Learning 썸네일형 리스트형 말테고(Maltego) report '말테고(Maltego)'를 이용한 위협 평가 Maltego Program 해킹의 사전준비를 위한 정보수집 툴로 nmap, zenmap, maltego 정도가 있는데, 모두 칼리 리눅스에 기본적으로 탑재되어 있다. nmap은 포트스캐닝이나 네트워크 분석에 사용된다. (debian) sudo apt-get update sudo apt-get install nmap (Redhat) sudo yum update sudo yum -y install nmap zenmap은 GUI인터페이스 이며 네트워크 매핑에 사용된다. UI의 최상단에는 IP주소 입력창이 있고 그 아래는 실제 nmap의 명령어, 우측엔 어떤 작업을 수행할것인지가 나와있다. IP범위를 적고 Quick Traceroute로 설정한다(윈도우즈에서는 t.. 더보기 DNS 정보 수집 ■ 정보 수집 과정의 종류 □ 검색 엔진을 사용하는 경우(EX: 구글링) □ 인터넷(정보보안사이트)을 통해 정보를 확인하는 방법(EX: exploit-db.com) □ 구글 검색을 통해 정보를 확인하는 방법(EX: 구글해킹) □ DNS 서버를 사용하는 경우(EX: dnsenum CMD) □ 사회공학적인 기법(Social Engineering)을 사용하는 경우(EX: SET) □ 스캐너를 사용하는 방법 □ 일반 스캐너를 사용하는 방법(EX: nmap/zenmap) □ 취약점 스캐너를 사용하는 방법(EX: Nessus/OpenVAS/Nexpose) ■ 정보 수집(Data Gathering)에 대한 체계 어떤 방법을 통해 정보를 수집할 것인가? DNS 정보 수집네트워크 정보 수집호스트 정보 수집OS 정보 수집.. 더보기 배시쉘 버그(bash shell bug, shellsock) ■ CentOS# yum -y install gcc # gcc -o test test.c # ./test [실습] 쉘버그(bash shell bug)에 대해서 용어 : 배시쉘버그(bash shell bug) = 쉘속(shellsock)용어 : Zero Day Attack (0 day attack) ① exploit db 사이트에 접속하여 정보를 검색 shellsock에 대한 정보 검색 http://www.exploit-db.com 사이트에 접속한다. 오른쪽 상단의 "Search" 선택한다. "Title" 부분에 "bash" 입력-> "Title: bash " 2014-09-25 GNU Bash - Environment Variable Command Injection (ShellShock) [그림 1] e.. 더보기 정보 수집 단계(Data Gathering) 시스템/모의해킹 진단 범위와 절차 정보수집 > 취약점 점검 > 모의진단/해킹 > 보고서 ■ 시스템취약점진단 범위1. 서버 취약점 점검자체 개발한 점검 툴 활용(시스템에 영향 거의 없음)취약점 및 설정상의 오류 점검각 OS 별 특화된 점검보안전문가에 의한 분석2. 네트워크 취약점 점검자체 개발한 체크리스트 사용(네트워크 장비에 영향 없음)각 네트워크 장비별 특화된 점검False-Positive 최소화보안전문가에 의한 분석3. 정보보호시스템 취약점 점검자체 개발한 체크리스트 활용취약점 및 설정상의 오류 점검각 기능별/장비별 특화된 점검보안 정책 점검보안전문가의 의한 분석4. WAS/DB 취약점 점검자체 개발한 체크리스트 사용(시스템에 영향 거의 없음)각 벤더별 특화된 점검False-Positive 최소화보안.. 더보기 DHCP spoofing report DHCP spoofing report ◆DHCP 자동으로 Client에게 IP주소를 할당해 주는 Server. 동적으로 할당해 주기 때문에 하나하나 할당해 주지 않아도 된다. 실수가 적고 효율적이다. ◆문제점 UDP통신 Port 67(server), Port 68(client) 공격으로 주소를 고갈시켜 서비스 거부공격이 가능 공격자는 DHCP로 위장하여 Offer Packet을 보내면 Victim은 그 정보를 받아드린다. (gw or DNS정보 위조) ◆DHCP Starvation BT5 - /pentest/enumeration/irpas로 경로 이동 dhcpx -vv -i eth0 -A -t 5 1.