Network Hacking (23) 썸네일형 리스트형 34~35일차] Carving & Signature + 문제풀이 파일 카빙(Carving) 저장 매체에 저장된(하드디스크/패킷파일 등) 바이너리 데이터로 부터 파일의 고유한 시그니처, 구조체, 헤더 정보등을 확인하여 파일을 복구하는 방법 시그니처 (Signature) 각 파일은 구분하기 위해 데이터의 여러 위치에 시그니처 정보가 있다. 데이터 가장 앞에 있는 시그니처를 헤더 시그니처라고하며, 데이터 가장 마지막에 있는 시그니처를 푸터/트레일러 시그니처라고 한다. 시그니처 기반 카빙 파일별로 존재하는 고유한 시그니처를 이용한 카빙이다. 시그니처 파악하는 방법 샘플 파일 : 1. 리눅스 명령어 중 file --> 파일의 시그니처를 알려준다 2. HxD Tool을 이용한다. # 다운로드를 받고 그냥 스그니처 파악하기 위하는 파일을 드래그해서 옮기면 된다. 앤이 보석금으로 .. 33일차]Port Scanning => TCP Open Scan, Stealth Scan(Half Open Scan, XMAS, NULL, FIN), UDP Scan NMAP?? NetworkMap(네트워크지도)의 약어로 네트워크에 연결되어있는 호스트의 정보를 파악하는 도구이다. 다음과 같은 정보를 얻을 수 있다. - 네트워크에 연결되어있는 호스트들의 IP와 OS 종류 - 서버의 열린 포트 - 서비스하는 소프트웨어의 버전 정보 공격자는 위의 정보를 시스템 침투에 활용하며, 방어자는 불필요한포트가 열려 있는지, 불필요하게 노출되는 정보가 있는지를 점검할 수 있다. [NETWORK-A] #> yum -y install nmap ※ Nmap Port Status open - 스캔된 포트가 Listen 상태임을 나타낸다. closed - 포트 스캐닝을 한 시점은 listen 상태가 아님을 나타낸다. filterd - 방화벽이나 필터에 막혀, 해당 포트의 open/close여.. 31~32일차] HTTP Packet analysis, HTTP GET FLlOODING, HTTP Slow Read Server-A [웹 서버] (10.10.10.10) #> yum -y install httpd #> vi /var/www/html/index.html // 홈디렉터리에 간단히 NETWORK-A 출력해주는 html파일 작성 Server-B [클라이언트] (10.10.10.20) #> yum -y install elinks // 웹 브라우저 설치 #> elinks 10.10.10.10 // 웹 서버 접속 # 결과 : 서버가 클라이언트의 요청에 따라 응답을 해주는 것을 확인 할 수 있다. 이제 이 과정을 wireshark로 캡쳐해 보자. ※ HTTP transaction : 웹 브라우저가 웹 서버에 하나의 요청을 보내고 웹 서버가 요청을 처리하여 응답을 전송하는 한 번의 과정을 트랜잭션이라고 한다. 1). .. 30일차] Brute Force Attack (Ditionary) Hydra vs MSF + TFTP Brute Force Attack Tool 사전기반 Brute Force를 할 것이고 > > > yum -y install epel-release #> yum localinstall hydra-7.5-1.el6.x86_64.rpm ※ 실행 ...(중간생략) # 각각의 옵션은 다음을 뜻한다. - l : 계정명 - V : 진행과정 출력 - f : 계정 및 패스워드 발견 시 종료 - p : 패스워드 ※ 위의 과정을 Wireshark로 캡쳐 # hydra의 한 세션의 과정을 캡쳐해보면 위와 같다. # hydra와 같은경우는 ftp의 세션연결 제한을 피하기위해서 한 세션에서 brute force attack을 3~4번 시도를 하고 마지막에보면 RST 패킷을 보내서 세션을 비정상적.. 27~29일차] FTP 패킷 분석 FTP 파일 전송 프로토콜(File Transfer Protocol)의 약자로 TCP/IP 네트워크 상에서 컴퓨터들이 파일을 교환하기 위해 1971년에 최초로 공개된 통신 규약이다. 네트워크에 연결된 컴퓨터끼리 데이터를 원활하게 교환하기 위한 목적으로 개발되었다. 파생형으로 TLS 프로토콜과 결합한 FTPS, SSH 프로토콜과 결합한 SFTP가 있다. FTP와 FTPS는 보통 제어용으로 21번 포트 및 데이터 전송용으로 20번 포트를, SFTP는 보통 22번 포트를 쓰며 FTPS와 SFTP는 보안 전송이라는 특성 상 FTP보다 파일 전송 속도가 느린 편이다. [위키 백과] vsFTP Cris Evans에 의해 개발된 GPL기반의 FTP서버로 매우 안정적이면서 빠른속도와 강력한 보안기능을 제공하는 프로그램.. 25~26일차] DNS DNS?? - DNS는 도메인 네임을 IP주소로 매핑해주는 서비스이다. [DNS 서버 구성 실습] NETWORK-A( 10.10.10.10 ) 1). #> vi yum -y install bind* 2). #> vi /etc/named.conf (다음 빨간 박스 부분을 바꿔주면 된다. ) # 11행 : 53번 포트에 접속을 허용할 IP주소를 작성 # 12행 : IPv6 연결은 허용하지 않는다. # 17행 : 모든 클라이언트에 질의를 허용하겠다는 뜻. # 38행 : named.ca --> 최상위 루트 도메인을 찾아가기 위한 파일 ( 13행에 directiory의 기본 경로가 있기 때문에 파일명만 명시되어 있다.) # 41행~ 44행 : 해당 DNS서버가 관리하는 도메인 영역을 정의 기본 디폴트 경로를 가서.. 24일차] DHCP 패킷분석 위키 백과에 DHCP에 대한 자세한 정보를 보며, DHCP 동작 과정 살펴보기. https://en.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol. 1). DHCP Discover : Client가 브로드캐스드를 통해 DHCP 서버를 찾는 과정 2). DHCP Offer : DHCP Server가 지정한 Ip주소를 사용할 것이냐고 제안하는 과정. 에 메시지에는 클라이언트의 MAC주소, 서버가 제공하는 IP주소, 서브넷 마스크, 임대 기간 및 쿠폰을 제공하는 DHCP 서버의 IP 주소가 포함됨. 3). DHCP Request : Offer에 대한 응답. 4). DHCP ACK : DHCP 서버가 클라이언트로부터 DHCP Request를 받으면 DHCPPA.. 23일차] wireshark 캡쳐 패킷 분석 IP를 10.10.10.40으로 변경하고 이를 wireshark로 확인해 보자. # 결과를 보면 0.0.0.0최초에 10.10.10.40이 있는지 확인하기위해 Broadcast를 통해 확인한다. 그리고 없는 것을 확인 한 후 IP를 할당 받고 다시 Gratuitous ARP로 확인하는 것을 볼 수 있다. [문제 난이도: easy] 같은 사무실에 근무하는 barry와 bath는 최근에 컴퓨터를 교체하였다. 그러나 인터넷이 되질 않아서 패킷을 덤프해 본 결과 다음과 같았다. 왜 인터넷이 되질 않았는지 확인해보고 트래픽을 보고 이유를 파악 해보자. 누구의 컴퓨터가 인터넷이 되지 않고 왜 안되는지 확인하고 이유는를 적어본다. ※호스트 한 곳에서 덤프했기 때문에 물리주소가 같을 수 있다. 1). berry com.. 이전 1 2 3 다음
