oyooon

DoS시스템을 악의적으로 공격해 해당 시스템의 리소스를 부족하게 하여 의도된 용도로 사용하지 못하게 하는 공격 1. TCP SYN Flooding반개방(half-open) 공격이라고 불리며, TCP의 3-Way Handshake를 이용한 공격네트워크에서 서비스를 제공하는 시스템은 동시 사용자 수가 한정되어 있어 해당 공격을 통해 서버 자원을 소모시킨다. 2. TCP Connection Flooding한 개의 IP가 다양한 포트로 SYN 패킷 전송클라이언트는 서버와 3 Way-Handshake를 통해 세션을 연결한다.세션 연결이 가득차면 더 이상 연결이 불가능!3. DNS Query FloodingDNS Query 요청 패킷을 대량으로 서버에 전송하여 DNS의 정상적인 서비스를 방해대량의 Query를 발생..

보호되어 있는 글입니다.

ARP(Address Resolution Protocol)네트워크 상에서 IP 주소를 물리적 네트워크 주소(MAC)로 대응시키기 위해 사용하는 프로토콜내부 네트워크(연결된 네트워크) 에서는 IP 주소가 아닌 MAC 주소를 통해 통신이 이루어지기 때문에 내부 호스트는 대상의 MAC 주소를 알아내기 위해 ARP 메시지를 수, 발신한다. 동작원리1. ARP는 ARP 캐시 테이블에 IP 주소와 MAC 주소를 대응시켜 저장한다.동적 방식(Dynamic): 시스템에 ARP 메시지를 통해 기록 및 저장하는 방식. 일정시간 이후 삭제된다.정적 방식(Static): 관리자가 직접 입력하는 방식. 재부팅 시 사라진다.2. 호스트는 통신 전 ARP 테이블을 확인한 후 통신을 수행한다. 발신자는 목적지의 물리 주소(MAC)..

스니핑네트워크 트래픽을 도청하는 해킹 기법. 몰래 도청만 하므로 피해 여부를 인지하거나 탐지하기 어렵다.스위치 환경에서 스니핑을 하기 위해서는 스위치에 선행 공격이 필요하다.Switch Jamming1. 스위치는 MAC 주소 테이블을 가지고 있으며, 주소를 저장한다. (A PC, B PC, C PC, ...)2. 공격자가 스위치에 임의의 MAC 주소를 포함한 패킷을 지속적으로 전송한다.3. 스위치에는 대량의 주소가 등록되어 더 이상 패킷을 전달할 수 없다.4. 스위치의 버퍼가 오버플로우 돼서 더미 허브처럼 모든 대상에게 데이터를 전송하는 브로드캐스트를 수행한다.5. 공격자는 패킷을 받아 어떤 통신을 수행하는지 엿볼 수 있다. 스위치L2 계층. MAC 주소 기반 데이터 전송MAC 주소를 알고 있다면 해당 ..

포트 스캐닝호스트에서 실행 중인 서비스를 찾기 위한 스캐닝 기법TCP Connect ScanningTCP 연결을 맺어서 포트의 활성화 여부를 판단하는 방법포트가 열린 경우, 3-Way HandShake을 수행하여 연결 로그를 남긴다.nmap -sT {네트워크 대역 | 호스트 IP} SYN Stealth(Half Open) ScanningTCP 연결을 완전히 하지 않고 포트의 활성화 여부를 판단하는 방법포트가 열린 경우, 3-Way HandShake 중 2단계에 연결을 끊으며 연결 로그를 남기지 않는다.nmap -sS {네트워크 대역 | 호스트 IP} NULL ScanningTCP 헤더 내 플래그 값을 설정하지 않고 전송한 뒤 응답으로 포트의 활성화 여부를 판단하는 방법포트가 열린 경우, 목표대상은 요..

