공부

[ 1) 스푸핑 공격에 대한 이해 ] { 스푸핑(Spoofing) } > ' 속이다 '라는 의미를 지님 > 인터넷이나 로컬에서 존재하는 모든 연결에 스푸핑 가능 > 정보를 얻어내기 위한 중간 단계의 기술로 사용하는 것 외에 시스템을 마비시키는 데 사용할 수도 있음 { 스푸핑 공격 대비책 } > 관리하는 시스템의 MAC 주소를 확인하여 테이블로 만들어둠 > Broadcast ping을 Network에 뿌려 그에 답하는 모든 시스템에 대한 MAC Address값을 시스템 캐시에 기록함. > arp -a로 현재 IP 주소값과 MAC 주소의 대칭 값을 비교하여 엉뚱한 MAC 주소로 맵핑되어 있는 항목을 확인 [ 실습 - 시스템의 IP, MAC Address 수집하기 ] > 실습 환경 : - 공격자 : Kali ..

[ 1) 스니핑 대응책 ] { 능동적 대응책 : 스니퍼 탐지 } > ping을 이용한 탐지 : - 의심이 가는 host에 ping을 보낼 때 네트워크가 존재하지 않는 MAC 주소를 위장하여 보냄 - 만약 ICMP Echo Reply를 받으면 해당 host가 스니핑을 하고 있는 것 > ARP를 이용한 탐지 : - 위조된 ARP Request를 Sniffer임을 확인하고자 하는 시스템에 전송 - 대상 시스템이 ARP Response(응답)를 보내면 이를 통해 프러미스큐어스 모드로 동작중인 스니퍼임을 확인 > DNS를 이용한 탐지 : - 테스트 대상 네트워크로 Ping Sweep을 보내고 들어오는 Inverse-DNS lookup을 감시 > 유인(Decoy)을 이용한 탐지 : - 가짜 계정과 패스워드를 뿌려,..

[ 3) ICMP 리다이렉트 ] > 공격 대상에게 패킷을 보낸 후 다시 라우터 A에 다시 릴레이시켜 스니핑 > 3계층에서 패킷을 주고받기 때문에 랜이 아니더라도 공격이 가능 > 최근에는 OS에서 ICMP 리다이렉트를 기본적으로 차단 [ 4) 스위치 재밍 ] > 스위치를 직접 공격 > MAC 테이블을 위한 캐시 공간에 *버퍼 오버플로우 공격을 실시 ( *버퍼 오버플로우 : 버퍼를 공격하여 시스템을 다운시키거나, 오작동을 유발시키는 공격 ) > 스위치는 Fail Close 기능이 적용되지 않음 ( *Fail Close; 페일 클로즈 : 시스템이 오작동을 하게 되면 모든 기능을 차단하는 개념 ) > 일부 고가의 스위치는 MAC 테이블의 캐시와 연산 장치가 사용하는 캐시가 독립적으로 나뉘어 있어 스위치 재밍 공..

[ 1) 스위칭 환경과 스니핑 ] > 스위치는 각 장비의 MAC주소를 확인하여 포트에 할당 > 자신에게 향하지 않은 패킷 외에는 받아볼 수 없어 스니핑을 막게 됨 - 스위치가 스니핑을 막기 위해 만들어진 장비는 아니지만 결과적으로는 스니핑을 저지하는 치명적인 장비가 됨. [ 2) ARP 리다이렉트와 ARP 스푸핑 ] { ARP 리다이렉트 } > 공격자가 자신을 라우터라고 속이는 것 > 기본적으로 2계층 공격으로, 랜(LAN)에서 공격 > 공격자 자신은 원래 라우터의 MAC주소를 알고 있어야 하며, 받은 모든 패킷은 다시 라우터로 릴레이해줘야 함. > ARP 스푸핑은 호스트 대 호스트 공격, ARP 리다이렉트는 랜의 모든 호스트 대 라우터라는 점 외에는 큰 차이가 없음. [ 실습 - ARP 리다이렉트 공격..

[ 1) fragrouter ] > 스니핑(Sniffing)을 보조해주는 툴(Tool)로, 받은 패킷을 전달하는 역할 > 스니핑을 하거나 세션(Session)을 가로챘을 때 공격자에게 온 패킷을 정상적으로 전달하려면 패킷 릴레이가 반드시 필요 [ 실습 - fragrouter ] 1) fragrouter 설치 sudo apt-get install fragrouter 2) fragrouter 버전 및 옵션 확인 fragrouter 명령을 입력하면 아래의 예시와 같이 버전과 옵션이 출력됩니다. ┌──(root㉿kali)-[~/Desktop] └─# fragrouter Version 1.6 Usage: fragrouter [-i interface] [-p] [-g hop] [-G hopcount] ATTACK ..