서버를 찾는다. 2.IP주소를 계속 할당받아 DHCP 서버가 보유한 IP를 고갈시킨다. gw -> sho.. 더보기 DNS Spoofing report DNS 스푸핑 보고서 INDEX ------------------------------ 1. 개요 2. 설정 확인 3. ettercap DNS 설정 4. ettercap spoofing 5. 결과 확인 & DNS 캐싱 정보 초기화 ------------------------------ ■ 사용시스템 - KaliLinux (1) 개요 DNS Spoofing 실제 도메인 네임 시스템(DNS) 서버를 해킹하거나, 위조 DNS 서버를 설치하여 공격하는 방법. 사용자가 질의한 도메인 이름에 대해 고의로 잘못된 인터넷 프로토콜(IP) 주소를 응답으로 보내 사용자가 잘못된 사이트에 접속하게 하여 개인정보 등의 정보를 탈취한다. 도메인 네임 시스템(DNS) 프로토콜은 인터넷 연결 시 도메인 주소를 실제 IP 주소로 대.. 더보기 Packet Sniffing 공격 Ettercap 사용한 Kali Linux에서 Packet Sniffing 하기 ■ 용어: - Packet Sniffing - Packet Capture - Packet Monitoring ■작업 시나리오 windows2008(ftp CMD) ------- ftp -------> linux200(vsftpd) A l KaliLinux(중간에서 감청하는 작업) ■ 사용시스템 - Kali Linux(Attacker) - linux200(FTP 서버: vsftpd) 192.168.20.200 - win2008 (FTP 클라이언트: ftp CMD) 192.168.20.201 [실습] ettercap 툴을 사용하여 패킷 스니핑을 해 보자. (KaliLinux) Ethernet Switch 환경에서 패킷을 스니핑하.. 더보기 Yasca program Report Yasca program Report 시큐어 코딩 진단 프로그램 - [참고] Yasca program (http://www.scovetta.com/yasca.html) (1) 개요 최근 지속적으로 발생되고 있는 웹 해킹 관련 침해사고에 대한 대안으로 시큐어코딩(Secure Coding)이 강조되고 있다. 시큐어 코딩이란 개발 단계에서부터 해킹 등의 공격을 유발할 가능성이 있는 잠재적인 보안 취약점을 사전에 제거하여 외부 공격으로부터 안전한 어플리케이션을 개발하는 것을 말한다. 지난 2012년 12월 부터는 행정자치부의 정보시스템 구축 운영 지침 개정안 행정 예고에 따른 시큐어코딩 의무화 법안이 발표되었다. 하지만 이와 같은 법안이 나왔음에도 불구하고 침해 사고는 좀처럼 줄어들지 않는 것이 현실이다. 개발.. 더보기 운영체제 내에서 부하량을 주는 방법(로컬 DoS) 운영체제 내에서 DoS(Denial of Services) Attack 모니터링 툴 종류 # top - Display Linux tasks # free - Display amount of free and used memory in the system # /usr/bin/baobab - A graphical tool to analyse disk usage # /usr/bin/xload - System load average display for X # /usr/bin/gnome-system-monitor - System monitor # /usr/bin/gnome-system-log - /var/logs/messages log viewer # gnome-[TAB][TAB] # gnome-system-[TA.. 더보기 DoS(Denial of Service) Attack Type ICMP LAND Attack(ICMP DoS Attack) ■ DoS(Denial of Service) Attack Type LAND Attack -> DoS attack (1:1) Smurf Attack -> DDoS attack(N:1) LAND(Local Area Network Denial) attack is a DoS(Denial of Service) attack. The Smurf Attack is a DDoS(Distributed Denial-of-Service) attack in which large numbers of Internet Control Message Protocol (ICMP) packets with the intended victim's spoofed source IP are broadcast to a computer network .. 