Engineer information security
-
IPv6 주소란?Engineer information security 2021. 1. 21. 03:39
현재의 IP주소인 IPv4는 주소가 고갈될 것을 계산하지 않은 상태로 만들어졌다. 하지만 실제로는 각 장치별로 IP를 부여받게 되면 IP가 부족할 수 있는 상태가 되었다. 그리고 그 대안중 하나가 NAT(Network Address Translation, 네트워크 주소 변환)이고, 실제로 NAT를 사용하지 않는 네트워크 망은 없을 것이다. IP가 고갈되는 것을 해결하기 위해 나온 것이 IPv6 주소이다. IPv4는 8비트씩 4자리. 즉, 32비트로 구성되어 있고, IPv6는 16비트씩 8자리. 즉, 128비트로 구성 되어 있다. 그리고 IPv6의 사용 가능한 주소는 2의 128승으로 거의 무한대에 가까운 주소를 사용할 수 있다. IPv6는 IPv4와 다르게 Broadcast가 존재하지 않는다. IPv6는..
-
HULK DoS 공격 이란?Engineer information security 2021. 1. 19. 03:42
HULK DoS 공격은 HTTP GET Flooding 공격과 마찬가지로 다량의 GET 요청을 발생시킨다. 하지만 약간의 차이점이 존재한다. 바로 공격 대상의 웹 페이지를 변경하면서 공격한다. 이러한 공격이 생겨난 이유는 HTTP GET Flooding 공격은 한계가 분명하다. 동일한 페이지에 다량의 GET 요청은 임계치 DoS 장비에 의해 쉽게 막힐 것이다. IP 역시 동일한 주소로 계속 공격이 들어올 것이기 때문에 IP로 차단당하게 될 수도 있다. 지속적으로 URL을 변경함으로써 DoS 방어 장비의 임계치에 걸리지 않고 지속적으로 웹 서버의 자원을 소진시킨다. 이 경우 DoS 방어 장비도 정상적인 방어가 불가능할 수도 있다. 그림을 통해서 확인해보면, GET Flooding과 다른 점은 GET 요청 ..
-
HTTP GET Flooding 공격이란?Engineer information security 2021. 1. 19. 03:17
HTTP GET Flooding 공격은 DoS(Denial of Service) 공격의 일종으로, 대량의 HTTP GET 요청을 발생시켜 해당 게시물이 존재하는 웹서버의 자원을 소진 시키는 공격이다. 포인트는 동일한 컨텐츠에 대해 공격한다는 것이다. 간단하게 HTTP 데이터 요청 방식에 대해서 설명하면, HTTP는 데이터를 요청할 때 GET 방식 / POST 방식 두 가지 방식으로 요청하게 되는데 GET의 경우 쿼리스트링(URL에 요청 값이 표기됨)을 이용하여 요청하게 되고 POST의 경우 HTTP BODY부에 메시지를 담아 요청한다. 이 공격은 GET방식을 이용한다. 그림으로 보면 매우 쉽게 이해가 될 것이다. 공격 순서 1. 다수의 감염된 좀비PC에게 C&C 서버는 HTTP GET Request 명령..
-
윈도우 계정 취약점 확인 및 보안설정Engineer information security 2021. 1. 16. 03:34
윈도우 계정관리는 GUI에서 설정할 수 있어서 매우 편리하다. 모든 것을 다 GUI로 할 수는 없지만 많은 부분을 처리할 수 있다. 시험 보기 전 연습문제를 풀어보면 윈도는 GUI 화면 이미지를 보여주는 경우가 대부분이다. 그래서 문제에 나올법한 이미지를 기억하는 게 좋다. 윈도우 계정의 취약점에는 무엇이 있는지 알아보자. 1. Administrator 계정명 사용 확인 컴퓨터 OS 설치시 관리자의 기본 계정으로 Administrator 계정이 존재할 수 있다. 왼쪽 하단의 검색 > lusrmgr.msc(로컬 사용자 및 그룹)을 실행한다. 실행 후 계정 목록에서 Administrator 계정이 보인다면 취약한 것이다. 취약한 이유는 이 계정은 어느 컴퓨터든지 생성되어 있을 수 있고, Administrat..
