UDP Flooding 공격 & ICMP Flooding 공격 Attack는 다량의 UDP 패킷을 서버로 전송하여, 서버가 보유한 네트워크 대역폭을 소진시켜서, 다른 정상적인 클라이언트의 접속을 원할하지 못하도록 유발시키는 공격 [ 실습 ] - Attack : Vmware CentOS ( 172.30.1.81 ) / Port : 53(UDP) - Victim : Vmware Kali Linux ( 172.30.1.54 ) - (공격자) hping3, (피해자) tcpdump 사용 [ 공격자 ] [ 옵션 ] ※ -2 : "UDP Mode" / -1 : "ICMP Mode" ※ -c : "Count" ※ -d : "Data Size" ※ -p : "Dest Port" ※ --flood : "sent pack..

Port Scanning 이유 공격자가 침입 전 호스트에 어떤 서비스가 활성화되어 있는지 확인하기 위함 침입 전 취약점을 분석하기 위한 사전 작업 중의 일부 Port Scanning 대표 도구 nmap zenmap Nmap 옵션 Scan Type -sS : TCP SYN Scan ( TCP 포트 오픈 여부 확인 방법 ) -sT : TCP Connection Scan ( TCP 포트 오픈 여부 확인 방법 ) -sU : UDP Scan ( UDP 포트 오픈 여부 확인 방법 ) -sF : TCP FIN Scan ( TCP FIN 제어비트 패킷을 이용한 스캔 ) -sX : TCP Xmas Scan ( TCP FIN, PSH, URG, 제어비트를 조합한 패킷을 이용한 스캔 ) -sN : TCP NULL Scan ..

1계층 ( Physical Layer ) 디지털 데이터 → 전기적, 광학적 신호로 변환하여 입출력을 담당하는 계층 - 주소 정보(MAC, IP)가 없기 때문에 목적지를 인식할 수 없고, 전기적인 신호만으로 연결된 모든 노드에 전달함 - 데이터 단위 : 비트(Bit) ※ 전기적인 신호만으로 연결된 모든 노드에 전달함 → 더미허브 역할 주요 장비 - 허브 : 들어온 신호를 연결된 모든 포트로 전달하는 중계 장치 ( 더미 허브 라고도 함 ) - 리피터 : 감쇠된 전송신호를 새롭게 재생하여 다시 전달하는 재생 중계 장치 스니핑 - 더미 허브에 연결된 모든 노드는 스니퍼를 통해 스니핑이 가능함 - 다만, NIC의 기본 동작모드가 자신을 목적지 주소로 하는 패킷이 아니면 모두 폐기하기 때문에 패킷을 볼 수 있지 않..

슈퍼데몬(Inetd,xinetd) 슈퍼데몬(Inetd , xinetd - 공통적인 부분을 처리하는 슈퍼 데몬을 만들어 개별 서비스를 등록하여 사용 - 속도가 느리지만, 서버 자원을 효율적으로 사용한다는 장점이 존재 - 클라이언트 요청은 모두 슈퍼 데몬이 모두 처리 - /etc/inetd.conf 파일의 정보를 참고하여 서비스할 프로그램에 대한 정보를 얻음 - Linux 6.0 이후로 inetd데몬이 xinetd 데몬으로 업데이트 - 불필요한 서비스가 활성화 되어있는 경우 주석, 혹은 행 삭제를 통해 불필요한 서비스를 비활성화 한다. Inetd.conf 파일 구조 - 서비스명 : ftp, telnet - 소켓타입 : stream(TC..

감사 항목 개체 엑세스 : 감사안함(0) 파일, 디렉터리, 레지스트리, 프리터 등의 객체에 대한 접근 성공/실패 여부를 기록할지를 결정 계정 관리 : 실패(2) 계정 관리 이벤트를 감사할지 여부를 결정하며, 사용자 계정 또는 그룹의 생성, 변경, 삭제, 암호의 설정 및 변경 등의 이벤트 성공/실패 로그를 기록 계정 로그온 이벤트 : 성공, 실패(3) 도메인 계정에 대한 로그온 성공/실패 관련 이벤트 로그를 기록할지를 결정 권한 사용 : 실패(2) 권한 사용의 성공 및 실패를 감사할 경우, 사용자 권한을 이용하려고 할 때마다 이벤트 생성하는 로그 디렉터리 서비스 액세스 : 실패(2) AD 개체의 시스템 액세스 컨트롤 목적(SACL)에 나열된 사용자가 해당 개체에 액세스를 시도할 때 이벤트 생성 로그온 이벤..

