네트워크/네트워크 보안 23

보안스위치

보안스위치 사용자 PC와 가까운 액세스 네트워크를 노리는 공격(ARP Spoofing, 좀비PC, Flooding, 외부 C&C 통신 시도 등)과 내부 Endpoint에서 발생하는 공격은 외부에서 들어오는 공격 트래픽을 방어하는 목적으로 설계된 보안장비(UTM, IPS, WAF)에서 탐지/차단하기 어려움 내부에 있는 적을 클라이언트 설치 없이 해결할 수 있는 해결책 내부 공격 포인트(랜섬에워, 피싱, 바이러스, SSL 제어, 스마트 기기, 공유기 등)를 관리 가능 정의 L2 or L3 스위칭과 보안 기능을 동시에 제공하는 액세스 스위치로 내부 네트워크를 안전하게 관리할 수 있는 장비 기능 1. ARP/IP Spoofing, Hijacking 차단 PC, VoIP 전화, CCTV 등으로 유출될 수 있는 미..

Scapy를 이용한 tcp 통신(+패킷 재전송 및 변조)

scapyscapy에 대한 자세한 설명은 아래 사이트에 나와있다.https://scapy.readthedocs.io/en/latest/Welcome to Scapy’s documentation! — Scapy 0 documentation© Copyright 2008-2020 Philippe Biondi and the Scapy community Revision 0f34ce77.scapy.readthedocs.io 3-way handshake123456789 #3 way handshake ip=IP(src="192.168.30.2", dst="192.168.30.3") syn_packet = TCP(sport=50000, dport=60000, flags="S", seq=100) synack_packet ..

Smurf Attack

* Smurf Attack-> 원리Attacker가 출발지 IP를 Victim의 IP로 Spoofing하여 ICMP Request패킷을 시스템이 아주 많은 네트워크를 Broadcast하면 해당 패킷을 받은 네트워크가 Victim에게 ICMP Reply패킷을 대량으로 보내는 공격이다. -> 대응책1. 라우터에서 Direct Broadcast를 차단한다. (대부분의 라우터에서 이미 Default로 차단되어 있다.) [실습]실습을 진행하기 전 아래와 같이 토폴로지를 구성한다. - R1 : Attacker - R3 : VictimR1이 10.1.1.0 대역으로 R3의 IP로 Spoofing한 ICMP Request패킷을 Broadcast하여 10.1.1.0 네트워크가 R3로 대량의 ICMP Reply을 받을 수..

CVE-2014-3566 (POODLE)

POODLE(Padding Oracle On Downgraded Legacy Encryption) Padding Oracle On Downgraded Legacy Encryption 그대로 해석하면 다운 그레이드 된 레거시 암호화의 패딩 오라클(특정 입력을 받아 암호화 작업을 수행하는 시스템)이다. Downgraded Legacy Encryption는 SSL3.0로 Downgrade, Padding Oracle은 SSL3.0의 블록 암호화의 패딩 검증 취약점이라고 생각하면 된다. 즉, SSL3.0 취약점(블록 암호 암호의 패딩 검증)을 이용한 암호 해독 공격이다. cve : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566 조건 1) SSL 3...

CVE-2014-0160 (HeartBleed)

HeartBleed - OpenSSL의 RFC6520 TLS/DTLS Heartbeat extension 구현이 표준을 따르지 않고 구현된 사실이 밝혀졌는데, 해당 취약점을 이용한 정보 탈취 공격이다. CVE : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160 조건 1) 영향받는 버전 - OpenSSL 1.0.1 ~ OpenSSL 1.0.1f - OpenSSL 1.0.2-beta, OpenSSL 1.0.2-beta1 2) 영항받지 않는 버전 - OpenSSL 1.0.1g - OpenSSL 1.0.0대 버전 - OpenSSL 0.9.8대 버전 원리 OpenSSL 정해진 규격의 네트워크 보안 프로토콜을 범용 라이브러리를 구현하기 위한 목적으로 만들..