-
TCP SYN Flooding 공격 이란?Engineer information security 2021. 1. 15. 03:28
TCP SYN Flooding 공격은 DoS 공격의 한 종류이며, TCP의 연결과정(3Way Handshake)에서 취약점을 이용하여 공격한다. 이 공격을 당하게 된다면 TCP의 연결 가능한 자원을 모두 소진하게 되고, 외부 사용자는 TCP 연결을 할 수가 없게 된다. Backlog Queue는 서버가 접속자(Client or Hacker)의 연결 요청을 대기할 때, 요청 정보를 저장하는 공간이다. 만약 정상 연결이 되었다면(ESTABLISHED), Backlog Queue 공간에서 연결 요청정보가 삭제되어 공간은 계속 유지된다. 하지만 연결 과정이 중간에 정상적으로 진행되지 않는다면 정보가 계속 Backlog Queue에 남아 있게 되고 계속 적으로 연결요청 대기 Queue가 쌓이면 Backlog Qu..
-
Linux log 파일 종류와 저장 정보 확인하기Engineer information security 2021. 1. 13. 03:59
리눅스는 로그 파일 종류와 저장 위치를 묻는 문제는 종종 등장한다. 자주 쓰는 명령어는 습관적으로 사용하다 보면 기억할 수 그건 일부분이고 모두 외울 수는 없다. 하지만 시험 볼 때는 뭐가 나올지 알 수 없기 때문에 최대한 익숙해지고 외우려고 노력해야 한다. 리눅스의 파일 종류와 무엇을 저장하는 로그인지 알아보자. 로그의 의미? 시스템이 동작한 기록을 남기는 것이다. 예를 들면 오류, 성공등 실행의 흔적을 남기고 그것을 확인하며 문제를 해결하는데 쓰이기도 한다. 문제 해결에 아주 중요한 시스템 동작 기록이다. 로그 설정 파일? Linux는 /etc/rsyslog.conf 에서 로그의 종류를 지정하고, 어떤 활동이 어떤 레벨에서 기록 될 것인지 설정한다. 로그 레벨? 위험도 순으로 우선순위가 결정 되고 그..
-
UDP / ICMP Flooding(DDoS) 공격 이란?Engineer information security 2020. 12. 13. 04:39
UDP(ICMP) Flooding 은 DDoS 공격의 한 종류이다. 두 개의 공격은 공격 방식이 같지만 UDP 프로토콜을 사용하는지 ICMP를 사용하느냐의 차이만 존재한다. 한마디로 정의하면 공격자가 출발지(Source) IP를 Spoofing 하여 목적지로 다량의 패킷을 전송하여 목표물의 대역폭을 소진하는 공격이다. 만약 목표물이 서버라면 서버의 대역폭을 소진하여 서버를 사용하는 이용자들이 접속 장애 또는 느려짐 현상을 겪게 될 것이다. DDoS 공격은 다량의 좀비 PC(봇)를 확보하면 할수록 더욱 강력한 공격을 진행할 수 있다. 따라서 많은 봇을 확보한 공격자가 어떤 목표를 공격한다면 상당히 위협적이고 심각한 피해를 입힐 수도 있다.
-
DDoS(Distributed Denial of Service) 공격 이란?Engineer information security 2020. 12. 11. 03:30
DDoS 공격은 다수의 PC(좀비 디바이스 또는 봇)를 이용하여 목표물의 시스템 또는 가용성 등을 마비시키는 공격이다. 이 공격을 진행하기 위해서 4가지 필수 조건이 필요하다. 4가지 필수 조건에 해당하는 것은 공격자(마스터) / 다수의 PC(좀비 디바이스 또는 봇) / 명령을 전달하는 서버(C&C) / 목표물이다. C&C는 Control & Command의 약자이다. 간단하게 4가지 필수조건을 설명하면 - 공격자(마스터) : 서버(C&C)에 공격 명령을 지시한다. - 서버(C&C) : 공격자에게 전달 받은 명령을 다수의 PC(좀비 디바이스 또는 봇)에 전달한다. - 다수의 PC(좀비 디바이스 또는 봇) : 목표물에게 직접 공격을 가한다. - 목표물 : 공격을 당하는 시스템을 말한다. 공격자는 공격을 지..