-o-k's story

분산 반사 서비스 거부 공격(DRDoS) 공격자는 출발지 IP를 공격 대상의 IP로 위조(IP Spoofing)하여 다수의 반사 서버(Reflector)로 요청정보를 전송, 공격 대상은 반사 서버로부터 다수의 응답을 받아 서비스 거부 상태가 되는 공격 유형 반사(reflection)와 증폭(amplification) 공격으로 나뉜다. 반사 서버인 제 3자를 두고 DDoS 공격을 하는 기법이다. 공격 유형 UDP 프로토콜 서비스를 제공하는 서버를 반사 서버로 이용해 그 응답이 공격 대상으로 향하도록 하는 방법 (가장 많이 발생) DNS 증폭 DRDoS 공격 DNS 서버(반사 서버)에 많은 양의 레코드 정보를 요구하는 DNS 질의 타입을 요청 공격 대상에게 대량의 트래픽을 유발함 NTP 증폭 DRDoS 공격..

분산 서비스 거부 공격(DDoS: Distributed Denial of Service) 1. 정의 분산된 다수의 좀비 PC/디바이스 (악성 봇)에 의해 Target 시스템의 서비스를 마비시키는 공격 형태 2. 구성요소 4가지 공격자 : C&C 서버에 공격 명령 전달하는 해커의 컴퓨터 (bot master) 공격대상 (Target) : 공격의 대상이 되는 시스템 C&C (Command & Control) 서버 : 공격자로부터 직접 공격 명령을 전달받는 시스템 (master). 전달받은 명령은 관리하는 다수의 좀비 PC에게 전달 Zombie PC/디바이스 : C&C 서버로부터 전달받은 명령을 실행하여 Target 에게 실제 공격을 수행하는 PC/디바이스 (bot, slave, agent) 3. DDoS공격..

1. 네트워크 기반 위협 1) 네트워크를 취약하게 만드는 요인 = 많은 공격 지점, 네트워크를 통한 자원 공유, 시스템 복잡성 2) 네트워크 위협의 유형 = 기술적 위협, 수동적 공격(스니핑) / 능동적 공격(Replay-attack, DoS, Session Hijacking) 2. 서비스 거부 공격(DoS, Denial of Service) 시스템이 정상적으로 서비스를 하지 못하게 해서 일반적으로 서버를 다운시키는 공격 특정 서버에게 수많은 접속 시도(=부하)를 만들어 다른 이용자가 정상적으로 서비스 이용을 못하게 만든다. 정상적인 서비스를 할 수 없도록 가용성(Availability) 침해가 목표 3. 서비스 거부 공격의 종류와 원리 및 대처방안 1) TCP SYN Flooding Attack [공격..

Version: CentOS 7.9.2009 sysctl 설정 값 확인 sysctl -a |grep -i net.ipv4.ip_forward 브릿지 관련 패키지 확인 및 설치 rpm -aq |grep -i bridge-utils 설치가 안되어있으면 설치 yum install bridge-utils -y 브릿지 인터페이스 설정 변경 실제 사용하는 ens33, NIC 카드에 연결되어 있고 MAC 주소를 가지고 있음 vi /etc/sysconfig/network-scripts/ifcfg-br0 DEVICE=br0 BOOTPROTO=dhcp ONBOOT=yes TYPE=Bridge 브릿지에 수용될 인터페이스 설정 vi /etc/sysconfig/network-scripts/ifcfg-eth0 DEVICE=ens..

"TCP와 UDP에 대해서 살펴보자" TCP/UDP 정의 및 통신상 차이점 TCP UDP 정의 Transport Control Protocol 전송 제어 프로토콜 User Datagram Protocol 사용자 데이터그램 프로토콜 특징 3way Handshake(SEQ, ACK) 데이터를 주고받을 양단간에 먼저 연결을 설정하고 설정된 연결을 통해 양방향 데이터 전송 연결을 설정하지 않고 수신자가 데이터를 받을 준비를 확인하는 단계를 거치지 않고 단방향 전송 연결성 호스트 사이에 세션(Session)이 설정되는 연결지향 호스트 사이에 세션이 설정되지 않은 비연결성 데이터 순서 보내는 순서를 유지 순서 유지하지 않음 데이터 중복 데이터 중복, 손실 없음 데이터 중복, 손실 가능 신뢰성 승인 및 순차적인 데이..

