분류 전체보기 썸네일형 리스트형 패킷분해 #2 Ethernet Trailer 최근, Ethernet Trailer에 특정 데이터를 담아 보내는 악성코드가 있다는 사실을 알게 되어 이에 대해 조사를 해 보았다. 일단 Ethernet Trailer는 익숙하지 않다. 대부분 우리가 네트워크상에서 데이터를 다룰때 HTTP프로토콜이나 TCP/UDP 세그먼트, 패킷을 이용한다. 조금은 낯설지만 만약, Ethernet Trailer에 데이터를 담아 보내면 제대로 전달 될 수 있을까? 결론은 No, 하지만 설정에 따라 가능성은 있다. 일단 Ethernet 에 대한 기본 개념먼저 알아봐야겠다. 이전 포스팅에서 패킷의 크기 를 알아보면서 살짝 패킷의 전체 구조에 대해서 살펴 보았다. 이번에는 링크계층에 속하는 Ethernet을 기준으로 프레임구조와 이더넷 Encapsulation, Ethernet.. 더보기 [CODEGATE 2012 QUAL] Conficker 코드게이트 본선 문제 중 하나는 컨피커웜에 관한 것이었다. 2008년 MS08-067 SMB 취약점으로 한때 명성이 자자했던 이 웜은 네트워크를 통해 전파되는 특징이 있다. 관련 내용은 아래 링크에 자세히 나와있다. http://www.honeynet.org/node/254http://core.ahnlab.com/56 한물간 취약점 문제를 단순 판단하라는 것은 매우 쉬운 문제 였을 것이다. 이 문제를 통해 전달하고 싶었던 의도는, 컨피커 웜에 감염된 시스템이 현재도 발견된다는 점이다. 대부분 사용자 PC는 보안 업데이트가 제대로 이루어지겠지만, 불가피하게 그럴 수 없는 곳이 있다. 바로 공장과 같이 시스템을 중단할 수 없는 곳은 패치가 힘들다. 더군다나 이 웜은 외부로 감염이 전파되는것이 아니라 C클래스.. 더보기 네트워크와 빅데이터의 만남, Packetpig 빅 데이터가 IT 전반에 화두로 떠오르면서 각 분야에 적용되기 시작했다. 네트워크 보안 분야에는 어떻게 적용할 수 있을까? 대용량 데이터를 분석하는데 적합한 PIG 플랫폼은 이미 잘 알 고 있을것이다. 하위 프로젝트로 유명한 hadoop 이 있다. Packetpig는 오픈 소스 빅 데이터 보안 분석 솔루션이다. Packetpig 에 대한 간략한 소개 가 잘 정리 되어 있는 블로그이다. 내용을 요약하면 다음과 같다.IDS (intrusion detection systems, 침입탐지시스템) 은 잘 알려진 공격의 시그니처를 찾거나 실시간으로 그것을 확인한다. Packetpig는 모든 패킷을 분석하여 네트워크 상의 모든 단일 패킷 로그를 확인하는 것이다. 현재 IDS 시스템과 비교하자면 모든 패킷을 캡쳐하는데.. 더보기 패킷분해 #1 한 패킷의 크기(MTU)는 얼마나 될까? 종종 네트워크 포렌식에서 네트워크 정보를 카빙할 때, 패킷의 크기를 알아야 하는 경우가 있다. 프로토콜에서 데이터 단위를 PDU (Protocol data unit) 라고 하고 각 계층마다 단위는 다르게 불린다. The Layer 1 (Physical Layer) PDU is the bit or, more generally, symbol The Layer 2 (Data Link Layer) PDU is the frame The Layer 3 (Network Layer) PDU is the packet or datagram The Layer 4 (Transport Layer) PDU is the segment (e.g. TCP segment) 여기서 이야기하고자 하는 패킷의 크기는 TCP segment의 .. 더보기 네트워크 보안 사전 탐지 기술 30가지 관련 링크 :: http://www.enisa.europa.eu/act/cert/support/proactive-detection 2011 겨울 enisa (European Network and Information Security Agency), 유럽연합 CERT에서 그들이 이용하고 있는 네트워크 보안 관련 기술(툴,서비스) 들을 총 정리한 문서를 발표했다. 아래 리스트는 문서에 있는 서비스들의 웹 주소와 간단하게 설명을 요약한것이며, 실제 필자가 접속해보고 필요한 정보를 첨언하였다. 대게 악성 도메인, IP, 피싱, 봇, 스팸메일 정보들이다. 각종 외부 위협 DB를 참고해야 하는 경우 아래 30가지 웹으로 제공해주는 서비스를 이용하면 좋을 것이다 :) 1. 악성 도메인 차단 리스트, DNS-BH Ma.. 