ㅁ

스위치 환경에서 모니터링과 트래픽 분석을 위해 특정포트에 관한 패킷을 특정포트로 전달하는 것 = 포트 미러링

Ipv4에서 무한 로핑을 방지하기 위해 라우터를 거칠 때마다 감소시키는 IP헤더 필드명은? = TTL

IP 단편화 관련 tcp dump의 출력 형식은 "frag id:sizeoffset[+]"이다.

id : 단편화 전원본 IP 데이터그램을 식별하기 위한 단편 ID

size : ip헤더를 제외한 단편의 크기로 바이트 단위로 표시한다.

offset : 단편의 상대위치를 나타냄

[+] : 추가 단편이 있음을 의미

IPv4와 IPv6를 동시에 설정하여 통시 상대에 따라 선택적으로 사용할 수 있도록 하는 방식 = 듀얼스택

특정 IP주소와 포트 번호의 조합으로서 같은 IP의 동일한 시스템이 동시에 특정 클라이언트의 복수 개의 응용 프로그램에 정확하게 통신할 수 있게 해주는 기반을 제공해주는 소프트웨어 모듈 = 소켓

시스템에 침입자가 침입한 경우 침입 경로를 확인하기 위한 방법 중 현재 시스템과 통신을 하고 있는지 확인하는 명령 = netstat

[netstat : 네트워크 인터페이스에 대한 정보, 시스템의 라우팅 테이블 정보, 소켓 사용정보, 각 프로토콜별 통계 정보]

공격자는 공격용 IP 패킷을 첫 번째 fragment에서는 패킷 필터링 장비에서 허용하는 http포트와 같은 포트번호를 입력한다. 그리고 두번째 fragmentation에서는 offset을 아주 작게 조작해서 fragment들이 재조합될 때 두번째 fragment의 포트번호가 있는 부분까지 자기가 원하는 포트번호로 덮어씌우는 방법 = [Frament overlap 공격]

tcp 헤더 부분을 아주 작게 만들어서 패킷 필터링 장비를 우회하는 공격으로 목적지 서버에서는 이 패킷들이 재조합되어져 공격자가 원하는 포트의 프로그램으로 무사히 연결하여 공격하는 방법 = [Tiny Fragment 공격]

ping of death = ICMP EchoRequest

스머프공격 = ICMP Echo Reply, directed broadcast 설정 막기

분산형 명령/제어 방식, 대표 봇넷으로( Storm,  Peacomm), c&C 서버 불필요 = p2p봇넷

ngrep은 tcpdump와 같이 패킷을 캡처할 수 있는 도구다.

SYN Flooding 공격으로 다른 사용자의 접속을 제한시킴 연결요청대기큐(backlog Queue)를 모두 소진시킨다.

dns 증폭 공격에서 악용하는 질의 방식으로 DNS Record 질의 타입을 (ANY)로 지정하면 요청한 도메인에 대한 모든 레코드 타입의 응답이 반환되기 때문에 응답이 증폭되는 효과가 있다. = [DNS 증폭 DRDoS 공격]

ANY 타입 : 질의한 도메인 이름과 일치하는 모든 레코드를 반환한다.

TXT 타입 : 질의한 도메인에 대한 텍스트 정보를 반환한다.(SPF)

오픈소스 메모리 캐싱 시스템으로 스토리지나 DB 같은 대규모 데이터 저장소의 부하를 줄이기 위한 목적으로 통상 캐시가 필요한 시스템에만 사용되고 인터넷에 노출되지 않기 때문에 별도 권한설정을 요구하지 않는다. 악용가능 = [맴캐시드(memcached)]

 : 오픈소스메모리 캐싱 시스템으로 11211/tcp와 11211/udp를 사용

WTLS(wireless transport layer security) : 4층에서 동작하는 보안 프로토콜인 WTLS을 이용하여 기밀성, 무결성, 인증 및 부인방지으 ㅣ기능을 제공

무선 세션 프로토콜(wsp, wireless session protocol) : 무선 응용 통신 규약의 연결 세션과 비연결 세션에 대한 정의와 인터페이스를 규정하는 세션 계츠 프로토콜이다.

무선 트랜잭션 프로토콜(WTP, wireless Transaction protocol) : wap 프록시를 이용하여 wsp 클라이언트를 표준 http 서버에 연결할 수 있기 때문에 브라우징 애플리케이션에 적합한 무선 환경에서 HTTP1.1 버전에 대응되는 기능과 세션 상태를 오랫동안 유지시키는 기능, 세션 유입에 따라 세션을 연기하거나 다시 시작하는 기능을 수행한다.

