2021년 1회 정보처리기사 기출문제 95번

95. 세션 하이재킹을 탐지하는 방법으로 거리가 먼 것은?

    ❶ FTP SYN SEGNENT 탐지

    ② 비동기화 상태 탐지

    ③ ACK STORM 탐지

    ④ 패킷의 유실 및 재전송 증가 탐지

 

 

✅ 문제 분석
세션 하이재킹(Session Hijacking)이란 공격자가 사용자의 세션을 가로채어 불법적으로 접근하는 공격 기법입니다.
이 문제는 세션 하이재킹을 탐지하는 방법 중 적절하지 않은 것을 고르는 문제입니다.

---

📌 세션 하이재킹 탐지 방법

탐지 방법 설명

비동기화 상태 탐지	세션 하이재킹 시 클라이언트와 서버의 패킷 순서가 어긋남
ACK STORM 탐지	공격으로 인해 클라이언트와 서버 간 ACK 패킷 충돌이 발생
패킷 유실 및 재전송 증가 탐지	공격자가 패킷을 조작하면 정상 패킷 손실이 증가
SYN Flooding 탐지	세션 하이재킹과는 별개로 DoS 공격 탐지 방법

---

🔍 선택지 분석

번호 탐지 방법 설명 정답 여부

❶ FTP SYN SEGMENT 탐지	❌ 오답 (틀린 설명)FTP의 SYN 패킷을 탐지하는 것은 세션 하이재킹 탐지와 관련 없음	🚨 정답
② 비동기화 상태 탐지	✅ 정답 (올바른 탐지 방법)세션이 탈취되면 클라이언트와 서버 간의 순서가 맞지 않게 됨
③ ACK STORM 탐지	✅ 정답 (올바른 탐지 방법)공격자가 패킷을 가로채면 클라이언트와 서버 간 ACK 충돌이 발생
④ 패킷의 유실 및 재전송 증가 탐지	✅ 정답 (올바른 탐지 방법)공격으로 인해 정상적인 패킷 유실이 증가할 수 있음

---

📝 정답 및 해설
👉 정답: ① FTP SYN SEGMENT 탐지
SYN 패킷 탐지는 주로 DDoS 공격 탐지에 사용되며, 세션 하이재킹 탐지와 직접적인 관련이 없습니다.
세션 하이재킹은 패킷의 순서 변경, 재전송 증가, ACK 충돌 등으로 탐지하는 것이 일반적입니다.

---

🎯 예시
✔ 세션 하이재킹 공격 시 나타나는 현상

• 클라이언트와 서버의 패킷 순서 불일치 → 비동기화 상태 탐지
• 서버와 클라이언트 간 ACK 충돌 발생 → ACK STORM 탐지
• 공격자의 개입으로 정상 패킷 손실 → 패킷 유실 증가 탐지

📌 잘못된 방법 (FTP SYN SEGMENT 탐지)

• FTP의 SYN 패킷 탐지는 세션 하이재킹이 아니라 DoS 공격 탐지와 관련됨

---

💡 결론
세션 하이재킹은 비동기화 상태, ACK STORM, 패킷 유실 증가 등의 이상 징후로 탐지할 수 있습니다.
그러나 FTP SYN 패킷 탐지는 관련 없는 방법이므로 정답은 ①번입니다. 🚨

🎉 이렇게 기억하면 쉬워요!
✅ "세션 하이재킹 = 비동기화 + ACK 충돌 + 패킷 유실 탐지! 🚀 하지만 FTP SYN은 관계없음 ❌" 😊