본문 바로가기

보안 13

MITM(Man In The Middle) 공격 MITM(Man In The Middle) 공격: 중간자 공격 - 암호화된 통신 채널 이용으로 ARP Redirect, ICMP Redirect, ARP Spoofing이 불가해지자 등장 - 관련 도구: etterfilter, ettercap SSH MITM ※ SSH(Secure Shell) 암호화 기법 → 전자서명 알고리즘 이용 ① 클라이언트가 SSH 서버에게 공개키를 요청하고, SSH 접속용 공개키를 받음 ② 클라이언트는 자신의 개인키로 데이터 암호화, 서버의 공개키로 데이터(클라이언트의 개인키와 암호화된 데이터)를 암호화하여 서버로 전송 ③ 서버는 클라이언트로부터 수신한 암호화된 데이터(클라이언트 개인키 + 암호화된 데이터)를 자신의 개인키로 복호화한 후, 이를 다시 클라이언트의 공개키로 복호화해.. 2020. 12. 14.
세션 하이재킹(Session Hijacking) 세션 하이재킹(Session Hijacking) - 세션 가로채기 - 세션: 두 호스트(컴퓨터) 간의 연결 활성화 상태 TCP 세션 하이재킹 ※ Non-Blind Attack(로컬 세션 하이재킹 공격) - TCP 시퀀스 넘버 제어의 문제점 이용 - 공격 대상 탐지 가능 - 시퀀스 넘버 알아낼 수 있음 ※ Blind Attack(원격 세션 하이재킹 공격) - 공격 대상 탐지 불가 - 시퀀스 넘버 알아낼 수 없음 TCP 세션 하이재킹 이해 - TCP 시퀀스 넘버 교환: 정상적인 세션 연결 시 동기화 상태 → Clienct_My_Seq(클라이언트 관리 시퀀스 넘버) = Server_Client_Seq(클라이언트가 알고 있는 서버 시퀀스 넘버) Server_My_Seq(서버 관리 시퀀스 넘버) = Client_.. 2020. 12. 14.
스푸핑(Spoofing) 스푸핑(Spoofing) - 인터넷이나 로컬에 존재하는 모든 연결에 스푸핑 가능 - 속이다 → IP주소(IP Spoofing). MAC주소(MAC Spoofing). DNS주소(DNS Spoofing) - 정보를 얻거나 시스템을 마비시키는 용도 스푸핑 공격 대비책 - 관리하는 시스템의 MAC 주소를 확인하여 테이블로 만들어 둠 - 브로드캐스트 ping을 네트워크에 뿌려 그에 답하는 모든 시스템에 대한 MAC 주소 값을 시스템 캐시에 기록 - arp -a로 현재 IP 주소 값과 MAC 주소를 비교하여 엉뚱한 MAC 주소로 매핑되어있는 항목 확인 ARP Spoofing(ARP 스푸핑) º MAC 주소를 속임(2계층에서 작동하므로 공격대상과 같은 랜에 있어야 함) - 브로드캐스팅 트래픽이 제한되는 이더넷 스위.. 2020. 12. 14.
스니핑(Sniffing) 스니핑 : 악의적인 사용자가 전송자와 수신자 사이의 통신 패킷 도청. 수동적(Passive) 공격 스니핑의 개념 - 네트워크 트래픽을 도청(엿듣기) - 전화선이나 UTP에 Tapping 해서 전기신호를 분석하여 정보를 찾아냄 - 전기 신호를 템페스트(Tempest) 장비를 이용해 분석 - 스니퍼(sniffer): 네트워크 스니핑을 할 수 있는 도구 스니핑 방법 - LAN(Local Area Network) 환경에서 가능: LAN 카드, 허브, 스위치 - LAN카드(PC 장착) or 허브 환경: 프러미스큐어스 모드로 조작하여 패킷 수신 - L2 스위치 환경: ARP Redirect 조작하여 공격자를 라우터로 속이고 패킷 수신 LAN 스니핑 ※ LAN 카드(NIC): IP주소 값과 고유한 MAC 주소 값 보.. 2020. 12. 14.
