Network 썸네일형 리스트형 DRDoS - DNS Amplification attack DNS Amplification attack은 DNS reflector attack이라고도 불리며, 공격을 확대(Amplify, 증폭/확대)하기 위해 DNS 서버들을 이용한 정교화된 DoS 공격이다. DNS(Domain Name System / Domain Name Server)란 쉽게 도메인 이름을 컴퓨터가 처리할 수 있는 IP주소를 반환해 주는 중계자라고 생각하면 된다. 이번 6.25 DDoS에서 사용된 DNS 증폭 DRDoS공격을 알아보도록 하자. # DRDoS (분산 반사 서비스 거부 공격, distributed reflector denial of service) 공격자에게 실제 출발지를 숨기는 것은 매우 중요한 일이다. 위 그림은 분산 반사 서비스 거부 공격(DRDoS, distributed r.. 더보기 와이어샤크 명령어로 실행하기 와이어샤크를 명령어를 통해 실행하고 싶을 땐?와이어샤크의 CLI(Command Line Interface) 버전인 tshark를 이용하는 방법이 아니라 UI 버전을 CMD로 실행시키는 경우이다. 각종 옵션을 활용하여 실행 이전에 다양한 설정을 적용할 수도 있고 특정 이벤트 발생 시 네트워크가 자동으로 캡쳐되도록 동작할 수도 있다. 내용 상세 참고; http://www.wireshark.org/docs/wsug_html_chunked/ChCustCommandLine.html >> 테스트 환경 Windows7 SP1 64bitwireshark 1.8.7 >> 환경변수 추가 path ; C:\Program Files\Wireshark >> 관리자 권한 윈도우 비스타 이상의 환경에서는 관리자권한으로 실행되는 부.. 더보기 loopback 스니핑 127.0.0.1 Loopback 트래픽을 캡쳐하려면 어떻게 해야 할까? 우선, 루프백이란 네트워크 테스트 용도로 전달된 신호를 다시 보낸곳으로 보내는 것을 의미한다. 인터페이스는 물리적 인터페이스와 가상 인터페이스로 나눌 수 있는데, 루프백은 가상 인터페이스에 속한다. 대게 vmware같은 가상 시스템을 사용할 때, 사용자 시스템에는 vmware에서 사용하는 가상 어댑터가 생성된다. 하지만 127.0.0.1 루프백 가상 인터페이스는 환경에 따라 구현되는 내용이 다르다. 와이어샤크에서 인터페이스를 확인해보자. 대부분 사용자들은 윈도우를 사용하고 있는데 유닉스/리눅스 계열의 와이어샤크에서는 기본적으로 lo(127.0.0.1) 인터페이스가 보이는 반면, 윈도우용 와이어샤크에서는 기본적으로 lo (127.0... 더보기 Mobile Sniffing 네트워크 스니핑이란 네트워크상 데이터를 도청하는 행위이다. 스니핑 환경으로 유선과 무선으로 크게 나뉘어 생각해 볼 수 있다. 유선은 기존에 PC에서 랜선으로 연결하여 허브, 스위치, 라우터와 같은 장비를 통해 네트워크를 하는 형태이다. 무선은 노트북이나 스마트폰 기기에서 사용하는 WLAN (무선랜)을 의미한다. 기존에 네트워크 스니핑에 활용되는 방법으로 포트 미러링, ARP 캐시 포이즈닝, 허빙 아웃과 같은 기법을 접해보았을 것이다. 간단하게 자신의 PC에서 네트워크를 캡쳐할 때는 와이어샤크와 같은 도구로 손쉽게 할 수도 있다. 무선랜 환경도 마찬가지다. 그렇다면 스마트폰에서는 어떻게 할까? 스마트폰에서 사용할 수 있는 네트워크는 무선랜 뿐만 아니라 상용 통신망(3G, LTE) 도 있다. 이런 환경에서 .. 더보기 Wireshark - pcapng 2012 HackThePacket 예선 첫 두문제이다. - 2012_htp_prequal.pcap 파일은 어떤 환경(System Information)에서 캡쳐한 것일까? - 2012_htp_prequal.pcap 파일은 어떤 도구로 캡쳐한 것일까? 위 두 문제는 급 출제하게 되었지만, 단순히 퀴즈나 게싱으로 내려고 했던것은 아니다. 패킷파일을 저장하여 검증하는 과정에서 재미있는 사실을 알게 되었다. 처음에 검증 과정에서 NetworkMiner와 같은 툴들로 Object들이 너무 쉽게 보이진 않을지 확인해야했다. 그런 경우 더미를 더 추가하여 쉽게 알아보지 않도록 할 예정이었다. (물론 최종적으로, 예선인점을 감안하여 문제가 쉽게 추출할될 수 있게 더미를 포함하지 않았다.) 