TCP Session Hijacking

Session

● 두 대의 시스템(호스트)간의 통신(활성화 된 상태)을 의미

 

Session Hijacking

● 이미 인증을 받아 세션의 생성 및 유지되어 있는 연결을 여러 기법을 이용하여 빼앗는 공격

● TCP Session Hijacking

• Telnet, FTP

● WEB Session Hijacking

• HTTP

 

세션 하이재킹의 유형

● Passive Hijacking

→ 공격자의 시스템에서 세션 데이터 흐름을 모니터링하여 민감한 데이터획득

● Active Hijacking

→ 두 호스트 중에 임의의 호스트를 대신하여 연결을 진행하는것을 의미

 

TCP Session Hijacking

● 정상적인 TCP 통신에서 연결의 신뢰성을 확보하기 위해 Sequence Number, IP Address, TCP Port를 사용하는 것을 악용한 공격

● IP Spoofing의 공격 개념과 유사하나 Telnet, FTP 등 TCP를 이용하는 세션의 갈취가 가능

● Hacker는 IP, Port, Sequence 번호, Acknowledge 번호까지 다 맞춰서 공격을 해야된다.

TCP	신뢰성 : 확인, 응답, 재전송, 순서번호
	연결지향 : 3way handshake(통신이 가능한지 불가능한지 확인하기 위해)
	흐름제어 : Sliding window(데이터 처리양을 조절결을 여러 기법을 이용하여 빼앗는 공격

 

TCP Session Hijacking시 발생하는 문제점

ACK Storm
▪ 공격자가 세션 하이재킹을 시도하는 동안 클라이언트는 정상적인 패킷을 서버로 보내게 되나, 공격자에 의해서 공격당한 서버는 정상적이지 않은 Sequence Number로 인식하여 ACK 패킷을 전송한다.
그러나 클라이언트 역시 서버가 보낸 정보가 자신의 정보와 다르다는 것을 확인하고 서버에게 ACK 패킷을 전송하게 되며, 이러한 과정이 무한히 반복되는 경우가 생기는데, 이를 ACK Storm이라 한다.

 

공격자 입장에서 ACK Storm 해결 방법
▪ ARP Spoofing을 이용하여 잘못된 패킷은 전달(Forwarding)되지 않도록 공격을 실시하여 안전하게 공격을 수행

 

TCP Session Hijacking 보안 대책

- 비동기화 상태 탐지

 

- ACK Storm 탐지

▪ TCP Session Hijacking 중에 발생할 수 있는 ACK Storm을 탐지 (= 트래픽에서 ACK 패킷의 비율 탐지)

 

- 패킷의 유실 및 재전송 증가 탐지
▪ MITM 공격 형태로 작동하기 때문에 패킷의 유실이나 재전송이 발생하여 서버와의 응답 시간이 길어짐

 

- 지속적인 인증 (Continuous Authentication)
▪ 특정 행동이나 일정 시간이 지나면 다시 인증을 수행하여 접속자가 정당한 인증을 받은 유효한 사용자인지 확인

 

- 암호화 방식 사용
▪ 데이터 전송의 암호화를 통해 Sniffing에 대응
▪ Sniffing에 대한 대응책을 통해 Sequence Number 추측을 어렵게 함
▪ SSH, SSL/TLS, IPSec/VPN 적용