안녕들 하시죠 !

이번시간에는 TCP Flag에 대해 알아보겠습니다.

Flag란 ?

무엇인가를 기억해야 하거나 또는 다른 프로그램에게 약속된 신호를 남기기 위한 용도로 프로그램에서 사용되는 미리 정의된 비트를 의미.

다음으로 클라이언트와 서버간의 통신 연결, 해제 과정에서 나온 TCP Flag의 6가지 종류에 대해 알아보겠습니다.

아래 이미지는 TCP 헤더입니다.

중간 정도에 1비트짜리 플래그 6개가 위치해 있습니다.

이것에 대해 하나씩 알아보겠습니다.

출처 wikimedia

SYN( synchronization ) 연결 요청 플래그

ㆍ 통신 시작 시 세션을 연결하기 위한 플래그

ACK( Acknowledgement ) 응답 플래그

ㆍ 송신측 으로부터 패킷을 잘 받았다는 걸 알려주기 위한 플래그 

FIN( Finish ) 연결 종료 플래그

ㆍ 더 이상 전송할 데이터가 없고 세션 연결을 종료시키겠다는 플래그

RST( Reset ) 연결 재설정 플래그

ㆍ 비정상적인 세션을 끊기위해 연결을 재설정 하는 과정

PSH( Push ) 넣기 플래그

ㆍ 버퍼가 채워지기를 기다리지 않고 받는 즉시 전달한다.

ㆍ 버퍼링 없이 7 Layer Application Layer의 응용프로그램에게 바로 전달하는 플래그.

URG( Urgent ) 긴급 데이터 플래그

ㆍ 긴급한 데이터의 우선순위를 다른 데이터의 우선순위를 높여 긴급하게 전달하는 플래그

오늘은 여기까지입니다 감사합니다 !

안녕들 하시죠 !

이번시간에는 방화벽과 웹 방화벽에 대해 알아보겠습니다.

1. 방화벽 

1.1. 방화벽이란?

침입 차단 시스템 으로써 네트워크를 내부, 외부로 분리시켜 비인가자나 악의적인 사용자의 침입을 방지하는 역할을 한다.

OSI 7 Layer의 Network, Transport Layer를 방어한다.

1.1.1. 구축이점

ㆍ 내, 외부 네트워크의 분리로 인한 정보자산 보호

ㆍ 방화벽을 통과하는 트래픽에 대응 

ㆍ IP와 PORT 기반으로 외부의 접근 통제

1.2. 방화벽의 역사

1.2.1. ( 1세대 ) Packet Filtering 

패킷 필터링 방식은 OSI 7계층의 3계층( Network Layer )과 4계층( Transport Layer ) 에서 동작한다.

IP / PORT 기반으로 미리 정의해둔 룰을 기반으로 패킷을 필터링 하며 내부 세션은 관리하지 않는다.

정책을 기반으로 하기에 느리고 우회접근, 패킷 헤더 조작, TCP 헤더의 Data 영역을 확인하지 않기 때문에 바이러스에 감염된 메일에 취약.

1.2.2. ( 2세대 ) Stateful Inspection

패킷 필터링의 단점을 극복하기 위해 나온 방법이다.

패킷 단위의 검사가 아닌 세션 단위의 검사를 한다. 

네트워크 트래픽과 관련된 모든 상태 채널을 상태목록에 유지시킨 후 누가, 언제, 어느 때 사용하였는지, 어느 때 거절 당했는지, 어떤 경로를 통해 접속 하였는지 등에 대해 분석하고 패킷의 수락 여부를 결정하는 방화벽.

1.2.3. ( 3세대 ) 어플리케이션 방화벽

패킷 필터 기능의 방화벽으로는 일상적인 트래픽과 같은 진화하는 공격 패턴을 막기 어려워지면서 출현한 방화벽.

IPS, 웹 방화벽( WAF ) 등이 있으니 WAF의 예로 2. 웹 방화벽에서 알아보겠다.

1.3. 방화벽의 기능

1.3.1. 접근제어

방화벽의 가장 기본적인 기능.

누가 또는 무엇이 어떠한 객체에 접근할 수 있는지를 정의하는 개념과 동시에 그러한 것을 구현하게 해주는 것.