WEP는 무선 데이터 암호화 방식은 40비트의 wep 공유 비밀키와 임의로 선택되는 24비트의 IV(Initial Vector)로 조합된 64비트의 키를 이용한 RC4 스트림 암호 방식으로 보호한다. 공유키가 문제

무선 네트워크를 찾기 위해 무선 장치를 가지고 주위의 AP(Access Point)를 찾는 과정 = 워 드라이빙(war driving)

PPTP : ㅇMS에서 개발 하나의 터널에 하나의 연결만 지원

L2F : 시스코에서 개발 하나의 터널에 다자간 통신 가능

TLS1.3 버전

1) 강화된 보안

협상단계에서 인증서 암호화 및 무결성 검증을 수행함으로써 협상 단계의 다운그레이드 공격 방어가 가능(poodle 공격)

2) 빨라진 성능

TLS 1.2 이하 버전에서는 최초 세션연결 시(완전 협상) 2-RTT(Round Trip Time)를 거쳐양 했으나 1.3에선 1-RTT로 단축

세션 재 연결 시에도 1-RTT였으나 0-RTT로 단축

BEAST공격(Browser Exploit Against SSL/TLS) : 사용자 브라우저의 취약점을 이용하여 HTTPS 쿠키를 훔쳐서 HTTPS 세션을 가로챌 수 있는 공격

CRIME 공격(Compression Ration Info-Leak Mass Exploitation) : HTTPS의 압축에 따른 취약점을 이용하여 HTTPS 쿠키를 훔쳐서 HTTPS 세션을 가로챌 수 있는 공격

디폴트 라우터 : 라우터에서 패킷을 수신하면 라우팅 테이블상 상대방 네트워크 IP 주소를 검색하여 패킷을 어디로 보낼 것인가 결정하는데 디폴트 라우터가 설정되어 있으면 등록되어 있지 않은 모든 패킷들은 지정된 경로로 전송된다.

conf t

ip route 0.0.0.0 0.0.0.0 172.16.0.1

Syn Cookie 커널 파라미터 설정하기(0: 미설정, 1: 설정)

• sysctl -w net.ipv4.tcp_syncookies=1
• echo 1 > /proc/sys/net/ipv4/tcp_syncookies

PGP와 S/MIME는 MIME 객체에 암호화와 전자서명 ㅁ기능을 추가한 암호화 프로토콜이다.

• Procmail : sendmail.cf에 포함시키거나 사용자 디렉터리에 forward 파일을 위치시켜 실행시키는 plug-in 형식으로 쓰인다. 받은 메일에서 보낸사람, 제목, 크기, 내용 등의 단일 기준 또는 다중기준으로 메일 필터링이 가능하다.
• Sanitizer : 이메일을 이용한 모든 공격에 대해 효과적으로 대응할 수 있도록 해주는 procmail ruleset 옵션을 통해 확장자를 이용한 필터링, MS Office 매크로에 대한 검사기능, 악성 매크로에 대한 score기능, 감염된 메시지 보관 장소 설정 기능 등을 제공한다.
• Inflex : 메일서버에서 로컬이나 외부로 나가는 이메일에 대한 inbound와 outbound 정책을 세워 메일 필터링이 가능하다. 첨부파일만 필터링 가능
• spamAssasin : apache 그룹을 통해 Open source Project로 진행되고 있다. Perl로 만들어졌으며 헤더 내용, 화이트리스트와 블랙리스트, RBL(Real-time Black List)등의 다양한 분류로 메일 필터링 가능

XSS

어플리케이션이 신뢰할 수 없는 데이터를 가져와 적절한 검증이나 제한 없이 웹브라우저로 보낼 때 발생하는 것으로 사용자 세션 탈취, 웹사이트 변조, 악의적인 사이트로 이동이 가능

CSRF

로그온된 피해자의 취약한 웹 애플리케이션에 피해자의 세션쿠키와 기타 다른 인증정보를 자동으로 포함하여 위조된 HTTP 요청을 강제로 보내도록 하는것

인증 및 세션 관리 취약점

계정토큰과 세션토큰이 적절히 보호되고 있지 않다. 공격자는 패스워드 키, 세션, 쿠키, 기타 인증관련 토큰을 공격하여 인증을 우회하고 다른 사용자의 ID를 가장할 수 있다.

 

adversarial 공격

[ai나 이미지 인식에 있어서 이미지 속에 인간이 감지할 수 없는 노이즈나 작은 변화를 주어 AI 알고리즘의 특성을 악용하여 잘못된 판단을 유도하는 공격]

evasion 공격

 AI가 잘못된 의사결정을 하도록 하는 공격으로 입력 공격

변조된 결과가 인간이 인지할 수 있는가?

변조되는 과정이 물리적인가 혹은 디지털화인가?