스캐닝공격자가 공격대상의 네트워크나 시스템 정보를 탐색하는 행위수집 대상:실행 중인 TCP/UDP 서비스, 시스템 및 운영체제 정보, 그 외 다양한 정보수집 목적: 공격자가 공격목표로 하는 네트워크나 시스템의 자세한 정보(IP, OS, Port 및 Version) 를 수집하기 위함스캐닝 종류활성 시스템 스캐닝포트 스캐닝취약점 스캐닝활성 시스템 스캐닝현재 동작 중인 호스트를 찾기 위한 스캐닝 기법ICMP(Internet Control Message Protocol)를 이용한 ping 통신을 통해 동작 여부 확인대상 네트워크의 구조와 공격 대상을 찾는 방법으로 직접적인 공격 영향 없음종류ICMP Echo pingAPRingTCP/UDP ping 1. Nmap을 이용한 활성 시스템 스캐닝nmap -sn {네트..

DMZDemilitarized Zone외부에서 접근할 수 있지만 내부에서 접근이 불가능한 영역으로 웹 사이트가 대표적이다.DMZ 구성 방법방화벽들어오는 패킷과 나가는 패킷을 제어하는 데 사용되는 보안 장치특정 유형의 패킷만 통과하도록 허용하고 다른 모든 트래픽은 차단하도록 구성NATIP 헤더에 있는 주소 정보를 수정하여 하나의 IP 주소를 다른 IP 주소로 매핑(공인 IP를 DMZ 내부 IP 주소로 매핑하여 사용)PAT하나의 공인 IP를 여러 사설 IP에 공유할 수 있게 해주는 NAT의 한 종류 Trusted Network: 회사의 직원 또는 신뢰할 수 있는 파트너, 자사와 같은 회사에 접근 가능한 내부 네트워크Untrusted Network: 외부 인터넷

NATNetwork Address Translation의 약자로 주소 변환 기술을 의미한다.한 IP 주소를 다른 IP 주소로 바꾼다.사설 IP 주소를 공인 IP 주소 또는 공인 IP 주소를 사설 IP 주소로 변환기능IP 주소 부족 문제 해결주로 사설 네트워크 주소를 사용하는 망에서 외부와의 통신을 위해 네트워크 주소를 변환보안NAT 특성 상 IP를 숨길 수 있다.라우터를 통해 외부로 나갈 때 사설 IP가 공인 IP 주소로 바뀌므로 공격자는 라우터 안쪽에 있는 사설 IP를 알 수없다. 과정1. Gateway를 통해 외부로 통신 요청Gateway는 A PC의 IP 192.168.0.2를 자신의 공인 IP인 33.31.7.100으로 변환하여 외부로 전송2. 121.16.8.98의 응답192.16.8.98 PC..

TCP Wrapper방화벽이 없을 시기 개별 네트워크 서비스에 대한 접근 제어를 위해 등장과거에는 SSH, Telnet, FTP 같은 서비스가 보안성 없이 등장했기 때문에 /etc/hosts.allow, /etc/hoets.deny 파일을 사용하여 특정 IP만 접속을 허용/차단하였다.F/W1세대 방화벽: 패킷 필터 방화벽패킷 전송 시 이더넷의 SMAC/DMAC, IP의 Source IP/Destination IP, TCP의 Sport/Dport 정보 필터링2세대 방화벽: 세션 단위의 검사가 가능한 방화벽(Stateful Inspection F/W)ex) 구글은 나에게 패킷을 보내는 것을 차단, 나는 보낼 수 있음.효능이 좋아졌다기보다는 매끄러운 연결을 지원한다.IDS/IPS1세대, 2세대 방화벽은 패킷의..

OSI 7 LayerOpen Systems Interconnection 7 Layer의 약어로 국제 표준화 기구(ISO)에서 개발한 표준화된 네트워크 구조 모델서로 다른 기종 간에 연결이 가능하게 해주는 표준TCP/IP패킷 통신 방식의 인터넷 프로토콜인 IP와 전송 프로토콜인 TCP로 구성 OSI 7 Layer TCP/IP7계층응용 계층data stream 4계층: Application6계층표현 계층data stream 5계층세션 계층data stream 4계층전송 계층segment 3계층: Transport3계층네트워크 계층packet 2계층: Internet2계층데이터링크 계층frame 1계층: Network Interface1계층물리 계층bit