DMZ(Demilitarized Zone) 1. DMZ 정의 - DMZ: 내부, 외부 네트워크 구간 사이에 위치한 중간지점으로, 침입차단시스템 등으로 접근 제한 등을 수행하지만 외부 네트워크에서 직접 접근이 가능한 영역을 뜻한다. 외부에 서비스 제공 시, 내부 자원을 보호하기 위해 내부망과 외부망 사이에서 접근제한을 수행하는 영역을 말한다. => 내부 네트워크: 일정 조직 내에서 인터넷이 아닌 내부 네트워크를 통해 PC끼리 자원을 공유하게 하거나 그룹웨어 등을 사용할 수 있게 하는 근거리 통신망(LAN) => 외부 네트워크: 일정 조직을 넘어 정보를 교환할 수 있는, 인터넷을 통한 네트워크 - 위치: 외부 공격자의 침입으로부터 안전하게 보호되어야 하는 DB서버, 인증서 서버, 로그인 서버 등에 위치한다...

Ethernet/TCP/IP Header 구조 살펴보기 1. Ethernet Header(IEEE 802.3) DA(Destination Address) 목적지의 2 계층 주소를 나타내며 6byte(48bit), 주소의 첫 번째 비트가 1이면 멀티캐스트, 모든 비트가 1이면 브로드캐스트 SA(Source Address) 출발지의 2계층 주소를 나타내며 6byte(48bit) Ethernet Type MAC 프레임 데이터 부분에 있는 상위계층의 프로토콜 종류 표시, 0x0800이면 IPv4 패킷, 0x0806이면 ARP, 0x8100이면 VLAN Tag가 Ethernet 헤더와 L3 패킷 사이에 붙는다는 의미 Length 데이터 영역의 길이를 표시 Data 상위 계층으로부터 받은 데이터 또는 상위 계층에 ..

라우팅(Routing) 라우팅(Routing)이란 Internetwork를 통하여 근원지에서 목적지로 데이터가 전달될 수 있도록 하는 기능, 수많은 경로 중 하나를 선택하여 이동하는 것 라우터들끼리 경로 정보를 교환하는 프로토콜 1. IGP(Internal Gateway Protocol) - 네트워크 집합을 몇 개로 그룹으로 나누었을 때, 동일 그룹 내에서 라우팅 정보를 교환할 때 사용하는 라우팅 프로토콜 - 같은 도메인 내에 존재하는 라우터는 도메인 내부 라우터가 되고 도메인 외부에 존재하는 라우터는 도메인 외부 라우터가 되는데, 이 때 도메인 내부 경로 설정에 대한 프로토콜이 ISP(Internet Service Provider) - 종류 => 거리벡터 알고리즘: RIP(Routing Informat..

NAC의 정의와 어떻게 대응할 수 있는지? 왜 필요한가? 1. NAC 정의 - Network Access Control, 네트워크 접근제어 - 일련의 프로토콜들을 사용하여 엔드포인트(Endpoint)가 처음 내부 네트워크에 접근시도를 할 때, 기존 내부망에 피해를 끼치지 않도록 접속하는 엔드포인트에 일련의 보안 정책을 적용할 수 있도록 하는 컴퓨터 네트워킹 솔루션 => 엔드포인트: 노트북, 컴퓨터, 스마트폰 등 네트워크에 접속하는 모든 유무선 단말을 일컫는다. - 엔드포인트 자동 검역 과정(접근 허용하기 전에 보안정책을 따르지 않은 기기들을 검역)을 네트워크 시스템에 통합시켜서 라우터, 스위치 그리고 방화벽 같은 네트워크 기반 시설과 맞물려서 작동한다. 2. NAC의 주요 기능 - 접근 제어/인증: 네트..