IP, Portservice, Protocol에 대한 통제.

1.3.2. 인증

다중 사용자 시스템 또는 망 운용 시스템에서, 시스템이 단말 로그인 정보를 확인하는 보안 절차.

인증 서비스는 통신이 신뢰성을 갖도록 보증하는 것이 중요.

1.3.3. 로깅 및 감사추적

방화벽을 지나간 허가나 거부된 접근에 대한 기록을 유지하여 사고가 있을 시 추적.

방화벽을 경유하는 네트워크와 네트워크로의 트래픽 내용을 일정한 형식에 맞추어 기록.

관리자의 입장 : 로깅된 데이터를 이용하여 다른 정보를 분석, 유추, 침해사고 발생 시 이를 해결 할 수 있는 정보를 얻음.

1.3.4. NAT

Network Address Translation으로 내부 네트워크 주소를 외부 공인 네트워크 주소로 외부 사용자가 내부에 존재하는 서버의 접속을 위한 네트워크 주소

2. 웹 방화벽( WAF )

Web Application Firewall 웹방화벽은 일반적인 네트워크 방화벽과는 달리 웹 어플리케이션 보안을 위한 솔루션이다.

HTTP 트래픽을 검사하여 보호 대상 홈페이지 서버로 유입되는 해킹을 차단하는 정보 보호 시스템이다.

최근 웹 해킹으로부터 피해를 방지하기 위하여 홈페이지 서비스를 암호화하여 HTTPS로 서비스하는 홈페이지가 늘어나고있다.

하지만 방화벽, IDS, IPS와 같은 솔루션들은 암호화된 통신내용을 복호화 할 수 없어 웹 방화벽의 역할이 중요해지고 있다.

OSI 7 Layer의 Application Layer에 위치하고 SQL Injection, XSS 등과 같은 웹 공격을 탐지하고 차단하는 것이다.

직접적인 웹 공격 대응 이 외에도, 정보유출 방지 솔루션, 웹 사이트 위변조방지 솔루션 등으로 활용이 가능하다.

웹 방화벽 또한 방화벽과 같이 진화를 거듭해왔다.

2.1. 웹 방화벽의 역사

2.1.1 1세대 웹 방화벽

블랙 & 화이트 리스트를 병행하는 방식으로 사용되었다.

관리자가 직접 생성 및 관리를 해야했고, 매우 큰 관리 부담으로 다가왔다.

공격유형이 다양해짐에 따라 등록된 시그니처의 수가 늘어나 성능이 저하되는 문제도 발생하였다.

2.1.2 2세대 웹 방화벽

보호 대상 웹 어플리케이션을 몇 주간의 모니터링을 통해 분석하여, 화이트리스트 생성을 자동으로 처리해주는 것이 특징.

관리자가 최종 검토 및 관리를 해야했기에 부담은 여전했고 빠르게 변화하는 웹 환경에 존재하는 다양한 웹 공격 유형을 파악하지 못했기에, 성능 저하 및 오탐 이슈를 피할 수 없었다.

2.1.3 3세대 웹 방화벽

'지능형 웹 방화벽'

웹 공격 유형별로 블랙리스트 탐지, 화이트리스트 탐지 및 웹 트래픽 컨텐츠 분석 등의 기법들을 결합하여 공격을 탐지하기에 오탐을 대폭 줄일 수 있다. 또한 특정 공격 유형의 새로운 변종 공격의 경우 최소한의 시그니처 추가 만으로 변종 공격의 방어가 가능하다.

때문에 훨씬 효율적인 관리가 가능하다.

참고 ASTSOFT 「방화벽과 웹 방화벽의 차이」

PentaSecurity.co.kr 「웹 방화벽이란?」

jeongchul.tistory.com

안녕들 하시죠 !

오늘은 보안솔루션 IPS 와 IDS에 대해 알아보겠습니다.

1. 방화벽의 한계

일반적으로 방화벽을 도입하면 모든 종류의 위협을 차단할 수 있다고 생각합니다.