[ 1) TCP Dump ] > Linux에서 가장 기본이 되는 강력한 스니핑 도구 > 처음에는 네트워크 관리를 위해 개발되었기 때문에 관리자 느낌이 강함 > *Snort라는 *IDS의 기반 도구 > TCP Dump로 획득한 증거 자료는 법적 효력이 있음 * Snort? > 리눅스에서 작동하는 *NIDS (최근에는 Windows에서도 구동 가능) * IDS? > 침입 탐지 시스템(Intrusion Detection System) > 방화벽이 막을 수 없거나 차단에 실패한 공격을 탐지하여 관리자에게 알려주는 역할 * NIDS? > Network Intrusion Detection System, 네트워크 침입 탐지 시스템 [ 실습 - TCP Dump로 계정 및 패스워드 스니핑 ] > 실습 환경 : - Hos..

[정보 보안] 스니핑(Sniffing) 공격 포스팅에서 스니핑(Sniffing)에 대한 내용을 다룬 적 있습니다. [ 1) 스니핑에 대한 이해 ] > 스니핑(Sniffing) 공격은 수동적(Passive)인 공격 > 방어 및 탐지가 쉽지 않음 > 프러미스큐어스 모드(Promiscuous mode) 사용 { 스니핑의 개념 } > 아래는 일종의 스니핑 공격으로 볼 수 있음. - 엿듣기 - 도청(Eavesdropping) - 전화선 or UTP에 와이어 탭핑(Wire Tapping)하여 전기 신호(Emanation) 분석으로 정보 탐색 - 전기 신호를 템페스트(Tempest) 장비를 이용해 분석 { 프러미스큐어스 모드 (Promiscuous Mode) } > MAC 주소나 IP 주소에 관계없이 모든 패킷을 스..

실습 환경은 아래와 같이 세팅하겠습니다. 공격자 Ubuntu Desktop (Ubuntu 20.04.4 LTS) 공격 대상 Windows Server 2012 (R2) 사용 프로그램 snmpwalk 1) SNMP 설치 Windows Server 2012에 SNMP를 설치하겠습니다. Server Manager의 Manage탭에 "Add Roles and Features"를 클릭합니다. Features 탭에서 "SNMP Service"를 찾아 체크 후 install 버튼을 눌러 설치해줍니다. Server Manager의 Tools탭에 있는 "Services" 에서 SNMP가 구동 중인 것을 확인할 수 있습니다. 2) SNMP Community String 설정 위의 창에서 SNMP Service 우클릭 =>..

[ 1) 방화벽에 대한 이해 ] > 방화벽은 침입자를 차단하는 1차 방어선 > 접속에 대한 허용과 차단을 결정 ++ 침입 탐지 시스템(Intrusion Detection System; IDS)? > 방화벽이 막을 수 없거나 차단에 실패한 공격을 탐지하여 관리자에게 알려주는 역할 [ 2) 방화벽 탐지 ] > traceroute, firewalk 등을 이용한다. { traceroute } > 방화벽 설치 여부를 알 수 있는 가장 손쉬운 방법 > traceroute를 실행했을 때 *만 표시되는 경우, 라우터에서 필터링을 해주고 있거나 방화벽이 존재한다고 볼 수 있음. { firewalk } > 방화벽의 ACL(Access Control List)을 알아내는 방법 > 방화벽의 포트가 닫힌 경우 응답 패킷이 돌아..

{ 정지-후-대기(Stop-and-Wait) 프로토콜 } - 흐름 제어와 오류 제어를 제공하는 연결형 프로토콜 - 크기가 1인 미닫이 창 사용 - 확인 응답이 오기 전까지는 다음 패킷을 전송하지 않음 - 패킷 훼손 확인을 위해 검사합 추가 - 전송 시 타이머 구동, 확인 응답이 오면 타이머 정지 - 패킷이 훼손되거나 손실되면 재전송 ++ ACK 번호는 순서 번호 + 1 { 효율 } - 정지-후-대기 프로토콜은 채널이 두껍고 긴 경우에는 상당히 비효율적이다. - 대역폭-지연 곱(Brandwidth-Delay product) - 대역폭 X 왕복 지연 - 대역폭 : 채널이 두껍다 { N-프레임-후퇴(Go-Back-N) 프로토콜 } - 전송 효율을 높이기 위해 송신측은 확인 응답을 기다리는 동안 여러 개의 패킷..