kjh00n의 기록저장소

Snort● 실시간 트래픽 분석과 IP 네트워크 패킷 로깅이 가능한 가벼운 네트워크 침입탐지 시스템● 패킷 수집 라이브러리인 libpcap에 기반한 네트워크 스니퍼● 쉽게 정의할 수 있는 침입탐지 rule들에 일치되는 네트워크 트래픽을 감시하고 기록하고 경고하는 도구 Snort 구조 Snort 설치 과정설치된 CentOS를 VMplayer로 실행 네트워크 세팅해주기vim /etc/sysconfig/network-scripts/ifcfg-eth1ifcfg-eth0이라고 되어있을텐데 ifcfg-eth1로 이름 변경할 것mv ifcfg-eth0 ifcfg-eth1 입력 (network-scripts로 이동해서)service network restartyum -y install epel-releaseyum re..

DDos● 분산 서비스 거부 공격● 공격 시스템을 여러 대로 분산 배치하여 대량의 트래픽으로 공격대상의 서비스를 마비시키는 공격악성코드를 이용하여 Zombie PC를 획득하여 C&C서버를 통해 공격 명령을 내림Zombie PC를 관리하는 서버 = C&C● 공격자(1) → 좀비 PC(N) vs 공격대상(1) 공격 방식● 물리적인 파괴● 시스템 리소스 공격● 네트워크 대역폭 공격 → 대역폭 고갈 공격 발전 형태 - 초기 다수의 공격자가 지속적인 재요청을 발생시켜서 일반사용자의 서비스를 방해함- 중기 다수의 공격자가 DoS 공격을 직접 수행하여 대량의 트래픽을 발생시켜 공격함- 현재 Bot에 감염된 Zombie PC로 이뤄진 Botnet을 이용하여 공격함 Botnet 형태의 구성요소 • Attacker (=B..

단편화 조작 공격● 시스템의 단편화된 데이터의 순서번호를 조작하여 재조합 과정의 오류를 발생시키는 공격● 종류 → Bonk, Boink, Teardrop● 현재 취약점이 패치되었기 때문에 공격이 먹히지 않음 Bonk● 단편화된 데이터의 순서번호를 같은 번호로 조작하여 재조합 과정의 오류를 발생시킴 Boink● Bonk공격의 변형● 단편화된 데이터의 순차적으로 전달하다가 중간부터 반복된 순차번호를 전달하여 오류를 발생시킴 Teardrop● Boink공격의 변형● 단편화된 데이터의 순차적으로 전달하다가 중간부터 순서에 맞지 않는 순차번호를 전달하여 오류를 발생시킴

UDP Flooding● UDP의 비연결성 및 비신뢰성 때문에 발생● 단순한 공격으로 높은 수위의 공격효과를 볼 수 있기 때문에 DDOS 공격의 주류를 이룬다고 할 수 있음● 공격 유형 최대 수십Gbps 범위의 공격을 직접 Victim(피해자)에 전송하여 네트워크 인프라를 마비시키는 유형Source Address, Source Port를 Spoofing하여 과다한 트래픽을 Victim들에 전송함으로써 Spoof되는 Victim간의 네트워크를 마비시키는 유형실습-2 = UDP-a = 출발지 주소 지정-p 16000 : 어느 UDP Port가 열린지 모르기 때문에 아무거나 지정함-d 1000 : 크기를 1000byte로 지정ICMP Flooding● 활성화된 서비스나 포트가 필요하지 않다는 해당 프로토콜의 ..

TCP Connect Flood● TCP 3WAY-Handshake 과정을 과도하게 유발시켜 서비스에 과부하를 발생시키는 공격● 공격 트래픽을 받는 서버는 정상적인 TCP 세션을 지속적으로 세션 연결을 하여 세션 처리 자원을 고갈시켜 정상적인 세션 연결을 더 이상 수행할 수 없게 되어 이후 정상적으로 접근하는 사용자가 더 이상 서비스를 사용할 수 없게 됨● 형태 :  연결 유지, 연결/해제의 반복, 연결 이후 정상적인 통신처럼 트래픽을 발송● 정상적인 TCP 연결을 다수의 Zombie PC로 유지시켜 기존의 SYN Flooding 보안 대책을 무력화 함 공격● nping3 --tcp-connect -p 80 -rate=90000 -c 900000 -q [공격대상 IP] 보안● 1 IP당 세션 수 제한● ..

TCP SYN Flooding● TCP가 데이터를 보내기 전에 연결을 먼저 맺어야하는 연결지향성을 이용한 방법● Attacker 는 Victim 에 Source IP Address 를 Spoofing 하여 SYN 패킷을 특정 포트로 전송하여 해당 포트의 대기큐(Backlog Queue)를 가득 차게 하여 해당 포트에 들어오는 정상적인 연결요청을 큐가 빌 때까지 무시하도록 함● UDP Flooding이 주류를 이루기 전에 많이 사용되던 방식● 시스템 부하 → 메모리 부하(프로그램의 Backlog Queue) Backlog Queue● TCP 서비스에서 Client의 연결 상태정보를 기억하기 위한 공간(IP로 구분)SYN Backlog → Client의 SYN을 받고 SYN/ACK를 전달한 SYN_RCVD ..