방화벽 방화벽은 트래픽을 모니터링해 허용하거나 차단하는 경계 방어 툴이다. 시간이 지나면서 방화벽 기능도 다양화되어 현재 대부분의 방화벽은 알려진 위협을 차단하고 고급 접근 제어 목록 정책을 실행할 뿐만 아니라 트래픽의 개별 패킷을 심층 조사하고 패킷을 테스트해 안전성 여부까지 확인할 수 있다. 기능 접근 제어(Access Control) : 방화벽의 가장 기본적이고 중요한 기능으로 내부로 들어오는 패킷이나 외부로 나가는 패킷에 대해 허용하거나 차단한다. 구현방법에 따라 패킷 필터링 방시과 프록시 방식으로 나뉜다. 주소변환(Network Address Translation) : 내부 네트워크에서 사용하고 있는 사설 IP를 공인 IP로 변환하여 부족한 공인 IP 주소 부족 문제를 해결하는 동시에 내부 네트..
Whois 후이즈(WHOIS)는 도메인 이름, IP 주소, 자율 시스템 등 인터넷 자원의 소유자와 범위를 검색하기 위한 통신 프로토콜 및 ICANN이 관여하는 도메인 관리 프로그램 Whois는 전세계적으로 모든 국가에는 ISO3166-1에 지정한 2문자로 된 국가코드가 부여되어 있다. whois에서 얻을 수 있는 정보는 다음과 같다. 1. 등록 , 관리 기관 2. 도메인 이름, 도메인 관련 인터넷 자원 정보 3. 목표 사이트 네트워크주소와 ip주소 4. 등록자, 관리자, 기술 관리자의 이름 및 연락처, 이메일 계정 5. 레코드 생성 시기와 갱신 시기 6. 주 DNS서버와 보조 DNS서버 7. IP 주소의 할당 지역 위치 Hosts 호스트 이름에 대응하는 IP 주소가 저장되어 있어서 도메인 이름 시스템(D..
OSI 7계층 물리 계층(Physical layer) 7계층 중 최하위 계층 주로 전기적, 기계적, 기능적인 특성을 이용해 데이터를 전송 어떤 에러가 있는지 등 그런 기능에는 전혀 관여하지 않음 신호로 변환하여 전송하는 계층 단위 - bit, 대표 장치 - Hub 데이터링크 계층(Data link layer) 물리 계층에서 송수신되는 정보의 오류와 흐름을 관리하여 안전한 정보의 전달을 수행할 수 있도록 도와주는 역할 포인트 투 포인트(Point to Point) 간 신뢰성 있는 전송을 보장하기 위한 계층 오류나 재전송하는 기능을 갖고 있음 맥 주소(MAC address)가 정해져 있음 물리적 매체에 패킷 데이터를 실어 보내는 계층 - 환경에 맞는 다양한 통신 프로토콜 지원 단위 - frame, 대표 장치..
패킷 분석 실습 ( HTP 2012) L1 Q. ARP_Spoofing에 의해서 나의 아이디와 패스워드가 유출되다! EQ. ID and Password of mine were leaked by ARP Spoofing! ** key is AttackerMacaddress_VictimPassword [풀이] 문제 파일을 열면 다음과 같은 화면이 뜬다. ARP(Address Resolution Protocol) packet이 보인다. 패킷을 잘 살펴보면 attacker의 MAC address가 보인다. MAC address는 00:0c:29:f3:21:ad이다. 다음으로 유출된 아이디와 비밀번호를 찾아야 한다. 패킷 필터링을 하는데 다음과 같이 필터링 한다. eth.addr == 00:0c:29:f3:21:a..
네트워크 기본구조 허브 전기적인 신호를 증폭시켜 LAN의 전송거리를 연장시키고, 여러대의 장비를 LAN에 접속할 수 있도록 함. IP를 할당하는 기능이 없고, 단순히 포트를 늘려주는 기능 허브의 두가지 기능 멀티포트는 한번에 많은 디바이스를 연결할 수 있는 기능으로, 만약 허브가 없다면 디바이스는 두 대만 연결 가능 리피터 같은 경우에는 전기적인 신호를 증폭시켜 들어온 데이터를 재전송 한다는 의미. 리피터 기능을 사용하면 LAN의 최대 전송거리도 연장되고, 접속할 수 있는 장비의 수도 많아짐. 허브 이미지에서 허브는 연결된 모든 디바이스에 데이터 프레임을 전송 하나의 디바이스가 프레임을 전송하면 모든 장비와 충돌이 발생할 수 있으므로 허브에 접속된 모든 장비들은 하나의 충돌 영역에 있다고 함 스위치 네트..
ret2sc를 실행시켜 보자 이름을 입력받고 최선을 다하라고 한다. 보호기법이 무엇이 있는지 확인해보자 깔끔하다 이제 IDA로 뜯어보자 s의 크기는 ebp-14h로 알수 있다. 즉, s의 크기는 20바이트이다. name의 경우에는 read함수를 통해 50바이트까지 입력받을 수 있다. 그리고 gets함수를 통해 s에 길이 상관 없이 입력받을 수 있다. 여기서 취약점이 발생할 수 있다. name의 주소를 살펴보자 전역변수 name의 주소값은 0x0804A060이다. name변수에는 shellcode를 저장하고 gets함수로 payload를 전달해서 return address 영역에 &name을 저장하면 ret 명령어를 통해 쉘코드를 실행할 수 있다. main함수의 첫번째 명령어는 0x080484cd이고 이는..
