침입탐지 및 차단시스템7 9. 스노트 기본 문법 우분투에 TCP dump라는 도구를 설치한다. TCP 덤프는 커맨드 라인에서 사용할 수 있는 와이어샤크와 같은 도구이다. 9 (참고로 와이어샤크는 패킷캡쳐 도구) 그 다음 칼리 리눅스에서 hping3 [우분투의 ip주소] --icmp 명령을 입력해, ICMP 요청을 보낸 뒤 우분투로 간다. 위와 같이 우분투에서 tcpdump -e icmp[icmptype] == 0 -v 명령어를 입력한다. 이는 우분투 운영체제에서 칼리리눅스 운영체제로 ICMP 응다을 보내는 패킷만 출력해서 볼 수 있는 명령어이다. 하지만 TCP dump가 아닌 스노트를 이용하면 상대방으로부터 ICMP 요청이 들어오는 상황을 더 잘 탐지할 수 있다. 위와 같이 /etc/snort/rules/local.rules라는 탐지 규칙을 생성해준다.. 2021. 5. 7. 8. 스노트 설치 및 설정 www.snort.org/ Snort - Network Intrusion Detection & Prevention System With over 5 million downloads and over 600,000 registered users, it is the most widely deployed intrusion prevention system in the world. www.snort.org 스노트는 대표적인 호스트 기반의 IDS 방식이다. 오픈소스 방식으로써, 위 사이트에서 무료로 다운로드 받을 수 있다. 스노트는 서명 기반 방식으로 동작한다. 따라서 스노트를 구동하기 전에 공격 내용을 반영한 일정한 탐지 규칙을 설정해야 한다. 참고로 현존하는 모든 상용 IDS 장비는 스노트에 기반해 구현되어 있다.. 2021. 5. 7. 6. IDS와 IPS에 대해서 IDS와 IPS는 상호 연동해 사용해야 하는 장비로, 바이러스 백신이 수행하는 탐지 후 차단 기능을 별도로 분리해 구현한 장치이다. 각각의 기능을 별도의 방식으로 구현함으로써, 모든 전산 자원을 오직 탐지(IDS)/방지(IPS)에 집중할 수 있어 보안 효과를 극대화 시킬 수 있다. IDS (Intrusion Detection System: 침입탐지장비) IDS란 일정한 탐지 규칙에 따라 기존의 공격 유형을 탐지하면, 정보를 안전한 공간으로 전환하면서 이동 전화 또는 전자 우편 등으로 관리자에게 해당 내용을 즉시 전송하고 공격자에게 경고를 통보하지만, 방화벽과 달리 접근 권한 제어 또는 인증 기능이 없는 소프트웨어 또는 하드웨어 장비다. IDS는 기존의 공격 유형 견본을 수집한 뒤 엔진에 저장해 공격 유형.. 2021. 4. 12. 4. 전송계층의 헤더 기능 UDP 헤더와 TCP 헤더의 기능을 공부해보자! UDP 헤더 UDP 헤더의 크기는 8byte로 고정이며, 버퍼링과 단편화 기능이 없어 단순하다. 출발지 포트 번호 항목과 목적지 포트 번호 항목은 16비트 크기이며, 이는 응용 계층에 속하는 프로토콜의 종류가 65536(2^16)개인 이유가 된다. 길이(Length) 항목에는 UDP 페이로드와 UDP 헤더를 더한 데이터그램 크기 정보가 담긴다. 오류 검사(Checksum) 항목은 기본적으로 비활성 상태다. TCP 헤더 TCP 헤더는 버퍼링(Buffering)과 단편화(Fragmentation) 기능을 수행하므로, UDP 헤더보다 조금 더 복잡하다. UDP 헤더의 크기는 고정적이지만, TCP 헤더는 가변적이다. 일반적으로 20 바이트 크기를 사용하지만, 경우.. 2021. 4. 5. 3. 네트워크 계층에서의 주요 공격 유형 네트워크 계층에서는 랜드공격, 티얼드롭공격, ICMP 플러딩 공격, ICMP 스머핑 공격 등이 있다. ' 랜드(LAND) 공격 랜드 공격은 IP 스푸핑 공격을 변형한 기법이다. 이때 IP 스푸핑(IP Spoofing) 공격이란 출발지 IP 주소를 조작해 자신을 은폐하는 공격을 의미한다. 랜드 공격의 과정 1. 출발지 IP 주소를 목적지 IP 주소와 동일하게 설정한 뒤 ICMP 요청 패킷을 공격 대상자에게 전송한다. 2. 그러면 공격 대상자는 ICMP 응답 패킷을 전송하기 위해 출발지 IP 주소를 참조하는데, 이 경우 출발지와 목적지 IP 주소가 동일하기 때문에 ICMP 응답 패킷을 자신(공격 대상자)에게 보내게 된다. 3. 네트워크 계층의 플러딩 공격을 하게 된다. ※플러딩(Flooding): 공격 대상.. 2021. 4. 5. 2. 네트워크 계층의 헤더 기능 보안 장비 운영과 관련해 IP 헤더 구조는 TCP 헤더 구조와 더불어 중요하게 간주하는 헤더이다. IP 헤더 버전(Version) 항목은 IPv4 주소라면 4가 들어가고, IPv6 주소라면 6이 들어간다. 헤더 길이(Header Length) 항목에는 IP 헤더의 크기가 들어간다. 일반적으로 20byte를 사용한다. Type of Service(ToS) 항목에는 해당 패킷의 전송 우선 순위를 저장한다. 즉, ToS 기능을 지정하면 회선이 혼잡할 경우에도 해당 패킷을 우선적으로 전송해준다. 전체 길이(Total Length) 항목에는 IP 헤더를 포함한 패킷 전체의 길이 정보가 담긴다. ID(Identification) 항목과 플래그(Flag) 항목, 그리고 플래그먼트 오프셋(Fragment Offset).. 2021. 4. 5. 이전 1 2 다음