전체 글 (39) 썸네일형 리스트형 DoS 공격 ▶ Denial of Servicce (서비스 거부) 공격 시스템 or 네트워크의 구조적인 취약점을 노려정상적인 서비스를 지연 또는 마비시키는 공격 ※ DoS 공격의 구분1. 취약점 공격형특정 형태의 오류가 존재하는 네트워크 패킷을 전송공격 대상이 패킷 처리 과정에서 오류 발생Boink / Bonk / Teardrop / Land 공격 2. 자원 고갈 공격형네트워크 대역폭 / 시스템의 CPU / 세션 등...자원을 소모시켜 정상적인 작동이 불가능하게 만드는 공격Land, Ping of Death, SYN Flooding, Smurf... 등 ▶ SYN Flooding 동시 사용자 수 제한을 이용존재하지 않는 허구의 클라이언트가 한정된 접속 가능 공간을 차지다른 사용자가 서비스를 제공받지 못하도록 한다.T.. 스푸핑 (Spoofing) ▶ Spoofing 사전적 의미 : 자신을 숨기는 행위(위장)- 속이는 것 ※ 네트워크 상 Spoofing 공격 대상MAC 주소, IP 주소, Port 등...네트워크와 관련된 모든 것 ※ 대비책시스템의 MAC 주소 테이블 생성해 관리브로드캐스트 ping을 로컬 네트워크에 뿌리기 (fping, hunt 등 Tool 이용)ping에 응답하는 시스템의 MAC 주소 값을 획득 가능이를 시스템 캐시에 기록 = ARP 테이블 생성arp -a 명령어를 통해 현재 IP 주소 ↔ MAC 주소 대칭 값 확인이 때의 IP 주소 = RouterRouter가 아닌 이상한 MAC 주소로 매핑되어있는 항목 확인이상한 MAC 주소를 생성해둔 테이블에서 확인하여 공격자 확인 ▶ ARP 스푸핑 공격 및 보안 대책 ※ ARP 스푸핑 개.. 스니핑 (Sniffing) ▶ 스니핑 (Sniffing) 데이터 속에서 정보를 찾는 것수동적 공격 (Passive Attack) 이라고도 부른다. ※ 정상적인 네트워크 패킷 필터링 Data Link Layer와 Network Layer의 정보가 모두 자신의 것과 일치하는 패킷을 수신하는 것이 일반적.즉, 자신에게 오는 패킷 (MAC, IP 주소가 자신의 것) 만 받는다.MAC, IP 주소가 다른 경우 필터를 통해 패킷을 차단한다. ※ 네트워크 필터링 해제 상태 정상적인 상태에서는 필터를 통해 자신의 MAC, IP 주소가 아닌 패킷은 차단네트워크 필터링을 해제한 상태에서는 모든 패킷을 수신프리미스큐어스 모드- Data Link Layer와 Network Layer의 필터링을 해제 → 스니핑 가능- 네트워크 카드를 프리미스 큐어스 모.. SNMP ▶ SNMP (Simple Network Management Protocol) 네트워크를 "중앙 집중적"으로 관리하는 툴버전 1, 2, 3이 존재하며 버전별 기능의 차이는보안 문제에 따라 다르다.위 사진과 같이 네트워크를 구성하는 여러 장비들을 중앙의 SNMP Manager가 관리할 수 있는 툴이다. ※ SNMP 특징매우 단순하며 구현이 용이하다.