방화벽은 필수적인 보안솔루션임에는 틀림없지만 실질적으로 IP와 포트( TCP/IP 프로토콜 상에서 Network Layer 의 IP address 및 Transport Layer 의 Service port ( HTTP : 80 포트) )를 기반으로하는 차단 솔루션 이기에, 외부에서 내부로 반드시 들어와야 하는 서비스 ex) 이메일, 웹 서비스 와 같은 경우 악의적인 사용자에 대한 식별이 불가능합니다.

이를 보안하기 위한 솔루션의 필요성이 생겨났습니다.

2.  IDS ( Intrusion Detection System )

IDS는 자체적으로 내장된 각종 해킹수법을 기반으로 한 룰과 트래픽 ( TAP 이라는 원본 트래픽을 손실이나 변조없이 복사해주는 이라는 장비를 이용)을 비교하여 컴퓨터시스템의 비정상적인 사용, 오용, 남용 등을 실시간으로 탐지하는 네트워크 기반의 보안솔루션입니다.

트래픽 ?

트래픽(traffic)은 '교통' 이라는 영단어이다. 컴퓨터 용어에서 트래픽은 전화나 인터넷 연결선으로 전송되는 데이터의 양을 말한다.

트래픽 양이 많다는 것은 전송되는 데이터의 양이 많다는 것을 뜻한다.

트래픽이 너무 많으면 서버에 과부하가 걸려서 기능에 문제가 생기기도 한다.

참고 「네이버 지식백과」

2.1. 기능

ㆍ 침입 탐지 시스템

ㆍ 시스템에 대한 인가되지 않은 행위와 비정상적인 행동을 탐지

ㆍ 탐지된 불법 행위를 구별하여 실시간으로 침입 탐지

ㆍ 정상 트래픽의 흐름을 간섭하지 않고 단지 감시하는 기능을 제공

- TAP을 이용한 원본 데이터를 복사하여 검사하여 보안상의 위협 찾기

ㆍ 데이터 수집, 데이터 필터링 및 축약, 침입 탐지, 책임 추적성과 대응

2.2. 사용 목적

ㆍ 단순 접근 제어나 방화벽 등의 침입차단 시스템의 탐지 기능 한계

ㆍ 인증된 사용자나 이를 가장한 침입자의 공격 대비

ㆍ 침입 경로의 다양화, 해킹 수법의 고도화에 대한 대비

참고 「K-Shield Jr. 기술보안 운영」

침입 탐지 시스템( IDS )는 90년대 말부터 방화벽과 함께 많이 도입이 됬지만, 정상적인 트래픽임에도 불구하고 악성트래픽으로 오인하는 경우가 있고 대규모 네트워크에서 사용하는데 곤란하고 새로운 침입기법에 대한 즉각적인 대응이 곤란합니다.

IDS는 보안사고에 근본적인 해결책이 되지 못하며, 정비성능이 안정화되고 수준이 올라감에 따라 탐지만 하는것이 아닌 사전에 침입을 방지하는 시스템의 필요성이 대두되었습니다.

그런 필요성으로 인해 침입탐지, 안티 바이러스와 같은 Signature 기반의 기술들과 방화벽과 같은 네트워크 기반의 차단 솔루션을 논리적으로 결합한 방식의 솔루션( IPS )이 나오게 됩니다.

3. IPS ( Intrusion Protection System )

침입 방지 시스템으로써 자체적으로 내장된 각종 해킹수법을 기반으로 비정상적인 트래픽에 대해 능동적으로 해당 트래픽을 차단, 격리 등 방어조치를 취하는 보안 솔루션이다.

3.1. 기능

ㆍ 침입 차단 시스템

ㆍ OS나 Application의 취약점을 능동적으로 사전에 예방

ㆍ 외부에서 내부 네트워크로의 침입 방지

ㆍ 위험 인지와 시스템 인지를 통해 능동적인 방어 제공

ㆍ 비정상적인 트래픽 차단

IPS는 방화벽이 검사할 수 없는 Application 상위 계층까지 검사할 수 있습니다.

방화벽에서 검사할 수 없는 영역인 패킷의 Application Data영역을 좀 더 심도있게 분석한다는 의미로 DPI( Deep Packet Inspection) 이라는 용어가 사용되고 있습니다.