Poisoning 공격

 = 공격자가 AI 모델의 학습 과정에 관여하여 AI 시스템 자체를 손상시키는 공격(데이터셋 손상)

탐색적 공격 model inversion, API를 통한 모델추출공격

Model inversion 공격

 = AI 모델의 학습에 사용된 데이터를 추출하는 공격 기법

주어진 입력에 대해 출력되는 분류 결과와 신뢰도(Confidence)를 분석하여 역으로 데이터를 추출하여 아래 그림과 같이 이미지를 추출

Model Extraction via APIs

공개된 API가 있는 학습 모델의 정보를 추출하는 공격 기법입니다. 이 기법은 기존 모델이 어떻게 이루어져 있는지 알 수 없지만 API를 통해 얻어진 정보로 기능적으로 비슷한 모델을 구현할 수 있는 블랙-박스 공격(Black-Box Attacks)에 해당

화이트-박스 공격

은 공격자가 모델(f)에 대한 모든 정보를 알고 공격하는 것

mimikatz를 활용해 윈도우의 NTLM 및 LANMAN 해시값을 탈취하여 원격으로 로그인하는 공격 기법

 =  pass the hash

Password에 대한 hash값을 사용하는 환경(NTLM/LM 인증 프로토콜을 사용하는 환경)에서, 획득한 hash 값을 사용하여 인증을 통과하는 공격

HTTP 응답 분할 취약점

 : 메시지에 삽입한 입력값이 http 응답 헤더에 포함되어 사용자에게 다시 전달될 때 입력값에 CR, LF가 연속해서 존재하면 http 응답이 2개로 분리되어 공격자는 첫 번째 응답을 종료시키고 두 번째 응답에 악의적인 코드를 주입하여 xss 공격 가능

 - 개행문자는 줄 바꿈 문자열로 http 프로토콜에서 각각의 헤더와 헤더부의 끝을 구분하기 위해 사용하며 CR(carriage Return) LF(Line Feed)로 구성. %0D %0A

 

액세스 로그

GET, cgi-bin, http 등의 정보를 참조하여 웹서버의 접근내역을 기록하는 액세스 로그 파일임을 알 수 있다.

• 홈페이지 방문한 방문자 수
• 방문자들의 유형
• 각 웹 페이지별 얼마나 많이 요구 되었는지 사용 시간대별 분석

액세스 로그 - 누가, 언제, 어떻게 웹서버에 접근했는지에 대해 GET, cgi-bin, http 등의 정보를 참조하여 웹서버의 접근 내용을 기록

에이전트 로그 - 웹브라우저의 이름, 버전, OS등의 정보를 기록

에러 로그 - 요청한 웹페이지가 없거나 링크가 잘못되는 등의 오류가 있을 때 생성되는 로그

NAC(Network access control)

 : 단말기가 네트워크에 접속을 시도할 때 이를 제어하고 통제하는 기능을 제공하는 네트워크 보안 솔루션

[대표적으로 FreeNAC, PacketFence..]

허가받지 않은 단말의 접근이나  웜/바이러스 등 악성코드에 감염된 PC, 노트북, 모바일 단말기 등의 접속을 사전에 차단하여 전체 시스템을 보호하는 망 보안 솔루션으로 주요 제공 기능으로는 네트워크 접속인증, 네트워크 자산 접근권한 통제, 격리 및 치료, 모니터링 등..

ModSecurity

 : Trustwave 사에 의해 제공되며 아파치 웹서버, IIS 웹서버 등을 지원하는 오픈 소스 웹방화벽

웹 방화벽 [kisa의 캐슬, atronix 사의 webKnight..]

TMS(Threat Management System)

 : 전사적 IT인프라에 대한 위협정보들을 수집/분석/경보/관리하는 정보보호 통합관리 시스템이며 실시간으로 공신력 있는 대외 정보보호기관의 위협정보들을 수집/분석하여 정보보호관리자에게 제공함으로써 각종 보안위협으로부터 사전 대응 및 예/경보 체계를 구축하고 이를 통해 APT 등 알려지지 않은 공격들에 대한 조기 대응을 유도한다.

퍼저(Fuzzer)

 : 애플리케이션의 보안 취약점을 찾아내기 위한 도구로 목표 애플리케이션에 대한 다양한 데이터를 입력함으로써 s/w 오류를 유발시켜 보안 취약점을 찾아내는 목적으로 사용

무작위 데이터를 입력하여 결과로 오류가 발생한 경우 보안취약점이 존재할 가능성이 높다고 판단하는 테스트다.

 

tripwire는 무결성을 점검하는 도구

Nessus : 서버의 각종 설정과 패스워드 등의 취약점을 점검할 수 있는 툴

 - Tenable사가 개발하여 무료로 배포, text html Latex등의 다양한 형태로 보고서를 제공

디지털 워터마킹 : 디지털 이미지나 오디오 및 비디오 파일에 겉으로는 식별이 불가능한 비트 패턴을 삽입하는 기술.

DOI(Digital Object Identifier) : 인터넷 주소가 변경되더라도 사용자가 그 문서의 새로운 주소로 다시 찾아 갈 수 있도록 웹 파일이나 인터넷 문서에 영구적으로 부여된 식별자.