- Manager (관리자) ↔ Agent (관리 대상)의 간단한 구조정보 지향적 동작 구조- 특정 정보 변수에 대한 "단순한 요청/응답" 매커니즘 (Get / Set)여러 Protocol과 협동 가능- '정보 운반' 및 '관리 정보' Protocol을 분리 ※ SNMP 구성 요소Manager(관리자, 관리 시스템)과 Agent (관리 대상)으로 분리됨Age.. OS / 방화벽 탐지 ▶ 배너 그래빙 (Banner Grabbing) ※ 배너 (Banner)텔넷과 같은 원격지 시스템에 로그인 시 나타나는 "안내문" 같은 것해당 "배너"를 확인하는 기술이 "배너 그래빙"시스템의 OS를 확인하는 가장 기본적인 방법방화벽, IDS에도 배너가 있으며 21, 25, 110, 143번 Port에도'telnet [공격 대상 IP] [공격 Port 번호]' 의 형태로 입력 시 배너 그래빙 가능사진과 같이 telnet 명령어 입력을 통해 OS와 커널의 버전을 확인 가능. ※ 방어법telnet 접속 시 사용되는 배너는 시스템 관리자가 변경 가능하다.따라서, 관리자가 배너에 사용될 내용을 수정하여 방어가 가능하다. ▶ TCP/IP 반응을 이용한 탐지 TCP/IP에 대한 반응이 OS 별로 상이FIN 스캔.. 스캔 (Scan) ▶ 풋 프린팅 (Foot Printing) 신문 / 게시판 등을 통해 공격 대상의 정보를 모으는 것해킹을 위한 사전 준비 ※ 풋 프린팅을 통해 얻는 정보목표 시스템 사용자 계정계정 사용자의 이름, 전화번호 등.. (Password 유추)여타 추가 정보Chain Rule ▶ 스캔 (Scan) 네트워크를 통한 정보 수집서버의 작동 여부, 제공하는 서비스 확인요청 보내기 → 응답의 원리 기반방화벽 & IDS 우회하기 위함 ※ 스캔의 종류ping서버의 동작 여부 확인ICMP 사용ICMP 스캔Echo Request / Reply (Type 8 / 0)Timestamp R / R (Type 13 / 14)Information R / R (Type 15 / 16)ICMP Address Mask R / R (Type .. IP 추적 ▶ IP 주소 추적의 기본 모든 패킷에는 "출발지"와 "도착지"가 존재 Source / DestinationBut, 출발지 IP 주소를 바꿔주는 시스템이 존재→ 출발지는 확인이 어렵다.NAT을 사용하면 출발지 IP 주소 확인 X인터넷 회사 서비스를 사용 시, 회사 위치로 Source 주소가 변경되기도 한다. ▶ 메일을 통한 IP 추적 메일 원본 보기 기능→ 송신자, 수신자, 스팸 메일 체크 여부 등.. 다양한 정보 확인 가능수신된 메일의 구조는 다음과 같다.각 메일 서버 정보에서 [ 송신자, 수신자, 메일 서버 주소, 스팸 확인 여부 등 ] 확인 가능.해당 정보들을 토대로 → Whois 검색 (정보 수집)E-mail은 여러 메일 서버를 거쳐 송신자 → 수신자로 전달되는 경우가 많다.위 사진은 메일 원본.. Whois & DNS ▶ Whois Whois란?- Domain 확인, 이와 관련된 사람과 인터넷 지원을 찾아볼 수 있는 서비스 Whois로 획득할 수 있는 정보도메인 등록 및 관련 기관 정보도메인 이름과 관련된 인터넷 자원 정보목표 사이트의 네트워크 주소 & IP 주소등록자, 관리자, 기술 관리자의 이름, 연락처, 이메일 계정레코드의 생성 시기와 갱신 시기주 DNS 서버 & 보조 DNS 서버IP 주소의 할당 지역 위치 Whois 서버를 통해 서비스 책임자를 획득.. 책임자의 PC를 획득하면?→ 책임자의 정보를 통해 Search, 새로운 정보를 획득→ 해당 정보들을 통해 책임자 PC에 악성코드 주입→ 책임자 PC의 정보를 탈취 (목표 사이트에 대한 정보 및 추가 정보).. ▶ DNS IP주소는 숫자로 이루어져서 사람이 구분.. 이전 1 2 3 4 5 다음