상위계층을 검사하면서 성능 유지 및 트래픽의 지연이 발생하지 않도록 하기위해 상대적으로 고사양 하드웨어를 사용하고, 지속적인 악성코드 탐지 시그니쳐를 업데이트해야 하기 때문에 방화벽에 비해 값이 비쌉니다.

IPS의 주요기능은 방화벽으로 차단할 수 없는 트래픽의 Application Data에 포함된 해킹/악성코드/비정상 트래픽을 추출하여 차단하는 것입니다.

이러한 기능은 시그니쳐 기반 과 비정상 탐지 기술로 나누어 집니다.

시그니쳐 기반 기술의 개념은 V3같은 안티바이러스와 유사한 방식이며, 이미 발견되고 정립된 공격패턴을 미리 입력 및 DB화 해두고, 거기에 해당하는 패턴을 탐지하게 되었을때 이를 알려주는 것입니다. 

탐지 오판율이 낮고 효율적이나, 알려지지 않은 공격에는 효과적이지 않으며 대량의 자료를 분석하는데에는 부적합하고 어떤 순서로 공격했는지에 대해 알기 어렵습니다.

비정상 탐지 기술은 정상적이고 평균적인 상태를 기준으로 하여, 이에 상대적으로 급격한 변화를 일으키거나 확률이 낮은 일이 발생할 경우 침입 탐지를 알리는 것입니다.

평균적인 상태에 대비한 이상상태를 추정하여 탐지하는 것이므로 오탐율이 높은 단점이 있습니다.

이부분은 오탐율을 낮출 수 있는 인공지능을 적용한 형태로 발전중입니다.

실 환경에서는, 시그니쳐 기반 기술로 탐지 및 차단 정책을 적용하고 있으며 비정상 탐지기술은 탐지기능만을 적용하여 관리자가 탐지된 정보를 기반으로 분석 및 수동 조치하는 식으로 운영한다고 합니다.

IDS/IPS의 설치 구간 제약은 없으나, 일반적으로 인터넷 구간의 방화벽 뒷단에 설치하여 방화벽 차단정책으로 필터링할 수 없는 트래픽을 좀더 자세하게 탐지하여 차단하는 형식으로 구성하여 사용자 및 서버를 보호하는 역할을 수행합니다.

국내의 대표적인 IPS 제품으로는 AhnLab의 TrusGuard IPX, 맥아피의 NSP, 시스코의 NGIPS, 시큐아이의 SECUI MFI New Edition, 포티넷의 포티게이트, 윈스의 스나이퍼 IPS 등이 있습니다.

오늘은 여기까지입니다 감사합니다 !

참고 AhnLab 전문가 칼럼 조육왕 「방화벽이 모든 것을 차단할 수 없다면 ?」

「K-Shield Jr. 기술보안 운영」

안녕들 하시죠 !

이번시간에는 Wireshark를 이용한 패킷 스니핑을 실습해보겠습니다.

Sniffing ( 스니핑 ) 이란?

스니핑이란 네트워크 상에서 자신 이외의 사용자들의 패킷을 엿보는 것을 의미합니다.

위의 이미지를 예로 들면 Noel과 Susan이 주고받는 'I love you' 'Me too' 와 같은 패킷을 엿보는 것입니다.

초기 TCP/IP 프로토콜은 보안적 측면을 고려하지 않고 평문통신을 했기때문에 이러한 스니핑에 취약했습니다.

현재는 대부분 암호화 통신을 하기때문에 비교적 안전하지만 평문통신구간에서 Wireshark를 이용해 보안적 취약점에 대해 실습해 봤습니다.

우선, 제 실습환경에서 로그인 준비를하고 Wireshark를 켜 문자열 필터를 통해 진행해보겠습니다.

아이디와 패스워드를 입력해 로그인하겠습니다.

돋보기 단추 ( find a packet )을 누른 후 Display Filter부분을 클릭해 string으로 바꿔주겠습니다.

② 맨 왼쪽 Packet list 부분을 Packet details로 바꾼 후 ③ 검색창에 로그인 창에서 입력한 아이디 ( kisec ) 을 입력 후 Find 하겠습니다.

맨 아래를 보게되면 제가 입력한 아이디 kisec과 sql injection으로 입력한 비밀번호 'or 1=1 -- 이 나와있네요.

