| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 | 31 |
- 무료교육
- 확장 유클리드 알고리즘
- package-lock.json
- 마감임박
- package.json
- 호이스팅
- 한국정보보호산업협회
- 개인정보보호위원회
- Writeup
- 가명정보처리
- 유클리드_알고리즘
- 웹 프레임워크
- 한국정보보호산업협회기자단
- function scope
- pwnable.tw
- 개인정보안전성
- 개인정보보호
- 백엔드입문
- 덧셈 암호
- 동적타이핑
- 곱셈 암호
- 개인정보보호교육
- arrow function
- 한국산업인력공단
- node.js
- 포너블
- 모듈러 연산
- 백엔드
- 디오판투스 알고리즘
- 국가인적자원개발컨소시엄
- Today
- Total
짱짱해커가 되고 싶은 나
07. 네트워크 포렌식 본문
[IP]
* 정적 IP
: IP 주소가 바뀌지 않고 고정되어 있고 변하지 않는 것이다.
+ 빠른 속도
+ 안정적인 연결
- 추가 요금
- 웹 사이트가 서버가 차단되었을 경우 IP주소가 변경되지 않으므로 차단상태 지속
* 동적 IP
: 주기적으로 IP 주소를 변경할 수 있다.
ISP에 가입해 인터넷을 사용하는 경우, 가입자들이 동시에 인터넷을 사용하는 경우는 약 10% 정도로 드물다. 따라서 각 ISP는 접속할 때마다 IP풀에서 사용하지 않는 다른 IP를 배정하는 것이다. 이렇게 관리하면 IP의 개수를 낭비하지 않을 수 있다.
[네트워크 공격 기법]
* 사회공학기법
인증된 사용자가 인증되지 않은 사용자에게 민감한 정보를 누설하도록 만드는 공격으로 기술과 사람의 취약점 모두를 활용할 수 있는 혼합 공격이다.
* DDoS(분산 서비스 거부 공격)
침해된 수 많은 컴퓨터를 사용해 단 하나의 시스템을 공격하여 많은 양의 트래픽으로 마비시키는 공격이다.
이렇게 공격하는 컴퓨터들을 botnet이라고 부르며 이는 zombies로 불리는 여러 대의 침해된 컴퓨터로 이루어져 있다.
* spoofing
스푸핑은 도청만 하는 스니핑과 달리 스푸핑은 더 나아가 정보를 위조, 삭제 할 수 있는 능동적 공격이다.
스푸핑 대상은 MAC주소, IP주소, 포트 등이 있다.
ARP 스푸핑을 예로 보면, ARP 테이블이 동적으로 유지되는 점을 이용한다. 피해자와 웹서버는 게이트웨이를 거쳐 통신하는데 공격자가 피해자에게 거짓된 정보로 ARP reply하면 피해자의 ARP 테이블의 게이트ip의 mac주소를 공격자의 mac주소로 바꿀 수 있다.
* 중간자 공격(MITM: Man in the middle attack)
사용자 사이에 공격자가 껴서 사용자가 하는 통신을 변경, 모니터, 삭제, 위장 할 수 있는 공격이다.
사용자A <-> 공격자 <-> 사용자B
* 풋프린팅, 핑커프린팅
공격자가 열려있는 포트나 서비스를 스캔하는 자동화 작업이다.
[네트워크 보안 툴]
* 방화벽
네트워크의 게이트웨이 서버에 위치하여 다른 네트워크 사용자로부터 사설 네트워크의 자원을 보호한다. 방화벽은 송수신되는 네트워크 패킷을 조사한 다음 트래픽을 허용할지 않을지를 결정하는 필터링 역할을 한다.
* 침임 탐지 시스템
네트워크에서 공격 패턴이나 일상적이지 않은 시스템 또는 사용자 활동을 모니터링하여 침입을 탐지한다.
ex) snott - 네트워크를 스니핑해서 실시간으로 모니터링하고 잠재적인 문제가 식별되면 경고를 보냄.
[네트워크 침해 대응]
침해대응 단계 : 준비 - 예방 - 탐지/분석 - 봉쇄/박멸/복구 - 사후활동
준비) 준비를 할 때 선택할 수 있는 단계 중에는 계획, 정기적으로 네트워크의 방어 수준 평가, 테스트, 취약점 식별 등이 있다. 예방책으로는 패치 시스템을 최신으로 유지하고, 사용자 인식 개선 및 교육 등이 있다. 이처럼 잘 계획된 정책과 지침은 좋은 준비가 될 수 있다.
탐지/분석) 공격을 탐지하는 것은 굉장히 어렵다. 이를 돕기 위한 방법은 분석을 통해 적절한 결론을 도출하는 것이다. IDS는 많은 거짓 양성 경과를 보여준다. 따라서 정확하게 데이터를 분석할 수 있어야한다. 이처럼 의심스런 활동을 잘 식별하기 위해서는 일상적인 네트워크의 데이터나 활동이 어떤 것인지 확실하게 인지하고 있어야한다.
봉쇄/박멸/복구) 침해가 발생하면 피해를 최소하하기 위한 통제가 필요하다. 침해의 종류에 따라 어떻게 봉쇄하는지가 다르다. 그리고 봉쇄 된 후 잠재적으로 위험한 요소들을 재거해야한다.
사후활동) 침해사고 후에 사고에 대해 검토하여 예전에 놓쳤던 부분이 있는지 확인하고 개선할 부분을 찾는다.
[네트워크 증거]
보통 네트워크 경로를 거쳐 공격대상에게 접근하기 때문에 그 경로에 증거가 있을 가능성이 높다.
이런 증거는 공격자를 추척/식별 하는데 매우 핵심적이다.
* 네트워크 경로에 있는 장비 ex)라우터, 서버
* 로그 파일 (인증, 프로그램, 방화벽, 라우터, 운영체제 등)
- 인증 로그
: 특정 이벤트와 연관 있는 계정 식별
- 프로그램 로그
: 날짜/시간/프로그램 식별자 기록
- 운영체제 로그
: 시스템 재부팅, 사용한 기기 등 추적
- 라우터 로그
: 요청된 url, 서버 이름, 서버 ip, 클라이언트 이름, 클라이언트 ip, 누가 로그인을 언제했는지 등의 정보 저장
라우터에서 증거를 수집할 때는 라우터에 최대한 영향을 주지 않아야 하기 때문에 라우터에 접속하는 대신 라우터의 콘솔에 직접 접속하는 것이 좋다. 또, 데이터를 잠재적으로 변조시킬 수 있는 명령어는 피해야한다.
[네트워크 조사 툴]
스니퍼 : 네트워크에서 돌아다니는 트래픽을 캡처하고 분석할 수 있는 툴
'forensic' 카테고리의 다른 글
| 08. 휴대기기 포렌식 (0) | 2021.02.17 |
|---|---|
| [Suninatas] 30 writeup (0) | 2021.02.17 |
| [one_data_one_zip] writeup (0) | 2021.02.12 |
| [board] writeup (0) | 2021.02.12 |
| [Timisoara CTF 2019 Quals] Tri-color QR writeup (0) | 2021.02.12 |
