19년 9월 정리

1.arp 공격

arp redirect : 라우터의 mac주소를 알아내어 공격대상(희생자)에게 자신의 mac주소가 라우터 인것처럼 속인 후, 패킷 스니핑.

switch jamming : 스위치의 arp table이 가득차게 되면 더미 허브 처럼 동작하여 받은 패킷을 브로드캐스트 해버린다. 이 점을 이용해 공격자는 스위치에 많은 mac 주소를 전송해 arp table을 채운 후, 공격대상(희생자)이 보낸 패킷을 브로드캐스트로 받아 스니핑한다.

2.패킷 단편화 계산

헤더 값 20byte.(항상 필요함)

패킷 4000byte.

MTU 1500byte.

오프셋은 페이로드/8. 누적해 계산한다.

패킷-헤더 = 3980byte

mtu - 헤더 = 1480byte (mtu도 헤더가 필요하다.)

3980 = 1480+1480+1020

packet1 = 20(헤더) + 1480(페이로드) + 0(offset)

packet2 = 20(헤더) + 1480(페이로드) + 185(offset)

packet3 = 20(헤더) + 1480(페이로드) + 370(offset)

3.ssl handshake

3way handshake를 기반으로 하기 때문에 syn, syn ack, ack로 연결을 먼저 확인한다.

다음으로 ClientHello -> ServerHello,Certificate,ServerHelloDone -> ClientKeyExchange,changeCiperSpec,Finished -> ChangeCipherSpec,Finished

과정을 거친다.

(1) 암호화 알고리즘 결정

(2) 데이터를 암호화할 대칭키 전달

위 두가지가 SSL handshake의 주 목적이다.

ClientHello

사용가능한 Cipher Suite 목록,Session ID,SSL Protocol Version,Random byte(replay attack 방지)를 전달.

Cipher Suite는 SSL Protocol Version,인증서 검증, 데이터 암호화 프로토콜, hash 방식의 정보를 담고 있다.

Server Hello

Client가 보낸 ClientHello를 처리한 후, Cipher Suite 중 하나를 선택한 후, Client에게 알려준다.

자신의 SSL Protocol Version도 전송.(1) 목적 달성

Certificate

Server가 자신의 SSL 인증서를 Client에게 전달. 인증서 내부에는 Server가 발행한 공개키가 들어있다. 이 과정으로 client는 server가 진짜인지 아닌지 구분.

Client는 이 공개키를 가지고 데이터 암호화에 사용할 대칭키(비밀키)를 생성한 후 암호화하여 서버에게 전송.

SSL 인증서를 암호화한 알고리즘, 어떤 hash 알고리즘으로 서명했는지를 전달.

Server Key Exchange / ServerHello Done

Server의 공개키가 SSL 인증서 내부에 없을 경우, Server가 직접 전달. 있을 경우 생략.

Server가 행동을 마쳤음을 전달.

Client Key Exchange

client가 certificate과정에서 받은 공개키를 이용해 대칭키를 생성해 서버에게 전달하는 과정.(2) 달성

RSA를 사용할 경우 대칭키 전달, DH의 경우 대칭키를 생성할 재료를 서로 교환한다. 각자의 재료를 합쳐 대칭키 생성.

ChangeCipherSpec / Finished

교환할 정보를 모두 교환하고, 준비가 됐음을 알림.

@전자인증서는 공개키 암호화 알고리즘을 사용한다.

4.hping 명령어

hping 명령어를 사용해 ping과는 다른 icmp 패킷을 보내거나 scanning,flooding attack,ip spoofing이 가능하다.

옵션

 -a : 출발지 ip 변경

 -c : 패킷 수 지정

 -i : 패킷 간격 지정

 -p : 목적지 포트 설정

 

# --flood : flooding  /   --rand--source : source ip를 random으로 설정

5.snort 관련 문제 간단 설명

snort는 패킷을 스니핑해 지정한 rule과 동일한 패킷을 탐지하는 침입감지 시스템.

6.tcpdump 등

tcpdump는 조건식을 만족하는 패킷을 스니핑해 헤더를 출력한다.

icmp redirect란?

라우터에는 하나의 게이트웨이가 존재하지만 필요할 경우 하나 이상을 설정해 로드 밸런싱을 할 수 있다. 로드 밸런싱 과정에서 특정 목적지 주소로 redirect하게 한다.

7.egress filtering

egress filtering은 내부 네트워크에서 외부 네트워크로 전송되는  패킷을 필터링 할 수 있는 라우터 기능. <-> ingress filtering 외부-> 내부 패킷 필터링

inbound,outbound와 헷갈림.

8.각종 scan

syn scan

 - syn 패킷을 발송해 syn/ack를 받으면 open 상태, rst/ack를 받으면 close 상태.

 - half scan, stealth scan이라고도 한다.

fin scan

 - fin을 전송하고 닫혀 있는 포트는 rst를 전송한다.

 - 포트가 개방되어 있으면 패킷을 무시한다. -> 응답이 없다.

null scan

 - 모든 플래그를 지운다. syn=0x02 , syn/ack = 0x10, ack = 0x12의 값을 가진다.

 - 포트가 닫혀 있으면 rst를 돌려보내고, 열여 있으면 무시한다. -> 응답이 없다.

x-mas tree scan = psh scan

 - 대상 포트로 fin,urg,psh 패킷을 전송한다.

 - 포트가 닫혀 있으면 rst 전송,열려있으면 무시 -> 응답이 없다.

9.오용 탐지

오용탐지는 공격자의 패턴을 저장해 패턴과 일치하면 차단.

 - false positive(오탐율 : 정상이지만 차단)이 낮고, false negative(미탐율 : 공격을 통과)

 - apt에 취약

이상탐지는 정상적인 패턴을 저장해 패턴과 다르면 차단.

 - false negative가 낮고, false positive가 높음.

 - apt에 대응가능.

10.vpn 종류

pptp vpn

 - 윈도우에서 기본적으로 제공하는 vpn.

ssl vpn

 - ssl 방식을 사용해 vpn서버와 클라이언트 간의 데이터를 암호화해 주고 받는 vpn.

 - 웹 브라우저만 있으면 사용가능

 - netscape에서 개발

 - 네트워크 기반 기술로 4~7계층에서 사용

ipsec vpn

 - 터널 모드와 전송모드가 있음

터널모드

 - 클라이언트 패킷을 중간 장비가 패킷 전체를 암호화하고 장비의 ip헤더를 붙여 서버에 전송.

전송모드

        - 패킷을 암호화해 보내고 목적지에서 복호화.end to end 보안.

L2tp vpn

 - 2계층 데이터링에서 동작.