본문 바로가기

해킹-보안

 (97)
SNMP 보안 취약점 ி SNMP 개요 SNMP는 Simple Network Management Protocol의 약어로 네트워크 장비 상태 모니터링을 위한 프로토콜이다. 이전에는 간단하게 ICMP의 ping만으로 장비를 관리할 수 있었지만 네트워크 규모가 성장함에 따라 이러한 프로토콜이 개발되었다. ி SNMP 용어 정리 NMS(Network Management System)는 네트워크 환경에 연결된 장비, 시스템에 대한 실시간 이벤트 내용을 수집하는 시스템으로서 관리시스템인 매니저(NMS)와 관리대상(Agent)간에 정보를 전달하는 역할을 하기 위해 SNMP가 사용된다. SNMP의 구성 요소는 아래와 같다. SNMP 에이전트(관리시스템 관리자), SNMP 매니저(관리대상) Community String snmp 매니저와 ..
Security Onion 설치하기 ி 개요 Security Onion은 침입 탐지, 네트워크 보안 모니터링, 로그 관리를 할 수 있는 무료 오픈 소스 Linux 배포판이다. 제공하는 보안 도구는 Elasticsearch, Logstash, Kibana, Snort, Suricata, OSSEC, Bro, Sguil, Squert 등이 있다. ி 설치 Security Onion ISO 파일을 깃허브에서 다운받고 설치를 진행한다. (Security Onion은 Ubuntu OS이다) https://github.com/Security-Onion-Solutions/security-onion/blob/master/Verify_ISO.md SecurityOnion 설치 OS 설치가 완료되면 바탕화면에 “Install SecurityOnion 16...
리눅스 snort 설치 및 악성 트래픽 탐지 룰 학습 ி 설치 snort를 위한 라이브러리 설치 apt-get install -y gcc libpcre3-dev zlib1g-dev libluajit-5.1-dev apt-get install -y libpcap-dev openssl libssl-dev libnghttp2-dev libdumbnet-dev apt-get install -y bison flex libdnet autoconf libtool snort 설치 wget https://www.snort.org/downloads/snort/daq-2.0.7.tar.gz tar -xvzf daq-2.0.7.tar.gz cd daq-2.0.7 autoreconf -f -i ./configure && make && make install wget https:/..
hping3 명령어 사용법 hping은 패킷을 조작할 수 있는 프로그램으로서 주로 네트워크 장비의 부하를 테스트하거나 취약한 보안 설정을 개선하는 곳에 이용된다. 단! 허락 없이 엉뚱한 시스템에 사용하면 안된다.^^;;
ARP spoofing 공격 실습 ி ARP Spoofing 개요 ARP Spoofing을 수행하면 피해자의 ARP Cache Table을 조작하여 공격자를 게이트웨이로 인식하게 만든다. 공격자는 피해자와 게이트웨이간 통신을 도청하거나 조작할 수 있으며 이를 중간자 공격이라고도 한다. ி ARP Spoofing 공격 실습 환경 공격자는 ARP 스푸핑으로 피해자(윈도우 사용자)가 톰캣 홈페이지에 계정을 로그인하는 정보를 탈취한다. 정상적인 통신 절차라면 피해자와 웹 서버는 게이트웨이를 거쳐 통신하는데 이때 공격자가 피해자한테 자신이 게이트웨이라고 거짓 ARP reply를 보낸다. 그러면 아래처럼 피해자 라우팅 테이블의 게이트웨이 MAC 주소가 공격자의 MAC 주소로 설정된다. 공격 후의 패킷 흐름을 살펴보자면 아래와 같다. Window[피..
DDoS 패킷 분석 및 대응 방법 ி 서비스 거부 공격 형태 네트워크 대역폭 고갈 쓰레기 데이터로 네트워크의 자원이 고갈됨. 시스템 자원 고갈 서버의 물리적인 자원(CPU, 메모리, 디스크)이 고갈됨. 응용 계층 고갈 응용 계층 기반의 자원이 고갈됨. ex) 웹 서비스, DNS 등.. ி 서비스 거부 공격 패킷 대역폭 고갈 UDP Flooding port 순서, 시간, 데이터 크기(1,400 byte) 등을 고려했을때, 1개의 IP가 출발지 IP주소를 조작하여 보낸것으로 판단된다. ➽ 대응 방안 ① 출발지가 조작된 IP 차단 ② 패킷의 임계치 설정 ③ 미사용 protocol, port 차단(80번 port를 사용하는 UDP는 존재하지 않음) ICMP Flooding icmp 프로토콜을 이용하여 네트워크 대역폭을 고갈시키는 공격이다. ➽ ..
패킷 분석을 위한 도구 - PacketTotal ி 개요 PacketTotal은 패킷 파일을 분석하는 도구이며 50MB 이하의 pcap 파일만 검사할 수 있다. 이 엔진은 Python으로 코딩되었으며 분석, 유지 및 검색을 용이하게 하기 위해 아래 3가지 오픈 소스 기술이 사용된다. 캡처 내에서 발견된 다양한 프로토콜과 아티팩트를 식별하는 Bro IDS, 캡처 내에서 알려진 악성 트래픽의 서명 기반 식별을 위한 Suricata IDS, 패킷 캡처 메타 데이터를 색인화하고 향후 검색 및 렌더링에 사용할 수 있는 Elasticsearch 등이다. ி 사용 아래 샘플 제공 사이트에서 PacketTotal에 샘플로 분석해볼 패킷 파일을 다운받는다. http://www.malware-traffic-analysis.net/2015/08/31/index.html ..
포트 스캐닝을 위한 TCP 제어 플래그의 이해 ி TCP 헤더 TCP 헤더는 6개의 Control Flag 필드가 있으며 각각 URG, ACK, PSH, RST, SYN, FIN등이 존재한다. 이들은 TCP의 흐름을 제어하고 연결을 설정하는 기능이 있다. 각 플래그의 의미를 알아보자. URN(Urgent pointer) 긴급한 패킷이니 우선 처리한다. 이 플래그가 1로 설정되면 순서에 관계없이 먼저 전달된다. ACK(Acknowledgement) 요청에 대한 응답을 의미한다. TCP가 연결되면 이 플래그는 항상 1로 설정된다. PSH(Push) 데이터 전송을 알리는 플래그다. RST(Reset) 연결을 재설정한다. 플래그가 1로 설정됐다면 TCP 통신 도중에 강제로 연결을 종료한다. SYN(Synchronization) 연결 요청을 위한 플래그다. ..

티스토리툴바