PAM 모듈 PAM(Pluggable Authentication Modules) 리눅스 시스템 내에서 사용되는 각종 애플리케이션 인증을 위해 제공되는 다양한 인증용 라이브러리로써, 리눅스 로그인, Telnet, FTP 등 각종 프로그램 사용시에 PAM을 통해 인증을 처리할 수 있다. PAM 모듈을 사용함으로써, 인증 방식 및 정책의 유연성과 중앙 통제가 가능하다는 장점이 있다. PAM 라이브러리 경로 /etc/pam.d : PAM 라이브러리를 이용하는 각 응용 프로그램의 설정 파일이 존재하는 경로 /lib/security : PAM 라이브러리가 제공하는 다양한 인증 모듈들이 위치하는 경로 /etc/security : PAM 모듈 실행에 필요한 추가 설정파일이 위치하는 경로 PAM 설정 Type accou..

위험관리 위험의 구성요소 : 자산 / 위협 / 취약점 / 정보보호대책 위험 : 위협과 취약점을 이용하여 자산에 손실 및 피해를 가져올 가능성을 의미 자산 : 조직이 보호해야 할 대상 위협 : 자산에 악영향을 줄 수 있는 사건 혹은 행위 취약점 : 위협이 발생하기 위한 조건 혹은 상황 위험평가 : 정보 혹은 정보처리기기에 대한 위협의 종류, 영향, 발생 가능성을 평가하는 행위 위험관리 : 자산에 대한 위험을 분석하고, DoA를 유지하는 것 위험관리계획 : 선택한 통제 목적, 방안이 무엇인지, 선택한 이유등을 문서화 하는 것 위험분석 : 자산에 영향을 줄 수 있는 모든 위협과 취약성, 위험을 식별분류하고, 잠재적 손실에 대한 영향분석하는 것 위험대응 : 위협에 대응하여 자산을 보호하기 위한 관리 · 물리 ·..

예약작업(crontab) crontab : 주기적으로 작업을 실행하기 위한 작업스케줄러 30 4 1 2 * root cp /etc/passwd1 /etc/passwd - 30 : 분 ( 0 ~59 ) : 00분 ~ 59분 - 4 : 시 ( 0 ~ 23 ) : 0시 ~ 23시 - 1 : 일 ( 1 ~ 31 ) : 1일 ~ 31일 - 2 : 월 ( 1 ~ 12 ) : 1월 ~ 12월 - * : 요일 ( 0 ~ 7 ) : 월(1) / 화(2) / 수(3) / 목(4) / 금(5) / 토(6) / 일(0,7) - root : 해당 작업을 실행하기 위한 사용자 - cp /etc/passwd1 /etc/passwd : /etc/passwd1 파일을 /etc/passwd 파일로 복사함. - l ..

특수권한(SetUID, SetGID, StickyBit) 관련파일 : ex) /usr/bin/passwd 1) 특수권한(SetUID)이 부여된 파일 확인 - 현재권한 : 4555 (특수권한 4000) - SetUID 설정된 파일은 실행하게 될 경우 파일의 소유자 권한으로 실행 - 설정상태 : other 권한에 r-x로 실행권한이 부여되어 있으므로, 모든 사용자가 /usr/bin/passwd 명령을 관리자(root) 권한으로 수행 가능 -r-sr-xr-x root sys /usr/bin/passwd 2) 특수권한(SetGID)이 부여된 파일 확인 - 현재권한 : 2555 (특수권한 2000) - SetGID 설정된 파일은 실행하게 될 경우 파일의 소유그룹 권한으로 실행 - 설정상태 : other 권한에 r..