본문 바로가기

보안

 (11)
[snort] snort를 이용한 스캔 공격 탐지 1. Xmas Scan 탐지 alert tcp any any -> any any (msg:"Xmas Scan Detection";flags:FPU;sid:10000001;) -Xmas scan : tcp 헤더 flag에 FIN,PUT,URG 설정하여 패킷을 보내는 스캔공격이다. 이 3개의 flags가 설정된 패킷을 공격대상이 받으면 해당 포트가 오픈된 경우에는 패킷을 버리고(DROP)하고, 닫혀있을경우에는 RST,ACT 패킷을 보낸다. 공격자는 응답형태에 따라 공격대상의 오픈 포트를 확인할 수 가 있다. flag snort 에서 사용되는 문자 FIN F SYN S RST R PSH P ACK A URG U Reserved Bit 1 1 Reserved Bit 2 2 No Flag set 0 2. Null..
IP/TCP/UDP 헤더 구조 개요 패킷분석을 하다보니 가장 기본이 각 계층의 헤더임을 새삼 느낀다. 알고는 있었지만 중요시 하지 않고 넘어 갔었는데 이번 기회에 한번 정리하고 넘어가야겠다 싶어 만들어 보았다. 1. IP 2. TCP 3. UDP 4. ICMP
[ssldump] 설치 개요 ssldump는 ssl/tls 프로토콜을 분석하는 도구이다. ssl/tls 프로토콜이 Ephemeral keying 키교환 알고리즘을 사용할경우는 복호화 할수 없다. 요즘 브라우저는 기본적으로 ECDHE, DHE를 기본 키교환알고리즘을 사용하기 때문에 ssldump로 복호화가 현실적으로는 어렵다. 여기서는 간단하게 ssldump의 설치및 활용방법에 대해서만 알아보도록 하자 환경 CentOS 7.6 1. 패키지 다운로드 https://centos.pkgs.org/7/epel-x86_64/ssldump-0.9-0.9.b3.el7.x86_64.rpm.html ** ssldump hompage(http://ssldump.sourceforge.net/) 의 소스를 이용하여 설치시 64비트 OS에서는 오류가 ..
[tcpdump] HTTP 트래픽 분석 개요 tcpdump 명령어로 HTTP 트래픽 분석 HTTP GET 필터링 shell> tcpdump -s 0 -A 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420' -i eth0 - tcp[((tcp[12:1] & 0xf0) >> 2):4] : data offset( tcp[12:1] & 0xf0) >> 2 ) 부터 4byte 값 - 0x47455420 : GET 을 16진수바이트(hexadecimal bytes,헥사코드)로 표현한 값(*GET 뒤에 공백있음) -A : ascii 출력 -s 0 : snaplength HTTP POST 필터링 tcpdump -s 0 -A 'tcp dst port 80 and (tcp[((tcp[12:1] & 0xf0) >> 2):4] =..
[정보보안기사] 2019년 2차 정보보안기사 실기 개요 2019년 2차 정보보안기사 실기 문제 요약 참고만 하시기 바랍니다. 단답형 1. 접근통제 정답)강제적 접근통제,임의적접근통제,역할기반접근통제 2. arp 프로토콜 프레임의 목적지 주소 정답)ff-ff-ff-ff-ff-ff-ff 3. IPSec에 관한 질문 ip계층, ah, esp 4. DDE(Dynamic Data Exchange) 5. 재난 분야 위기경보 명칭 정답)관심, 주의 , 경계, 심각 6. 리눅스 로그인 관련 로그 파일 명 utmp(현재 로그인한 사용자 로그), wtmp(로그인,로그아웃 시간 로그), btmp(로그인 실패 기록 로그) 7. 공통평가기준 약어 정답) CC(Common Criteria) 8. apache에서 업로드, 다운로드 지시자 정답) LimitRequestBody 9...
[iptables] 활용 개요 iptables 실무 사용 예 iptables 에서 현재 로드된 모듈 확인 shell> cat /proc/net/ip_tables_matches iptables에서 사용가능한 모듈 확인 shell> ls /lib/modules/`uname -r`/kernel/net/netfilter/ 예제) Xmas 스캔 차단 및 로깅 --tcp-flags 옵션을 사용하여 Xmas 스캔 차단( Xmas 스캔이란 tcp flags에 PSH,FIN,PSH가 모두 설정된 패킷) shell> iptables -A INPUT -p tcp --tcp-flags FIN,PSH,URG FIN,PSH,URG -j DROP shell> iptables -I INPUT -p tcp --tcp-flags FIN,PSH,URG FIN,P..
[snort] 활용2 개요 패킷의 playload에서 content(특정 패턴)을 특정 범위내에서 검출 하는 방법에 대해 설명하도록 한다. 용어 payload : 전송계층의 상위 계층 데이타. 즉 실제 어플리케이션이 사용하는 데이타가 존재하는 부분 content : payload 부분에서 검출할 패턴(snort는 내부적으로 rawdata를 decode후 content와 매칭하는 부분을 검색, 만약 raw data 트래픽에서 검출하고자 한다면 rawbytes 키워드를 추가 사용) - offset : payload에서 패턴 매칭할 시작 위치(0 부터 시작) - depth : payload에서 패턴 매칭할 끝 위치(offset 기준) - distance : 이전 content가 검색된 지점에서 다음 컨텐츠를 검색할 시작 위치 지정..
[wireshark] IP fragments 패킷 필터링 개요 wireshark는 디폴트로 IP fragments 패킷에 대해서 재조합해서 완성된 패킷으로 보여준다. 이번장에서는 fragment 패킷을 필터링하는 방법에 대해 설명하고자 한다. IP fragments 패킷 분석 1. filter에 아래와 같은 옵션을 주고 패킷을 캡쳐 하게 되면 fragment 패킷을 볼수가 있다. ip.flags.mf == 1 or ip.frag_offset > 0 예)아래는 icmp 패킷을 2000byte로 보냈을때 캡쳐한 화면(MTU 1500) dos> ping -l 2000 192.168.0.1 1500byte를 초과로 인하여 2개의 패킷으로 fragment되어 패킷이 발송하는 것을 볼수가 있다. [그림 1]의 More fragments 필드가 1로 설정되어 있으므로 추가..

티스토리툴바