이렇게 평문통신을 하게되면 사용자의 중요정보가 쉽게 노출 될 수 있다는 것을 확인해봤습니다.

암호화 통신의 중요성을 실습을 통해 느낄 수 있는 시간이였습니다.

오늘은 여기까지입니다 감사합니다 !

안녕들 하시죠 !

이번시간에는 Wireshark에 대해 알아보겠습니다.

Wirshark 란?

와이어샤크는 네트워크 패킷을 캡처하고 분석하는 오픈소스 도구이다.

처음엔 ' Ethereal ' 이라는 이름으로 나왔다가 이후에 상표문제로 ' Wireshark '로 바뀌었다.

강력하고 쉬운 사용법때문에 해킹뿐만 아니라 보안 취약점 분석, 보안 컨설팅, 개인정보 영향평가 등 여러 분야에서 폭 넓게 사용된다.

Wireshark 기본 작동 개념

같은 네트워크 구간의 Noel과 Susan은 이메일이나 메신저 등을 통해 대화를 주고받는다.

여기에서 Wireshark를 사용하는 제3자는 이 둘 사이의 네트워크로 돌아다니는 패킷( 네트워크상의 데이터 )을 수신하여 저장한다.

이때, PCAP이라는 파일 포맷으로 저장된다.

PCAP 은 Packet Capture의 약자로 네트워크 트래픽을 캡처하는 API구성이다.

Wireshark는 자체 프로그램으로 네트워크 트래픽을 캡처하는 것이 아니고, 운영체제에서 지원하는 캡처 라이브러리를 이용하여 수집한다.

유닉스 : libpcap

윈도우 : Winpcap

Wireshark 설치

Kali Linux 사용자의 경우 기본적으로 설치가 되어있다.

window 사용자의 경우 wireshark 홈페이지에서 무료로 다운받아 사용이 가능하다.

https://www.wireshark.org/

1. 홈페이지에서 다운 후 실행

본인 운영체제에 맞게 다운받으시면 됩니다.

2. 설치 진행

3. Winpcap 설치

위의 과정을 마치고 나면 winpcap 설치가 진행됩니다.

Wireshark 인터페이스

윈도우 환경에서 wireshark를 실행시켜보겠습니다.

제 환경에서는 와이어샤크가 자동으로 Wi-Fi 인터페이스를 찾아놨습니다.

보통은 이더넷 이라고 뜰껀데 더블클릭해주시면 실행됩니다.

우선 간단한 인터페이스 기능을 알고가겠습니다.

① : 시작

② : 종료

③ : 다시시작

④ : 호스트 간에 주고받은 패킷을 나열해 놓는 부분

No. : 패킷이 수집된 순서를 나타냄

Time : 패킷이 수집된 시간을 나타냄

Source ( 패킷을 보낸 주소 ) ↔ Destination ( 패킷이 도착한 주소 )

Protocol : 패킷 프로토콜 정보

Length : 패킷의 길이

info : 패킷의 상세 정보

⑤ : ④에서 주고받은 패킷의 내부 헤더 정보, 즉 이 패킷들을 어떤 규칙이나 전송 기준으로 주고받았는지를 보여준다

⑥ : 실제 주고받은 내용을 16진수로 보여준다

이제 제 PC에서 cmd창에 들어가 google.com으로 ping 명령어를 사용해보겠습니다.

ping google.com

주황색 하이라이트 부분을 집중해서 보시면 될 것 같습니다.

4231라인을 보시면 ICMP 프로토콜을 사용해 출발지인 제 IP ( 192.168.0.13 ) 도착지인 구글 IP ( 216.58.197.238 ) 로 

request를 보내고있네요.

cmd창을 보면 4번 ping을 보내는데 wireshark창을 보게되면 request 4번 reply 4번 총 8번의 교환이 있었네요.

* ICMP ( Internet Control Message Protocol ) 란?

인터넷 제어 메시지 프로토콜로서 보통은 오류 메시지를 전송하는데에 쓰이며 인터넷 프로토콜 주요 구성원 중 하나이다.

송신 시스템과 수신 시스템 사이의 패킷을 최적의 경로를 통해 전달하는 역할을 한다.