더보기 ARP Spoofing을 막을 수 있는 방법에 대해서 ARP Spoofing Attack을 하고 있다면. 증상 - 네트워크 부하량이 걸린다 (인터넷 속도 저하) 확인 - #arp -a 중복된 MAC 주소가 존재한다. 해결 arp cache table에 static상태로 정보를 넣는다. ARP Spoofing 예방 방법 ■ 서버 장비에서 방어 - static arp table으로 설정 ARP Table은 자동(Dynamic)과 수동(Static)으로 설정이 가능하다. 수동으로 설정할 경우 ARP Cache Table의 정보를 변조하지 못한다. 다만 이중 게이트웨이가 네트워크에 존재할 시에는 사용할 수 없다. 또한 네트워크 변경시 수동으로 바꾸어야 하는 불편함이 있다.(자동설정은 자동으로 Gateway의 MAC 주소가 설정된다.) ■ 네트워크 장비에서 방어 시.. 더보기 ARP Cache Poisoning(ARP Spoofing Attack) [참고] 스푸핑의 종류에 대해서ARP Spoofing : IP Spoofing : ip를 속여서 접속DNS Spoofing : Fake DNS ServerDHCP Spoofing: 서버가 client 로 데이터를 줄 수 있는데 dhcp fake를 만들어서 우회시킨다.IP Spoofing Attack : A,B host가 서로 신뢰관계 일 때, 공격자가 A를 공격하여 응답하지 못하도록 만든다. S -> SA -> A 신호를 공격자가 A대신 B에게 S신호를 보낸다. B는 A에게 SA신호를 보낸다.공격자가 다시 Bhost에게 A신호를 보낸다. ARP Spoofing 실습 1. 사용하는 툴 nmap 포트 스캔닝arpspoof ARP Spoof 사용하는 툴driftnet urlsnarf 툴에 의한 URL 이미지 .. 더보기 MAC 주소를 임시적으로 변경하는 방법 MAC 주소를 임시적으로 변경하는 방법 ■ 사용시스템- linux200- windows2008 ■ 선수지식 [참고] ARP Cache Table 관리 명령어 (설정) # arp -s (확인) # arp -a (삭제) # arp -d [참고] 물리적인 주소(MAC 주소)에 대해서(EX: Network Adapter, 1 port) * 공장에서 생산할 때 할당되는 번호(port 구분 번호) * 일반적인 체계에서는 MAC 중첩이 나지 않는다. * 운영체제가 기동이 될때 NIC의 MAC 주소를 불러서 설정한다. * 운영체제에서 임시적으로 NIC의 MAC 주소를 변경해도 재부팅이 되면 다시 복원된다. * 가상 운영체제 환경(EX: VMware)인 경우에는 약간 틀리다. [실습] MAC 주소를 변경하는 방법을 실습.. 더보기 ARP 패킷을 캡쳐하고 분석하기 ARP 패킷 분석 (참고) IT 용어 정보 """""아래 사이트를 반드시 참고해 주세요""""""- 정보통신기술용어해설(www.ktword.co.kr)- 용어 확인(www.terms.co.kr) ARP 패킷을 캡쳐하고 분석하기 ■ 사용시스템- linux200- windows2008 (실습) ARP 패킷을 캡쳐하고 분석하기 (linux200) 패킷을 모니터링 할 수 있도록 wireshark 실행# wireshark & 이전 실습에서 사용된 arp cache table 내용 삭제# arp -d 192.168.20.201 타겟 서버에 통신하고 arp cache table 내용 확인# ping -c 1 192.168.20.201 # arp -a nic2 (192.168.20.100) at 00:0C:29:99:.. 더보기 ARP 프로토콜의 동작 원리를 확인 ARP 프로토콜의 동작 원리를 확인 ■ 사용시스템- linux200- windows2008 ARP cache table 관리명령어(EX: 리눅스 기준) (설정) # arp -s arp table에 ip , mac 등록 (확인) # arp -a arp table 확인 (삭제) # arp -d arp table에서 등록된 ip 삭제 ip 와 mac 주소를 일정기간 동안 캐싱 [실습] ARP 프로토콜의 동작원리를 확인(linux200) 1.ARP cache table 내용을 확인하고 미리 정보가 있다면 삭제# arp -an => 내용있으면 삭제# arp -d 192.168.20.201# ping -c 1 192.168.20.201 c : count arp -an 없었다. -> arp request -> pin.. 