따라서 문제 파일을 검증하기 .. 더보기 MAC address OUI lookup by python 맥주소(XX-XX-XX-XX-XX-XX) 6자리의 의미가 무엇일까? 최근 맥북을 여럿이 구매했는데, 맥주소를 조사하다보니 앞자리가 똑같다는 사실을 알았다. 아래 그림과 같이 맥주소는 구성되어있으며 앞 3자리로부터 OUI, 즉 어느 제조사에서 만들어진지 확인 할 수 있다. [그림] http://en.wikipedia.org/wiki/MAC_address 와이어샤크에서 패킷을 캡쳐해보면 맥주소뿐만 아니라 앞에 제조사가 어디인지 간략하게 나오는것을 볼 수 있다. 맥주소로 제조사를 알아보는것은, 웹에서도 가능하다. 아래 첨부된 MAClookup.zip은 IEEE표준에서 제공해주는 OUI 데이터를 가지고 파이썬으로 작성한것이다. sqlite3 DB를 사용하므로 해당 라이브러리를 미리 설치해야 한다. Depende.. 더보기 rule2alert - 스노트 룰로 패킷 만들기 스노트룰을 파싱하여 자동으로 네트워크 데이터를 발생시켜 룰(시그니처)를 검증해주는 툴로, s2gen.pl 이라는 것이 있어요. (패킷인사이드; 스노트룰 파싱하여 패킷생성, 전송하기) 오늘 소개해드릴 도구 rule2alert 는 스노트 룰로 패킷을 만들 수 있는 도구입니다. QA에 매우 유용하겠죠! 사용방법은 위키에 잘 나왔으니 참고하시고요. 아주 유용한 기능은 스노트룰을 파싱해서 네트워크 데이터를 만드는것 뿐만 아니라 해당 정보로 PCAP파일로 생성할 수 있다는 거예요. 또한 룰에 flow 옵션이 있다면 TCP 3-way Handshaking 도 자동으로 생성해 줍니다 ^-^)b 도구를 테스트 하다 보면 다음과 같은 문제에 부딪히게 될거에요. 위 pcap 파일 스냅샷을 보시면 맥주소로 채워져야 할 부분이.. 더보기 Xplico - Network Forensic Analysis Tool (NFAT) 네트워크 포린식 분석 툴 Xplico 는 와이어샤크보다는 네트워크 마이너와 매우 비슷하다. 네트워크 캡쳐, 분석과 관련된 컴포넌트들에 대해 웹기반 인터페이스를 제공해 준다 :) NetworkMiner 는 윈도우 기반이고 Xplico는 유사기능을 제공해주는 리눅스 기반이라는 것이 가장 큰 차이이다. 패킷 분석기들의 비교 분석은 위키에 잘 정리되어 있었군!http://en.wikipedia.org/wiki/Comparison_of_packet_analyzers 더보기 시스코 라우터 포렌식 (2002) 2002년 블랙햇 USA 에서 발표된 시스코 라우터 포렌식을 정리한 것이다. IT 기술, 보안 기술이 매일 새로운게 나온다고 하지만 가끔은 과거의 기술을 정리하고 학습할 필요가 있다. 그 가운데 이미 많은 고민을 통해 나오고 정리된 내용은 새로운 아이디어를 도출하게 만들기도 하기 때문이다 :) 시스코 관련 취약점 통계는 현재까지 1050개 정도 이며, 매해 취약점이 증가하고 있다. (문서에는 라우터 취약점만 고려한 것이므로 다소 차이가 있음. ) 라우터를 해킹했던 사례 중 HTTP 인증 취약점, NTP취약점, SNMP파싱 취약점이 있었다. 현재까지 공개된 라우터 exploit 은 50여개 정도이며 라우터가 해킹당하면 다음과 같은 공격이 가능하다. - DoS, 라우터 네트워크 사용불능- 다른 라우터 장악-.. 더보기 [Tool][DoS] Slowloris, Slowread # Slowloris, 헤더를 조금씩 보내면서 웹서버의 MaxClient 임계치까지 세션을 증가시키는 공격 Slowloris는 2009년 6월경에 나온 HTTP DoS툴로 HTTP 요청의 일부만 보내의 커넥션을 열어둔 채 소켓이 닫히지 않게 하지 위해 일정간격으로 헤더를 조금씩 보내는 공격이다. TCP 풀 커넥션을 만들기 때문에 TCP DoS는 아니다. 또한 GET Flooding도 아니다. SYN Flood 와 유사하지만 HTTP기반이다. Slowloris는 프로그램을 살짝 수정하고 웹서버가 지원해준다면, 이론적으로 UDP와 같은 다른 프로토콜에서도 동작한다. Slowloris.pl를 다운로드 해서 *NIX 계열에서 실행해보자. 윈도우에서는 소켓 커넥션이 130개정도로 한계가 있어서 공격이 제대로 이루.. 더보기 이전 1 2 다음