Wireshark 필터링

와이어샤크를 사용하다보면 실시간으로 수 많은 패킷을 수집하기 때문에 내가 원하는 패킷을 찾기가 힘듭니다.

그런 문제점을 극복하기위해 필터링 기법에 대해 알아보겠습니다.

와이어샤크 상단 부분을 보면 apply a display filter 라는 부분이 있습니다.

그곳에 필터링 문법을 적고 엔터를 입력하면 됩니다.

예를 들어 ip.addr == 192.168.0.13 이라고 입력하게되면 제 Ip ( 192.168.0.13 ) 에만 해당하는 내용이 나오게됩니다.

사용 예)

tcp dst port 8888 // 목적지가 tcp 8888 포트인 패킷

ip src host 192.168.0.13 // 출발지 IP 주소가 192.168.0.13인 패킷

not icmp // icmp가 아닌것 모두 검색

eth.addr == 28:16:ad:00:33:04 // 출발지나 도착지 MAC주소로 검색

등등 수많은 문법들이 있으니 필요할 때 구글링을 통해 사용하면 될 것 같습니다.

오늘은 여기까지입니다 감사합니다 !

참고서적 이상한 「웹해킹 입문」 프리렉(2016) p135~142

안녕들 하시죠 !

이번시간에는 네트워크 스캐닝을 해보겠습니다.

네트워크 스캐닝 이란?

스캐닝은 네트워크를 통해 제공하고 있는 서비스, 포트, Host 정보 등을 알아내는 것을 의미합니다.

TCP 기반의 프로토콜의 질의( Request ), 응답 ( Response ) 매커니즘.

스캔 프로그램으로는 Nmap, WPScan, Nikto, Netcat 이 있음.

스캐닝시 ICMP, TCP, UDP 프로토콜을 사용합니다.

스캐닝 도구는 서버의 상태, 사양, 취약점 및 각종 정보를 쉽게 탐색합니다.

이러한 도구들이 워낙 막강하다 보니 기업이나 기관에서는 해당 도구의 사용이 곧 해킹이라 생각합니다.

보안 환경이 잘 갖춰진 조직이나 기관은 이러한 도구의 사용을 바로 탐지할 수 있는 장비를 갖추고 있습니다.

자, 이제 제 가상환경에서 스캐닝 실습을 진행해보겠습니다.

피해자 PC : Window 7 ( Wordpress ) 192.168.0.27

공격자 PC : Kali linux 192.168.0.132

오늘 사용할 스캔 도구는 WPScan 입니다.

WPScan

WPScan은 워드프레스 관련 취약점을 점검하는 도구입니다.

WPScan은 워드프레스를 위한 전용 점검 도구로 간단한 명령으로 많은 취약점을 파악합니다.

기존의 취약점을 데이터베이스화하여 사용자에게 취약 정보를 제공하는 장점도 있습니다.

WPScan의 옵션

--url : 해당 url의 워드프레스 사이트를 스캐닝한다.

--username : 해당 사용자 이름으로 Brute Force Attack을 실행한다.

--wordlist : 지정한 워드리스트를 이용하여 패스워드 Brute Force Attack을 실행한다.

--enumerate p : 해당 워드프레스에 설치된 플러그인을 열거한다.

                 u : user name : id 1 ~ 10 까지의 사용자 이름을 열거한다.

                 vp : vulnerable plugins : 취약점이 있는 플러그인만 열거한다.

                 vt : vulnerable themes : 취약점이 있는 테마들만 열거한다.

* Brute Force Attack

무차별 대입 공격이라고도 하며 특정한 암호를 풀기 위해 가능한 모든 값을 대입하는 것을 의미한다.

이와같은 방법으로 허술한 비밀번호는 아주 손쉽게 알아낼 수 있지만 복잡한 비밀번호를 알아내기에 엄청난 시간이 들어갈 수 있다.

자, 이제 WPScan p 옵션을 사용해 설치되어있는 플러그인을 열거해보겠습니다.

wpscan --url http://192.168.0.27/wordpress --enumerate p

아래와 같이 버전 정보가 나오네요.

스크롤을 조금 내려보게되면,

33가지의 취약점이 있다고 알려주네요. 그밑을 보니 취약점 표준 코드 CVE도 보입니다.

