ARP 스푸핑은 근거리 네트워크에서 사용되는 대표적인 중간자 공격으로 두 단말 간의 통신을 속여 자신을 통해 통신하도록 만들어 중간에서 네트워크 통신 내용을 스니핑 또는 스푸핑 하도록 하는 기술이다. 1. ARP 스푸핑근거리 네트워크(LAN) 환경에서 중간자 공격에 사용되는 기술로 활용IP에서 MAC 주소로 변환하는 과정에서 발생하는 ARP Reply 패킷을 변조하여 공격하는 방식2. APR 스푸핑을 이용한 MITM 공격 원리두 단말 간의 통신 사이에서 정상 통신으로 속여 데이터가 공격자를 경유하도록 유도하는 기술두 단말 간은 정상적 통신을 하는 것으로 알고 있지만 실제로는 공격자를 통해 패킷을 전달공격자는 두 단말 간의 통신 내용을 스니핑(Sniffing) 또는 스푸핑(Spoofing) 하여 전달 가능..

1. 근거리 네트워크 공격LAN 범위 내에서 수행될 수 있는 공격에 한정하여 OSI 7 Layer 중 2계층에서 이루어지는 공격을 의미 2. 근거리 네트워크 공격의 주요 공격ARP를 이용한 MITM 공격Man In The Middle의 약자로 중간자 공격이라고도 불림통신하는 두 단말 사이에 중간자가 침입하여 양단의 통신을 도청하거나 조작중간자 공격을 막기 위해 TLS/SSL 프로토콜을 이용한 공개키 기반 인증을 사용2계층에서 주로 활용하는 공격으로는 ARP 스푸핑을 연계한 공격이 존재STP(Spanning Tree Protocol) 공격STP는 스위치 네트워크 환경에서 사용되는 프로토콜루핑(정상적인 연결을 수행하지 못하고 통신이 빙빙 도는 현상) 공격을 방지하는 프로토콜STP를 이용하여 스위치의 연결 흐..

OS 설치 시 기본적으로 탑재되어 실행 되는 서비스 중에는 보안에 취약한 서비스들이 있다. 그러한 서비스를 중지하는 것만으로도 어느 정도 방어가 가능하다. 1. 네트워크 장비에 의한 필터링Router/Switch에서 ACL을 이용하여 허용하지 않은 사용자의 네트워크 접근 차단 2. 서버에서 실행중인 불필요한 서비스 중지불필요한 Port 닫기 3. 침입 탐지 시스템(IDS) 및 침입 차단 시스템(IPS) 연동syslog를 점검하더라도 스캔이 끝난 상황이라면 대응이 늦어질 수 있음침입 탐지 시스템을 이용하여 침입자를 감지하고 침입 차단 시스템에서 공격자의 IP를 차단

홈페이지의 경우 보안상의 이유로 ICMP 패킷을 차단하는 경우도 존재한다. 이러한 경우 서버가 구동이 되고 있는지 확인하기 위해서는 활성화 된 서비스가 있는 포트를 대상으로 서버가 존재하고 실행되고 있는지 스캔할 수 있다. 예를 들면 웹 서버에 HTTP 패킷을 보내 확인하는 방법이 있다. 1. SYN 스캔1) wireshark를 통한 스캔 결과 확인Half Open 방식(SYN -> SYN/ACK -> RST)더보기hping3 -S 192.168.0.18 -p 80 -c 2 2) hping -8 옵션으로 각 포트번호를 늘려가며 스캔지정한 20-25번 포트를 하나씩 스캔더보기hping3 -8 20-25 -S 192.168.0.18 22번 포트만 활성화 되어 있기 때문에 22번으로만 RST 응답을 보냄, 나..

Telnet과 같이 원격지의 시스템에 로그인을 시도하였을 때 나타나는 안내문을 배너(Banner)라고 한다. 이러한 배너는 기본적으로 애플리케이션의 버전 등을 나타내기 때문에 이를 통해 기본적인 정보 수집이 가능하다. 80, 25, 3306 포트를 통해 각 서버의 정보 확인 가능(21, 23, 25, 110, 143 포트에서도 가능) 1. 운영체제 버전과 커널 버전 확인 가능1) CentOS 7.6 웹 서버 설정httpd 설치 방화벽 밀어버리기 데몬 재실행 2) 웹 서버 접속으로 배너 그래빙운영체제와 웹 서버의 종류 확인 가능 3) hping3 명령으로 기본 네트워크 정보 수집(ping 명령과 유사)네트워크 패킷 생성 및 분석 도구로, 주로 네트워크 테스트, 방화벽 규칙 검증, 포트 스캔 및 네트워크 공..

1. nmap을 활용한 활성화 된 Host 스캔Nmap Option-sTconnect() 함수를 이용한 Open 스캔(오픈)-PSTCP SYN 패킷 만을 보내 시스템 활성화 여부 검사-sS세션을 성립시키지 않는 SYN 스캔(하프오픈)-PI시스템 활성화 여부를 ICMP로 검사-sFFIN 패킷을 이용한 스캔-PBTCP와 ICMP 둘 다 사용하여 HOST 활성화 여부 검사-sNNULL 패킷을 이용한 스캔-O시스템 운영체제 수정-sXX-MAS 패킷을 이용한 스캔-IIdent 프로토콜(RFC1413)을 사용해 열려있는 프로세스가 어떤 사용자에 의한 것인지 검사-sPping을 이용한 HOST 활성화 여부 확인-nDNS Lookup을 하지 않음-sUUDP 포트 스캔-RDNS Lookup을 함-sRRPC 포트 스캔-P..

스캔을 통해 서비스를 제공하는 서버의 작동 여부와 제공하고 있는 서비스를 확인할 수 있다. 스캐닝에 사용하는 프로토콜은 ICMP(3계층), TCP(4계층), UDP(4계층)로 나눌 수 있다.  1. 네트워크 스캐닝 개요개요스캐닝은 네트워크를 통해 제공하고 있는 서비스, 포트, HOST 정보 등을 알아내는 것을 의미TCP 기반의 프로토콜의 질의(Request) 응답(Response) 메커니즘대표적인 스캔 프로그램으로는 nmap목적열려 있는 포트 확인제공하는 서비스 확인동작 중인 Daemon의 버전운영체제 종류 및 버전취약점★ 인터넷을 하기 위해서는 MAC 주소, IP 주소, Port 주소를 알아야 통신이 가능함MAC(하드웨어 주소) : 이더넷으로 물리적으로 내장되어 있는 고유한 주소 -> 2계층IP(논리적..

1. 압축 파일 해제해당 파일들이 192.168.0.x  대역으로 설정되어 있기 때문에 VMware도 192.168.0.x 대역으로 맞춰줘야 한다.VMware Player는 해당 기능이 없으니 vmnetcfg.exe 파일을 C:\Program Files (x86)\VMware\VMware Workstation 경로에 복사 해서 설정(VMware Workstation Pro를 사용하는 경우는 Edit 탭 - Virtual Network Editor로 설정하면 됨)  2. VMware NIC 설정 및 가상 머신 실행192.168.0.0 대역으로 설정  VMware가 가상 머신의 위치 변경을 감지 했을 때 나타나는 메시지I Moved It : VMware는 가상 머신이 다른 위치로 이동되었다고 가정하고, 가상..