세션 하이재킹 공격

hijacking : 납치

 

세션 하이재킹 공격은 말 그대로 세션을 가로챈다는 뜻입니다. 

 

세션?

  : 사용자와 컴퓨터 또는 두 컴퓨터 간의 활성화된 상태 

                                  ex) 로그인

 

즉 세션 하이재킹이란 로그인된 상태를 가로채는 것을 말합니다.

 

현실에서 세션 하이재킹을 하려면?

   - 그 사람이 언제 자리를 비우는지

   - 화면 잠금을 설정하지는 않았는지

   - 내가 접속하고자 하는 세션에 접속한 채로 자리를 비우는지

 

네트워크에서 세션 하이재킹을 하려면?

   - 공격자가 원하는 접속만 공격 대상이 생성하면 끝

 

TCP : 클라이언트와 서버 사이에 통신을 할 때 패킷의 연속성을 보장하기 위해

       클라이언트와 서버에 각각 시퀀스 넘버를 사용합니다.

 

TCP 세션 하이재킹

      -> 서버와 클라이언트에 각각 잘못된 시퀀스 넘버를 사용해서 연결된 세션에

           잠시 혼란을 준 뒤 자신이 끼어 들어가는 방식 

 

TCP 세션 하이재킹 과정

   1. 클라이언트와 서버 사이의 패킷을 통제한다. ARP 스푸핑 등을 통해 

      클라이언트와 서버 사이의 통신 패킷 모두가 공격자를 지나가게 합니다.

 

   2. 서버에 클라이언트 주소로 연결을 재설정하기 위한 RST 패킷을 보냅니다.

      서버는 패킷을 받아 클라이언트의 시퀀스 넘버가 재설정된 것으로 판단하고

      다시 TCP 3-way handshaking을 수행합니다. 

 

    3. 공격자는 클라이언트 대신 연결되어 있던 TCP 연결을 그대로 물려받습니다.

 

세션 하이재킹 대응책

    : 텔넷같은 취약한 프로토콜을 이용해서는 안됩니다.

            -> SSH와 같이 세션에 대한 인증 수준이 높은 프로토콜을 이용합니다.

 

    : 클라이언트와 서버 사이에 MAC 주소를 고정하는 것입니다.

            -> ARP 스푸핑을 막아줍니다.

                    -> 세션 하이재킹을 막을 수 있습니다.