스캐닝 공격 분석(Nmap, 와이어샤크 이용) Nmap : 네트워크 검색과 보안 진단을 위한 무료 공개 소스 유틸리티 - nmap 스캔 옵션 옵션 종류 내용 -sT connect() 함수를 이용한 Open 스캔. Open Scan -sS 세션을 성립시키지 않는 SYN Scan. Half Open Scan -sF FIN 패킷을 이용한 스캔. Fin Scan -sN NULL 패킷을 이용한 스캔. Null Scan -sX XMAS 패킷을 이용한 스캔. XMAS Scan -sU UDP 포트 스캔. UDP Scan -sA ACK 패킷에 대한 TTL 값 분석. ACK Scan -sW ACK 패킷에 대한 윈도우 크기 분석. Window Scan Open Scan # -P0: 스캔 전 ping 하지 않고, ICMP Echo Request를 허용하지 않는 호스트에 .. 2020. 12. 14.
사이버공격 - 정보수집(스캐닝) 네트워크 스캔 스캔(Scan): 서버의 작동 여부와 서버가 제공하는 서비스 확인 다양한 유형의 스캐닝 존재 불법! → 공개되어있는 IP/도메인에 대해 스캐닝 절대 ㄴㄴ ICMP 스캔 ※ Ping 스캔 - Ping: ICMP 프로토콜을 이용해 공격 대상 시스템의 활성화 여부 확인 시스템 하나를 조사하기에 적절 일반적으로 Echo Request(Type 8)와 Echo Reply(Type 0) 이용 - 윈도우 실행 결과 ① ICMP 패킷 길이: 32바이트 ② 공격대상(192.168.0.1)에서 보내온 ICMP Echo Reply 패킷 크기 ③ Echo Request 패킷을 보내고, 2ms 후에 Echo Reply를 받음 ④ TTL은 64 ⑤ Echo Request 패킷 개수 4 Echo Reply 패킷 개수.. 2020. 12. 13.
사이버공격 - 정보수집 정보수집(정찰) 개념 ※ 풋프린팅(Footprinting): 공격 대상의 일반적인 정보(취약점 등) 수집 - 구글링 - 시스템 정보 수집(whois, nslookup, traceroute, ping, social engineering) - 네트워크 정보 수집(nmap과 같은 스캐닝 도구) - 네트워크 토폴로지(네트워크 망 구성 정보) - 오픈 네트워크 및 서비스 프로토콜 정보 - 네트워크 보안 장비(IDS/IPS) 상황 ※ 핑거프린팅(Fingerprinting): 네트워크 (시스템 OS) 특징적인 정보 수집 - 특별히 제작된 패킷을 주입하여 기기의 반응을 통해 정보 수집(스캐닝 도구 활용) - OS 종류, 서비스 종류, 버전 정보, 사용 여부 등 정보 수집 ※ 침투목적 정보 수집 - 사용자 계정 정보 -.. 2020. 12. 13.
네트워크 보안 기초 사이버공격 ※ 사이버공격 패러다임 변화 * 목적: 자기과시 → 금품갈취(사이버범죄) → 사회혼란, 사이버테러 금전적, 정치적 목적. 국가 차원의 위협 * 기법: 수동 → 은닉, 자동화 → 조직적, 고도화, 지능화 악성코드, 좀비PC, 사회공학적 기법 증가 * 대상: 개별시스템 → 대규모(시스템 및 네트워크) → 사회기반시설, 국가 대상 공격 조직화된 전문적인 해커집단에 의해 발생 ※ 사이버 침해사고 유형 변화 : 바이러스, 웜 → DDoS → APT 공격, 개인정보 유출 ※ 최신 사이버공격 유형 - 랜섬웨어 공격 - 특정인 겨냥한 스피어 피싱 - DDoS 공격(여러 프로토콜을 결합한 공격) - SW 공급망, IoT 기기, 산업제어시스템(ICS, OT) 대상 공격 ※ 보안기술 발전 : 시스템 보안 → 네트.. 2020. 12. 13.
[WebGoat] Blind String SQL Injection 자동화 스크립트 문자열인 field name을 알아내는 Blind String SQL Injection 실습! 일단! 문자열의 길이를 알아내기 위해 문자열 길이를 추출하는 함수인 char_length() 함수를 사용했다. 101 and char_length(select name from pins where cc_number='4321432143214321') 답 저장용 변수 # name 길이만큼 반복하도록 설정 while(flag 2020. 10. 5.