![]()
Port scan 공격과 패킷 분석 공격 순서 ① 정보 수집을 통해 target 선정 작업 ② target을 선정하여 취약점을 점검 ③ 취약점 공격 (파괴, 데이터 유출, 도청) ④ 로그 삭제 ⑤ 백도어 port scan : 공격방법을 결정하거나 공격에 이용될 수 있는 네트워크 구조, 시스템이 제공하는 서비스 등의 정보를 얻기 위해 수행되는 방법 -> 공격 대상 보안 장비 현황 / 우회 가능 네트워크 구조 / 시스템 플랫폼 형태 / 시스템 OS의 커널 버전 종류 / 제공 서비스 종류 등을 알 수 있음 -> 직접적으로 공격을 하는것은 아니나 공격 전에 사용되어 수동적 공격이라 할 수 있음 -> 징후는 단시간에 SYN 패킷이나 RST+ACK 패킷이 많다 nmap (network mapper) - 스캔 도구 ..
![]()
Wireshark 캡쳐 필터 - 수집하기 전부터 조건을 둬 수집을 제한 - 지정된 표현식에 포함 / 제외된 패킷만 캡쳐 캡쳐 필터 입력 방법 -> 예시 - 특정 IP 주소에서 오는 트래픽 수집 ① host 10.3.1.1 -> 해당 ip주소 송/수신지 구분 없이 수집 ② scr host 10.3.1.1 -> 해당 ip주소가 송신지 일때만 수집 ③ dst host 10.3.1.1 -> 해당 ip주소가 수신지 일때만 수집 ④ not host 10.3.1.1 -> 해당 ip주소 제외하고 수집 - 특정 IP 주소범위에서 오는 트래픽 수집 ① net 10.3.1.0/16 -> 해당 대역에 속하면 송/수신지 구분 없이 수집 -> net 10.3.1.0 mask 255.255.0.0 같은 의미 ② scr net 10..
![]()
Ethernet Ethernet Frame - 5번째 2byte에 어떤 필드가 오는지에 따라 frame 종류가 달라짐 ① Type -> DIX Frame (host) ② Length -> IEEE 802.3 Frame (장비) ICMP ICMP - 3계층 프로토콜 - IP의 단점을 보완하기 위해 사용 -> IP는 신뢰성이 없는 비연결형 프로토콜이고 에러 발생 원인이나 진단 기능 및 상황정보를 지원하지 않음 메시지 종류 ① 오류보고 메시지 : IP 패킷 처리 도중 발생한 문제를 보고 ② 질의 메시지 : 다른 호스트로 부터 특정 정보 획득하고 네트워크 문제를 진단 ICMP Header -> 총 8byte로 구성 - Type : ICMP가 어떤 용도인지 알려줌 - Code : Type의 세부 내용을 나타내며 ..
![]()
TCPTCP Header- Data 필수는 아님- HLEN : 가변적(20~60 바이트) -> 헤더의 길이를 기입하여 Data 구분- Sequence Number : 데이터의 번호- Acknowledgment Number : seq + 데이터의 길이 => 신뢰성 보장- Flag ① urg : 우선적으로 데이터 보내고 싶을때 사용 -> urg가 1이면 sequence number가 아니라 urgent pointer 확인 ② ack : 3 way handshaking -> 패킷을 잘 받았다는 응답 flag ③ psh : payload된 데이터가 MMS보다 작아도 그냥 전송 ④ rst : 비정상 종료 ⑤ syn : 3 way handshaking -> 연결 요청 flag ⑥ fin: 3 way..
