보안/네트워크 (15) 썸네일형 리스트형 Slow Read Slow Read 1. 설명 해커는 2가지 방법을쓴다 1) HTTP 파이프라이닝 (HTTP 1.1 스펙에서 동작) 설명 HTTP 파이프라이닝 : 네트워크 효율을 높이기 위해 하나의 세션에서 다수의 HTTP를 요청하고 응답받는 기술. 웹 서버의 송신버퍼 크기를 초과하는 HTTP 응답 데이터를 생성하기 위해 활용. 관련 기술1) : 커널 영역의 송신 버퍼보다 큰 데이터를 요청하면 프로세스는 전체 데이터를 커널에게 맡기고 그 사실을 잊어먹는다. 관련 기술2) 커널의 데이터는 ACK를 회신받아야 커널에서 반환한다. 즉 ACK를 받지못하면 커널에서 전송대기상태로 남는다. 결국 HTTP 파이프라이닝을 이용해 송신 버퍼보다 큰 데이터를 요청하면 프로세스는 전체 데이터를 커널에게 맡길 것이다. 그리고 공격자는 데이터를.. Fire Walking Firewalking 1. 공격 툴 : hping2, hping3 2. 현재 상황 : 최근의 방화벽, IDS, IPS는 모두 ICMP기반의 스캐닝은 쉽게 막을 수 있다. 3. 설명 : 공격자는 시스템에서 방화벽까지의 Hop수를 계산한다.그리고 TTL 값을 Hop + 1 로 설정하여 패킷을 전송한다.방화벽이 필터링하는 경우 패킷은 DROP 된다필터링하지 않을 경우 다음 Hop의 라우터가 Time Exceed 응답을 보내주게 된다. 4. 용어설명 TTL : (time to live) - 목적지에 메시지를 보내면 라우터는 자동적으로 하나씩 도착할 때마다 1개씩 줄인다. - "ping -t targetIP" : 32bytes in Windows system.- 핑을 날린 뒤 패킷의 TTL(아래 설명)이 0이 되.. DiD (Defense in Depth) DiD (Defense in Depth) 군대용어이고 직역하면 중심방어, 다계층, 다단계 방어를 의미한다. 아래와 같이 다계층 방식의 방어 방법을 사용한다. 간단히 성을 보호하는 예제를 통해 쉽게 이해할 수 있다. 위키피디아 설명 castle approach라고도 알려진 Defense in Depth는 정보 보증 개념이다. 이때 보안 컨트롤(방어)의 다수의 계층은 정보 기술(IT) 시스템 전반에 배치되어있다. Defense in Depth는 몇가지의 독립적인 방법을 사용하여 특정 시스템의 공격에 대한 방어를 목적으로 한다. 이것은 전자, 정보 보안을 위한 포괄적인 접근으로서 National Security Agency (NSA)으로 부터 고안되었다. 이 방어기법은 본래 시간을 벌기 위해 공간을 제공함으로.. IDS (Intrusion Detection System) 와 IPS (Intrusion Prevention System) IDS (Intrusion Detection System) 0. 침입 탐지 모델 구분 종류 설명 침입 탐지 모델에 의한 구분 오용탐지(misuse detection) 이미 알려진 패턴을 이용 -> 침입 탐지 알람이 규칙화 -> 이해하기 쉽고 오탐이 적음 새로운 패턴 탐지X -> 지속적인 관리 요구 변칙 탐지(Anomaly Detection) 사용자 패턴 수집 및 분석 -> 통계분석을 이용 새로운 패턴 탐지O -> 관리 용이 오탐 上 사용자의 패턴이 불규칙이면 구현이 어려움 데이터 소스에 따른 구분 호스트기반 침입 탐지 해당 시스템 파일들에 대한 무결성을 점검 네트워크 환경 구애X 시스템 별로 호환성의 문제 발생 네트워크 기반 침입 탐지 네트워크의 모든 패킷 검사 및 분석 호스트 공격 전에 탐지를 지원 대.. 방화벽 (FireWall) 방화벽 1. 내부 시스템과 외부 시스템 간 필터링 기능을 수행하는 프로세스 2. 보안 정책 구현 1) 외부에서 내부로의 접근 통제 2) 내부에서 외부로의 접근 통제(허용) 3) 외부의 특정사이트로만, 특정사이트에서 접근만 허용 4) 인터넷 서비스를 선별적으로 지원 등 통제 3. 요구사항 1) 접근 통제 : - 사내넷으로부터 모든 인터넷 접속은 방화벽에 있는 프록시를 통해 발생- 디폴트로 명시되지 않은 모든 서비스는 금지 2) 보증 :- 방화벽과 프록시는 민감한 호스트로 설치- 사용자의 직접적인 로그인 방지- 정책과 구성은 정확하게 문서화, 정기적인 모니터링 3) 로깅 :- 상세 로그를 보존- 치명적 에러는 경고음 4) 가용성- 가용성을 제공하면서 이에 필요한 일(백업/복원) 수행 4. 기능 1) 접근 통.. TCP 플러딩 공격 1. 소개SYN 플러딩 공격은 TCP의 취약점을 이용한 DoS 공격 중 하나이다. 서버와 클라이언트는 신뢰성 있는 연결을 위해 Three-way Handshake의 선행과정을 이루어야 한다. 이 과정 중 악의적인 공격자는 허위의 Half-Connection을 이용하여 서버가 더 이상 정상적인 연결을 허용할 리소스가 남아 있지 않도록 만든다. 이러한 SYN 플러딩 공격이 어떻게 이루어지는지 이해하고 방어 기법에 대해 알아보고자 한다. 2. 공격 방법2.1 역사최초 SYN 플러딩의 취약점은 1994년 Bill Cheswick와 Steve Bellovin에 의해 발견 되었다. 1996년 9월에 SYN 플러딩 공격이 최초 발생했고 다양한 커뮤니티는 해당 공격의 영향을 감소시키기 위해 서로 다른 기술들을 개발하였.. DDoS 공격과 방어 메카니즘 네트워크 보안 과제로 영어로된 DDoS 공격과 방어 메카니즘에 관한 논문을 정리하였다. 버리기엔 아깝고 블로그에 정리하고자 한다.최근 다양한 분산 서비스 거부(DDoS: Distributed Denial of Service) 공격이 나타나고 있으며, 이에 대한 방어 메카니즘이 제시되었다. 그러나 공격의 복잡성과 다양성으로 인하여 방어 기법 역시 복잡해졌고 혼란스러워졌다. 효율적인 DDoS 공격 침입 탐지 및 방어를 위해 예측할 수 있는 DDoS 공격에 대한 종합적인 방어 기술 메카니즘이 필요하다. 따라서 본 블로그에서는 다양한 DDoS 공격을 분류하고 해당 방어 메카니즘을 정리하여 종합적인 방어 방법을 제시하고자 한다. 1. 개요 DDoS 플러딩 공격은 대역폭 라우터의 처리 능력과 네트워크 자원 또는 서.. 이전 1 2 다음