더보기 iptables 를 이용한 나만의 IPS 환경 구축 iptables 을 이용해서 간단하게 IPS 기능과 유사한 환경을 구축한 차단 테스트이다. 구성환경 : VMWare BackTrack5, VMWare Windows XP (DNS 서버설정 168.126.63.1) BackTrack5 에 우선 네트워크 카드 2개를 설정한다. 본 테스트에서는 Vmware의 네트워크를 Bridged Network(VMnet0)으로 설정하고 IP 주소를 10.1.1.1 로 설정하였다. 이것은 이제 사설 네트워크의 컴퓨터들이 외부 인터넷으로 연결되기 위한 게이트웨이 역할을 할 것이다. 다른 한 개에는 외부와 연결되는 공인 IP 를 할당할 것이다. 그러기 위해서 VMware의 네트워크를 NAT(VMnet8) 설정한다. 가장 기본적인 네트워크 설정이 끝났지만 이 상태에서는 절대 인터.. 더보기 [Tool][DoS] HTTP POST DoS, RUDY (R-U-Dead-Yet version 2.2 ) 과거, TCP기반(Layer4)이 주를 이루었던 DoS공격들은 다행히도 현재 장비에서 처리가 가능하다. 그리고 HTTP GET DoS 툴로 잘 알려져 있는 Slowloris 는 완전한 헤더정보를 보내지 않음으로써 서버는 헤더정보가 올 때까지 지연되어, 커넥션수가 늘어남에 따라 DoS가 발생하게 되는 공격이다. 이 공격은 헤더의 끝 문자가 \r\n으로 오는것으로 탐지 할 수 있었다. 이번에 소개할 DoS 공격기법은 HTTP POST DoS이다. 특정한 패턴이 존재하지 않고, Layer7 에 대한 DoS는 탐지기법자체도 장비에 영향을 줄 수 있어 대응이 어렵다. 하지만 프로그래밍된 요청에서 나오는 특이점과 몇 가지 대응방안을 생각해 볼 수 있다. RUDY 는 FORM을 이용한 HTTP Post를 전송하는 웹.. 더보기 [CODEGATE 2012 PREQUEAL] 정상트래픽과 DoS 공격트래픽을 어떻게 구분할 수 있을까? DoS (Dinal of Service) 공격은 정상적으로 운영되는 서비스를 더이상 이용할 수 없게 하는 공격이다. 취약점을 이용한 방법과 네트워크 트래픽을 과도하게 보내는 Flooding 형태로 나누어 생각해 볼 수 있다. 트래픽을 분석하는 것은 서버를 운영하는 사람의 입장과 악성코드에 감염된 PC의 사용자의 관점에서 다르게 생각해 볼 수 있을것이다. 같은 공격기법을 왜 다르게 판단해야 할까. 서버입장에서는 가장 쉽게 한 페이지나 서비스에 과도하게 트래픽이 몰리는 경우, DoS 로 판단해 볼 수 있을것이다. 하지만 DDoS 에 악용되는 악성코드에 감염된 PC의 사용자(좀비 PC)에게는 오히려 과도한 트래픽을 찾는것은 쉬우나 간헐적으로 나타나는것은 모래 사장속에서 바늘찾기와 같을 것이다. 또한 단순히 트.. 더보기 SSDP 대량발생, 이상징후인가? SSDP란, Simple Service Discovery Protocol 의 약자로, UPnP 장치가 네트워크 탐색을 할 때 이 프로토콜을 이용한다. (※ UPnP란, Universial Plug and Play의 약자로 인터넷을 기반으로 작동하는 다양한 장치) 일반적으로 어느곳에서나 네트워크 패킷을 잡아보면 SSDP관련 패킷이 주기적으로 발생하는 것을 볼 수 있다. 혹은 프린터나 네트워크 장비를 PC에 연결 시켰을 때 대량 발생하는 경험을 할 것이다. Wireshark Filter :: udp.dstport == 1900 / ip.addr eq 239.255.255.250 더이상, 당황하지 않아도 된다..^^ >> UPnP 장비들이 SSDP NOTIFY, M-SEARCH(discovery) 를 주기적으.. 더보기 LAN PARTY 관련 블로그 :: http://kentonsprojects.blogspot.com/2011/12/lan-party-optimized-house.html LAN-Party (http://en.wikipedia.org/wiki/LAN_party) 는 한 공간에 컴퓨터를 가진 사람들이 모여 LAN(Local Network Area) 으로 게임 등을 즐기는 것이다. 일종의 페스티벌로 형태로 2011년 스웨덴에서는 2만명 가량이 모였다고 한다. Winter 2004 DreamHack LAN Party 구글에 다니는 이 사람이 마치 프로젝트 처럼 최적화된 LAN-Party를 구성한 내용을 블로그에 게재했다. 너무너무 재미있는 생각이다. 본인이 돈이 많기때문에 이렇게 했다기 보다는 남들과 다르게 재미있는 삶을 살아가.. 더보기 이전 1 2 3 4 5 다음