사용자 정보를 스캔하기 전,

먼저 기존에 테스트해봤던 계정들을 전부 삭제한 후, wordpress 관리자페이지에서 hongpossible 계정을 추가했습니다.

wordpress 관리자페이지에서 계정을 추가하면 비밀번호가 자동으로 암호화 해서 저장이 됩니다.

자, 이제 아까 작성한 명령어에서 맨뒤에 p 만 u로 바꿔주시면 됩니다.

wpscan --url http://192.168.0.27/wordpress --enumerate u

헐

이렇게나 쉽게 유저 아이디를 얻을 수 있다니 스캔은 정말 강력한거 같습니다.

자, 이제 hongpossible 유저에게 단순 반복 작업인 Brute Force Attack으로 패스워드를 획득해 볼 건데요, 

조금 빠르게 진행하기 위해 20개의 쓰레드를 사용했습니다.

Brute Force Attack을 위한 Wordlist는 구글에도 많고 본인이 직접 제작하실 수도 있습니다.

처음에 7천개가 넘는 Wordlist로 진행하다보니 시간도 오래걸리고 정신건강에 좋지 않은것 같아, 단어 수를 줄이고 패스워드를 포함시켰습니다.

Kali linux /root/Desktop/ 경로에 wordlist.txt 파일을 넣고 진행한 명령어 입니다.

wpscan -u 192.168.0.27/wordpress --threads 20 -wordlist /root/Desktop/wordlist.txt --username hongpossible

성공적으로 암호화된 패스워드가 hong123이라는 것을 알아냈습니다.

오늘은 여기까지입니다 감사합니다 ! 

참고서적 이상한 「웹해킹 입문」 프리렉(2016) p111~120

안녕들 하시죠 !

이번시간에는 네트워크 해킹에 대해 알아보겠습니다.

아래에는 McAfee Labs에서 공개한 2017년 네트워크 해킹 Top 8 입니다.

Top 8

1. 브라우저 공격

2. 브루트포스 공격

3. 디도스 공격

4. 웜 공격

5. 멀웨어 공격 ( 피싱 메일, 악성 페이지, 악성 광고 )

6. 웹 공격 ( XSS 등 )

7. 스캔 공격

8. 기타 공격 ( APT, 물리공격, 내부공격 )

네트워크 해킹 이란?

네트워크 상에서 발생되는 해킹을 의미.

보안의 기본 요소에 따라 기밀성, 무결성, 가용성의 침해를 받는다.

- 내부의 자산을 파악하기 위해 훔쳐 보는 네트워크 스캐닝 같은 행위 ( 기밀성 )

- 정상적인 통신을 강제로 끊고 공격자가 세션을 갈취하는 (  세션하이재킹 ) 등의 행위. ( 기밀성, 무결성 )

- 외부에서 네트워크 통신을 이용해 서비스가 정상 작동을 하지 못하도록 하는 행위 ( Dos ) ( 가용성 )

ㆍ 기밀성

- 스니핑 ( Sniffing )

- '킁킁 거리다'의 의미로 네트워크 흐름의 중간에서 도청, 감시 등의 공격을 하는 행위.

- 패스워드 등의 데이터를 통신하는 과정에서 중간에 도청하여 확인 할 수 있는 위협이 될 수 있음.

공격 예

크리덴셜 스터핑 ( Credential Stuffing ) : 공격자가 이미 확보한 크리덴셜(로그인 정보 등 개인 신상과 관련해 암호화한 정보)을 다른 

                                                   계정들에 마구 대입하는(stuffing) 방식으로 이용자 정보를 침해하는 것.

피해 사례 : 2018년 6월 23일 ~ 27일 우리은행 고객정보 해킹 사건

뉴스 URL : https://www.boannews.com/media/view.asp?idx=70843

ㆍ 무결성

- 스푸핑 ( Spoofing )

- '변조시키다'의 의미로 사용자가 원하는 행위를 속여 비정상적인 행동을 하는 행위.

- 통신 경로 조작 등을 이용해 정상적인 행동을 비정상적인 행동으로 강제 변환 시킬 수 있음.

