비니화이팅

* ARP Spoofing-> 개념- ARP 프로토콜을 이용하여 동일 네트워크에 존재하는 두 Victim의 ARP 테이블에서 두 Victim의 IP에 대한 MAC주소를 Attacker자신의 MAC주소로 바꾸는 공격이다. [실습1]-> Victim2의 Mac Address를 Attacker의 MAC Address로 바꿔본다. -> 실습 환경 - Victim1 : WindowsXP ( IP : 10.10.10.10, MAC : 00-0C-29-9A-9E-2E) - Victim2 : Windows2000Server ( IP : 10.10.10.20, MAC : 00-0c-29-08-36-e9) - Attacker : BackTrack ( IP : 10.10.10.30, MAC : 00-0c-29-9d-96-3..

* 스니핑(Sniffing)-> 개념-> network 환경에서 돌아다니는 data를 몰래 도청하는 행위이다.-> 정보자산의 기밀성을 저해한다.-> 수동적 공격(Passive Attack)에 속한다. -> 대응 방안1. 암호화 기능 및 보안 프로토콜을 사용한다.2. 스니퍼 탐지 도구를 이용한다. [Promiscuous mode]-> 호스트 PC는 목적지가 자신인 패킷만 받도록 Filtering하는데 이 Filtering기능을 끄고 모든 패킷을 받을 수 있는 mode이다.-> Promiscuous mode로 설정하려면 root권한이 필요하다.

* 허브 환경 - 실습 환경 : WindowsXP( IP : 10.10.10.10) - 실습 환경 Windows2000Server( IP : 10.10.10.20) - 실습 환경 BackTrack( IP : 10.10.10.30)-> Windows2000Server에서 WindowsXP에게 Ping을 보낼 때 해당 패킷이 BackTrack에서 보이는지 확인해본다.(VM ware는 default로 hub환경이다. wireshark도 기본적으로 promiscuous mode로 설정되어 있다.) - Windows2000Server에서 WindowsXP로 Ping을 보낸다. - 이를 BackTrack에서 확인해보면 패킷이 보인다. * 스위치 환경 - 실습 환경 : WindowsXP( IP : 10.10.10.1..

* 장비-> 허브=더미허브(1계층)- 단순히 중계기 역할을 한다.- 들어오는 신호의 송신지와 수신지를 구별하지 못한다.- 들어오는 모든 신호를 브로드캐스트한다.- 내부 연결 통로(버스)를 공유한다.- 버스를 공유하여 충돌이 발생한다. 따라서 다시 통신을 시도해야 한다.- 10M의 대역폭을 가진 허브에 컴퓨터가 5개 연결돼있다면 각 포트에 할당되는 대역폭은 10/5M이다.Collision DomainBroadcast Domain분할X분할X -> 스위치=스위치허브(2계층)[허브와의 비교]- 내부에 메모리를 가지고 있어 각 포트에 연결돼있는 컴퓨터들의 MAC주소를 기록한다.- 들어오는 송신지의 수신지를 구별한다.- 해당 목적지로만 신호를 전달한다.- 각 포트별로 상대 포트로 향하는 독립적인 통로(버스)를 가지..

구글 연산자 사용법 intitle 웹 페이지의 제목 내에서 검색 intitle:"index of" htpasswd.bak intitle:"index.of.etc" passwd "index of /backup" intitle:"index of" .bash_history intitle:admin intitle:login intitle:index.of.secret inurl url 내에 포함된 정보로 검색 inurl:admin site 특정 사이트 내에서 검색 site:co.kr filetype 파일 종류 내에서 검색 filtetype:pdf link 링크 정보 검색 link:www.xxx.or cache 구글 캐쉬 정보 검색 gcache:www.xxx.co.kr 예시

* httprint- 웹 서버를 핑거프린트하기 위해 사용한다.- 웹 서버 버전과 형태를 인식하기 위해 시그너처 데이터베이스를 사용한다.- 저장된 시그니처 집합에 존재하는 웹 서버만 식별 가능하다.- 시그니처 DB에 없는 웹 서버를 테스트할 때에는 가장 유사한 웹 서버 내용을 보여준다.- 테스트 PC와 서버 사이에 웹 프록시가 없어야 한다.- ICMP 패킷을 막았다면 테스트가 불가능하다. - input file : 공격 대상 - Signature File : 정보 비교해서 분석할 시그니처 파일 - Report File : 결과를 반환하는 형식 지정 load - 화살표- input파일에 공격대상 서버 주소를 적어준다. - Load후 화살표 버튼을 누른다. - 완료되었다는 창이 뜬다. - httprintout..

* nc (netcat)- 네트워크를 통해 데이터 입출력이 가능한 프로그램이다. http://www.sis.pe.kr/891

nmap아래의 홈페이지에서 다운로드 받을 수 있다.https://nmap.org/ - profile : scan option 이다.(대부분 Intense scan 사용)- command : profile에서 옵션을 지정하면 그에 맞게 바뀐다. 옵션

well-known-port - 주로 서버가 쓰는 포트: 0~1023 registered: 1024~49151 dynamic- 주로 클라이언트가 쓰는 포트(이 중에서 랜덤하게 포트번호가 선택되어 열림): 49152~65535 응용계층 서비스서비스명포트번호프로토콜echo7UDP/TCPdaytime13UDP/TCPFTP(데이터 채널)20UDP/TCPFTP(제어 채널)21UDP/TCPTelnet23TCPSMTP25UDP/TCPDNS53UDP/TCPDHCP(BOOTP서버)67UDPDHCP(BOOTP클라이언트)68UDPTFTP69UDPHTTP80TCPPOP3110TCPNTP123UDP/TCPSNMP161UDPHTTPS443TCP

traceroute(리눅스)/tracert(윈도우)- 종단 노드 사이에 있는 여러 중계 노드 각 구간에 대한 네트워크 상태를 관리한다.- IP주소나 URL로서 목적지를 입력하면 각 구간마다 지나는 게이트 웨이 컴퓨터 이름이나 주소,걸리는 시간등을 표시한다.- 각 구간에 대한 접근성 및 네트워크 속도를 검사한다.- 경로상의 문제점이 있는 네트워크를 파악할 수 있다.- ICMP Time Exceeded메시지와 ICMP Destination Unreachable메시지를 이용한다.- 기본 옵션으로 실행시 각 구간별로 3번의 UDP패킷을 전송하고 응답속도를 보여준다. 1. 각 중계 노드 구간에 대한 상태를 측정하기 위해 IP의 TTL필드를 1로 설정한 UDP패킷을 보낸다.2. 라우터는 패킷의 생존기간을 계산하기 ..