Replay Attack

안녕하세요!!오늘은 HackRF One을 이용한 Replay Attack에 대해서 포스팅해보려고 합니다. ※ 틀린 정보가 있을 수 있으니 참고만 해주시길 바라겠습니다. ㅠㅠ 위의 사진은 Dork94님께 빌린 HackRF One입니다.(★흔쾌히 빌려주신 Dork94님 감사합니다.ㅠㅠ★) Replay Attack으로 위 사진의 드론이 날아갔던 경로를 그대로 재현해보려고 합니다.(★가성비 갑! 드론 추천해주신 d0ub1essh님 감사합니다!!ㅎㅎ★) 우선 드론이 사용하는 대역을 알아봅니다.이 드론은 조종기를 보시면 2.4G대역을 사용한다고 적혀있습니다. gqrx로 확인해 보았습니다.확실하지 않을 수도 있는데 제가 확인해본 바로는 조종기를 켜면 빨간색 원 안에 있는 것이 요동쳤고, 드론과 동기화를 하면 파란색 ..

hackrf & GNUradio & gqrx 설치

hackrf 설치1. hackrf 설치1apt-get install hackrfcs 2. hackrf 정보 확인1hackrf_infocs GNU Radio 설치1. GNU Radio 설치1apt-get install gnuradiocs 2. GNU Radio 실행1gnuradio-companioncs [참고]처음 GNU Radio를 설치후 실행하니 osmocom 블럭이 안 보였습니다.이경우에는 gr-osmosdr를 설치해주면 됩니다.1apt-get install gr-osmosdrcs gqrx 설치1. gqrx 설치1sudo apt-get install gqrx-sdrcs 2. gqrx 실행1gqrxcs

GNS3 설치 및 사용법

오늘은 GNS3의 설치 및 사용법에 대해서 알아보도록 하겠습니다. GNS3란?GUI 환경으로 사용자가 간편하게 이용할 수 있는 프로그램입니다. 대부분의 플랫폼(Windows, Linux, OS X)등을 지원합니다. 패킷트레이서와 비슷한 프로그램으로, 직접 가상머신과 연동하여 모의 환경을 만들 수 있다는 장점이 있습니다. GNS3 설치저는 2.1.8 버전을 설치했습니다.https://www.gns3.com/software 에 접속해서 설치파일을 다운받아 설치를 진행하면 됩니다.Wireshark도 다운받아야 합니다. https://www.wireshark.org/download.html GNS3 초기화면GNS3를 설치하고 처음 실행하게 되면 아래와 같은 화면이 뜹니다.보기 싫으시면 Don't show thi..

TCP Session Hijacking

* 세션- 두 대의 컴퓨터 간의 활성화된 상태를 말한다. * TCP 세션 하이재킹-> 개념- TCP가 가지는 고유한 취약점을 이용해 세션을 가로채는 공격이다.(즉, 로그인된 상태를 가로챈다.) -> 원리- TCP는 시퀀스 넘버가 잘못되면 이를 바로잡기 위한 작업을 하는 데, 이를 이용한다.- 서버와 클라이언트에 각각 잘못된 시퀀스 넘버를 위조해서 연결된 세션에 혼란을 준 뒤 자신이 끼어들어가는 방식이다. 1. 공격자는 ARP Spoofing을 이용하여 서버와 클라이언트 사이에서 패킷을 스니핑하고 있다가 서버에 RST패킷을 보내 서버쪽 연결을 끊는다.2. 그 후 공격자는 새로운 시퀀스 넘버를 생성하여 서버로 보낸다.4. 서버는 새로운 시퀀스 넘버를 받고 다시 세션을 연다. 5. 공격자는 정상적인 연결처럼 ..

DHCP Starvation

* DHCP Starvation-> 개념- DOS공격 기법 중 하나이다.- 공격자가 MAC Address를 계속 변경하여 DHCP Server로부터 IP를 할당받아서 DHCP Server가 보유하고 있는 모든 IP 주소를 할당받아 정작 정상적인 호스트가 IP를 할당받지 못하게 하는 방식이다.- DHCP Server는 클라이언트가 전송하는 DHCP Discover안에 있는 MAC Address만을 보고 다른 장비 임을 구분하기 때문에 공격에 성공할 수 있다. [실습 1]- 실습을 진행하기 전 아래와 같은 토폴로지를 구성해준다. R1은 DHCP Server로 동작하고 있는 상태이다. -> 실습 환경 - WinXP - BT(Attacker) -> 실습 도구 - dhcpx - 현재 XP와 BT에서는 아래와 같이..