보내 서버의 자원을 고갈시키는 방식입니다. 공격자가 공격 대상의 IP 주소로 위장하여 패킷을 브로드캐스트하는 것이 아닙니다.
③ ARP Redirect 공격: 이 공격은 공격자가 피해자들에게 자신이 라우터라고 속여서 피해자들의 패킷이 자신에게 한번 거친 후 라우터로 가도록 하는 방식입니다. 신뢰관계에 있는 두 개의 호스트 중 하나를 마비시키는 것이 아니라, 공격자가 피해자들에게 자신이 라우터라고 속이는 것입니다.
④ Switch Jamming 공격: 이 공격은 공격자가 위조된 MAC 주소를 지속적으로 보내 스위치의 주소 테이블을 가득 채운 후 스니핑을 진행하는 방식입니다.
따라서, 가장 적절한 설명은 ④ Switch Jamming 공격입니다.
문제 109
109. 리눅스 시스템의 기본 방화벽인 iptables에서 192.168.20.22으로부터 들어오는 패킷들을 차단하는 정책으로 가장 적절한 명령어는?
① # iptables –A INPUT 192.168.20.22 –j DROP ② # iptables –I INPUT 192.168.20.22 –j LOG ③ # iptables –A INPUT 192.168.20.22 –j ACCEPT ④ # iptables –A INPUT 192.168.20.22 –j RETURN
출제의도
이 질문은 리눅스 시스템의 기본 방화벽인 iptables에 대한 이해를 테스트하는 것으로 iptables는 패킷 필터링 규칙을 설정하여 네트워크 트래픽을 제어하는 데 사용됩니다.
각 문항에 대한 설명
① # iptables –A INPUT 192.168.20.22 –j DROP: 이 명령어는 192.168.20.22로부터 들어오는 패킷을 차단합니다. -A는 규칙을 추가하라는 의미이며, INPUT은 들어오는 패킷에 대한 규칙을 설정하라는 의미입니다–j DROP은 일치하는 패킷을 차단하라는 의미입니다.
② # iptables –I INPUT 192.168.20.22 –j LOG: 이 명령어는 192.168.20.22로부터 들어오는 패킷을 로그에 기록합니다. 하지만, 이 명령어는 패킷을 차단하지 않습니다.
③ # iptables –A INPUT 192.168.20.22 –j ACCEPT: 이 명령어는 192.168.20.22로부터 들어오는 패킷을 허용합니다. 따라서, 이 명령어는 패킷을 차단하지 않습니다.
④ # iptables –A INPUT 192.168.20.22 –j RETURN: 이 명령어는 192.168.20.22로부터 들어오는 패킷에 대해 아무런 조치를 취하지 않고, 패킷을 호출한 체인으로 반환합니다. 따라서, 이 명령어는 패킷을 차단하지 않습니다.
따라서, 가장 적절한 명령어는 ①번입니다. 이 명령어는 192.168.20.22로부터 들어오는 패킷을 차단합니다.
문제 110
110. 다음 중 ARP Poisoning 공격을 방지하는 방법으로 가장 적절하지 않은 것은?
① ARP request 및 ARP reply를 이용하여 MAC 주소를 현행화하지 못하도록 한다. ② 외부 PC가 로컬 네트워크에 접근하지 못하도록 한다. ③ 정적 ARP table을 사용하도록 세팅한다. ④ 컴퓨터의 MAC 주소를 주기적으로 변경해 준다.
출제의도
ARP Poisoning 공격을 방지하는 방법에 대한 이해를 확인하는 것입니다. ARP Poisoning은 공격자가 ARP 요청 및 응답을 조작하여 네트워크 트래픽을 가로채는 공격입니다.
각 문항에 대한 설명
① ARP request 및 ARP reply를 이용하여 MAC 주소를 현행화하지 못하도록 한다. ARP 테이블을 정적으로 설정하면 ARP 응답이 와도 갱신되지 않아, 공격자가 ARP 응답을 조작하는 ARP Poisoning을 방지할 수 있습니다.
② 외부 PC가 로컬 네트워크에 접근하지 못하도록 한다. 네트워크 사용자 권한에서 특정 계정에 대한 액세스를 거부하거나, 네트워크를 사설 네트워크로 전환하여 외부 PC의 접근을 제한함으로써 ARP Poisoning을 방지할 수 있습니다.
③ 정적 ARP table을 사용하도록 세팅한다. 정적 ARP 테이블을 사용하면, ARP 요청 및 응답을 통해 MAC 주소가 변경되지 않도록 설정할 수 있습니다. 이는 ARP Poisoning 공격을 방지하는 효과적인 방법입니다.
④ 컴퓨터의 MAC 주소를 주기적으로 변경해 준다. MAC 주소를 주기적으로 변경하는 것은 일반적으로 ARP Poisoning 공격을 방지하는 방법으로 사용되지 않습니다. MAC 주소를 변경하면 네트워크 문제를 진단하는데 도움이 될 수 있지만, 이는 ARP Poisoning 공격을 방지하는 데 직접적인 효과가 없습니다.
따라서, 가장 적절하지 않은 방법은 ④ 컴퓨터의 MAC 주소를 주기적으로 변경해 주는 것입니다. 이 방법은 ARP Poisoning 공격을 방지하는 데 직접적인 효과가 없습니다.