공격 예

- DNS 스푸핑 : DNS를 변조하여 정상적인 URL을 조회하였으나 공격자가 만든 페이지로 이동하게 만드는 공격 ( 피싱 사이트 )

- ARP 스푸핑 : ARP를 이용하여 Mac 주소를 속이는 공격.

ㆍ 가용성

- Dos 공격

- Denial of Service의 약자로 서비스 거부 공격을 수행하여 서버나 시스템이 동작하지 못하도록 공격하는 행위.

공격 예

- SYN Flood 공격 : SYN 패킷을 이용하여 네트워크 트래픽 용량을 초과 시켜 정상 접근이 어렵도록 하는 공격.

- HTTP Flood 공격 : HTTP 프로토콜 중 GET 또는 POST 메소드를 이용하여 웹 페이지 접근 한도를 초과 시키는 공격.

다음시간에는 스캐닝, Flood공격 등등 을 직접 실습해볼 계획입니다.

오늘은 여기까지입니다 감사합니다 !

참고서적 「K Shield Jr. 기술보안 운영」

안녕들 하시죠 !

이번시간에는 TCP 와 UDP에 대해 알아보겠습니다.

TCP와 UDP 둘다 OSI 7계층중에 전송에 관련된 4계층( Transport Layer )에 속해있는데요.

TCP( Transmission Control Protocol )란?

TCP란 전송제어프로토콜의 약자로서 기본적으로 IP와 함께 쓰이며, 데이터의 송수신을 위하여 사용되고 있는 프로토콜이다.

통신이 연결된 호스트간에 신뢰성을 보장받으며 데이터를 주고 받을때 사용한다. 

연결 ( 3 Way HandShaking )과 해제 ( 4 Way HandShaking ) 방식이 있으며, 수신측이 데이터를 받았는지 확인한다.

수신측에서 한번에 받을 수 있는 데이터의 버퍼량을 조절해주는 흐름제어 기능과,

수신측의 상태에 따라 데이터의 전송량을 조절해주는 혼잡제어 기능을 지원한다.

3 Way HandShaking

TCP/IP를 이용하여 데이터를 전송하기전, 신뢰성을 보장하기위하여 상호간에 연결하는 과정이다.

우선 SYN과 ACK에 대해 알아보겠습니다.

SYN ( synchronize sequence numbers ) : 세션을 성립할때 가장 먼저 보내는 패킷이며, 연결 요청 신호이다.

ACK ( Acknowledgement ) : 상대방으로부터 패킷을 받았다는 응답 신호이다.

     출처 [ Wikipedia ]

왼쪽이 클라이언트, 오른쪽이 서버입니다.

1. 클라이언트는 서버에게 접속요청을 하며 SYN 패킷을 보낸다.

   그러면서 클라이언트는 SYN-ACK를 기다리는 SYN_SENT상태가 된다.

2. 서버는 클라이언트의 SYN요청을 받고 수락한다는 SYN-ACK 패킷을 보내고 난뒤, SYN_RECEIVED상태가 된다.

3.  클라이언트는 서버에게 ACK 를 보내고 연결이 이루어져 데이터를 주고 받을수 있게 되며 양측 모두 ESTABLISHED상태가 된다.

4 Way HandShaking

3 Way HandShaking과 비슷하지만 연결을 해제하는 과정이다.

     출처 [ Wikipedia ]

이번에도 왼쪽이 클라이언트, 오른쪽이 서버입니다.

1. 클라이언트가 서버에게 연결을 종료하겠다는 FIN을 전송한다. 

2. 서버는 일단 알겠다며 클라이언트에게 ACK 메시지를 보내고 자신의 통신이 종료될때까지 대기하는상태 (CLOSE_WAIT)가 된다.

3. 연결이 종료되면 서버는 클라이언트에게 FIN 메시지를 보내며 LAST_ACK 상태가 된다.

4. 클라이언트는 서버에게 확인 메시지를 보내며 통신을 종료한다.

UDP( User Datagram Protocol )란? 

비연결형 서비스를 제공하는 사용자 데이터그램 프로토콜이다.

TCP와는 다르게 수신측이 데이터를 받았는지 확인하지 않고 일방적으로 보낸다.

TCP보다 속도가 빠르지만 비신뢰성 프로토콜이다.

오늘은 여기까지입니다 감사합니다 !