더보기 이더넷 프레임 구조확인 이더넷 프레임 구조확인 ■ 사용시스템- firewall : 192.168.20.100- win2008 : 192.168.20.201- linux200 : 192.168.20.200 [실습] 이더넷 프레임 (Ethernet Frame) 구조 확인(linux200) ■ wireshark 설치하고 이더넷 프레임 구조를 확인① wireshark 프로그램을 설치# vi /etc/resolv.conf nameserver 168.126.63.1 # yum list | grep wireshark wireshark.i386 1.0.15-6.el5_10 updates wireshark-gnome.i386 1.0.15-6.el5_10 updates # yum -y install wireshark wireshark-gnome.. 더보기 MAC 주소(CID) 검색하기 [실습] MAC 주소(CID) 검색하기 http://www.coffer.com/mac_find여러가지 회사의 MAC CID(Company ID)를 검색하여 정리한다.(EX: VMware, Intel, CISCO) [참고] MAC 주소 목록 찾기MAC 주소 목록 찾기 -> http://www.coffer.com/mac_find 에서 MAC 주소 검색MAC 주소 목록 찾기 -> http://www.iana.org/assignments/ethernet-numbersMAC 주소 목록 찾기 -> http://standards.ieee.org/regauth/oui/oui.txtMAC 주소 목록 확인 -> http://blog.naver.com/levelup5?Redirect=Log&logNo=100013936710.. 더보기 Wireshark 패킷 분석 실습 [실습1] 패킷 분석을 통해 어떤 프로토콜 패킷인지 확인해 보자.(작업 시간: 5분) 분석 파일 : lawcode.txt 어떤 종류의 패킷인가? ping test 어떤 프로토콜 패킷인가? ICMP 이더넷 헤더 부분: 목적지 맥 어드레스 소스 맥어드레스 타입 IP 0000 00 50 56 e5 d1 c2 00 0c 29 50 9a f6 08 00 45 00 .PV.....)P....E. 0010 00 54 de 49 40 00 40 01 aa 05 c0 a8 0a 32 a8 7e .T.I@.@......2.~ 0020 3f 01 08 00 13 b9 2c e9 00 05 0b 2f 4c 56 6f d0 ?.....,..../LVo. 0030 05 00 08 09 0a 0b 0c 0d 0e 0f 10 11 .. 더보기 TCP/IP 이해 TCP/IP 4Layer TCP/IP Layer 기능 해당 프로토콜 Application Layer 사용자와 컴퓨터간의 프로토콜 http, telnet, ftp, pop, smtp host-to-host Layer 자료 전송 제어 프로토콜 TCP, UDP, ICMP internet Layer 데이터그램을 목적지로 한 전송 지시 프로토콜 IP Network-access Layer 실질적인 자료 전송 프로토콜 gateway, DNS 더보기 네트워크 기초 복습 네트워크 기초 네트워크란 ? 컴퓨터들을 연결하여 글들 간에 통신을 하여 정보를 교환화고 자원을 공유할 수 있도록 하는 방법 네트워크 크기에 따른 분류 LAN - 소규모 MAN - 중규모 WAN - 대규모 Local Area(근처)Wide Area(지역) Metropolitan Area(국가) 프로토콜 정보기기 사이 디바이스와 단말기 사이 등에서 정보 교환이 필요한 경우, 이를 원할하게 하기 위하여 정한 여러 가지 통신규칙과 방법에 대한 약속 즉 통신의 규약을 의미. 네트워크의 두 주소 IP Address 네트워크 상에서 특정 개체를 나타낼 수 있는 논리적 주소 IP주소=네트워크 + 호스트 192.168.0.1 (네트워크 주소192.168,호스트 주소0.1) MAC Address 네트워크 상에서 특정 개체.. 더보기 이전 1 ··· 7 8 9 10 11 12 13 ··· 17 다음