초록 열기/닫기 버튼
세션 하이재킹 공격이란 TCP 3-Way 핸드셰이킹을 통하여 연결된 세션을 RST 신호를 이용하여 정상적인 세션 연결을 끊고 기존 세션 정보를 탈취해 가는 공격을 의미한다. 즉 TCP 3-Way 핸드셰이킹 수행과정에서 서버와 클라이언트 간에는 상호 인증을 위한 시퀀스 번호가 발생하게 된다. 이렇게 정상적인 세션 연결 상황에서 공격자는 RST 신호를 발생시켜 서버와 클라이언트 간의 정상적인 연결에 대한 세션을 끊고 새로운 시퀀스 번호를 생성하여 공격자 자신이 기존 접속자로 위장하여 접속을 시도하는 것이다. 이러한 세션 하이재킹 공격에 대비한 기존 연구로는 연결과정 중에 발생하는 모든 시퀀스 번호를 암호화 시키는 기법이 제안되었다. 그렇지만 이는 서버와 클라이언트 간의 상호인증 과정에 필요한 모든 시퀀스 번호를 암호화 시키고 있기 때문에 상호인증 단계에서 많은 오버헤드를 초래할 수 있다. 그러므로 본 논문에서는 비정상적인 RST 신호가 발생했을 때, 불법적인 세션 가로채기를 방지하기 위하여 상호인증 시퀀스 번호 중 일부 정보만을 이용하여 암호화 과정을 수행시켰다. 그리고 이를 이용하여 해당 시퀀스 번호가 유출되었다 하더라도 공격자가 알아 볼 수 없도록 하였다. 아울러 세션 하이재킹 공격에 대한 방어와 기존 연구에서 문제가 되고 있는 오버헤드 부분도 일부 해결할 수 있었다.
Session hijacking attacks represent a type of attack that captures existing session information by terminating normal sessions, which are connected through a TCP 3-Way handshaking process, using RST signals. In the case of the TCP 3-Way handshaking process, different sequence signals between servers and clients are generated to carry out a cross certification for each other. In a normally connected session, attackers interrupt sessions for a normal connection between servers and clients through generating RST signals and attempt to access a system by disguising an attacker as a registered user by generating a new sequence number. In precedent studies on preventing session hijacking attacks, a method that encrypts all sequence numbers generated in accessing a system has proposed. However, this method may cause lots of overheads in a cross certification process because it encrypts all sequence numbers required for the cross certification between servers and clients. Thus, in this study the encryption process is performed using a part of the information of the cross certification numbers in order to prevent illegal session hijacking as abnormal RST signals are generated. In addition, this method prevents the recognition of sequence numbers from attackers even though a sequence number is leaked. Moreover, it is possible to perform a defense for session hijacking attacks and to partly solve the overheads, which have been issued in the conventional studies.
