공부하는 개발자의 스토리

DNS 공격 및 방어  - DNS Spoofing 이란?  Target의 DNS Query가 발생하면 DNS Server보다 공격자가 먼저 응답하여 Attacker가 의도한 IP를 넘겨준다. - 공격원리 - DNS 는 UDP를 사용한다. • UDP는 Stateless한 프로토콜이다. - 인증 메커니즘이 없다. - 공격자는 Local에 존재하므로 실제 DNS Server보다 빨리 응답할 수 있다. - 클라이언트는 DNS Query를 보낸 후 먼저 도착한 응답을 수용한다. - 공격자는 DNS Query를 스니핑 해야 함 - Transaction ID, 사용된 Local Port, 네임서버주소 등의 정보를 알아야 하므로 주로 Local에서 공격이 행해짐 - DNS Cache Poisoning ..

- DHCP 관련 Attack 및 방어 [1. DHCP Starvation Attack] - DHCP는 MAC 주소 기반으로 클라이언트에게 IP를 할당 공격자는 이점을 이용하여 MAC 주소를 랜덤하게 변경하며 새로운 IP 주소를 할당 받는다. 결국 DHCP 서버가 할당할 수 있는 IP 주소는 바닥나고 정상적인 클라이언트는 IP 주소를 할당받지 못한다. 이 공격은 서버가 정상적인 서비스를 하지 못하게 한다는 점에서 DOS 공격으로 볼 수 있다. 예방법 : L3 장비에서 한 포트에 허용하는 MAC 주소 제한 => 공격자가 자신의 MAC 주소를 변조하여 DHCP 서버가 보유하고 있는 모든 IP 주소를 할당받는 공격. => 공격자가 모든 IP 주소를 할당받게 되면 정상적인 User PC는 IP 주소를 할당받지 ..

안녕하세요 오늘은 NAT에 대해 알아보겠습니다. NAT ( Network Address Translation ) 1.개요 - 로컬 네트워크 내부에서만 사용할 수 있는 주소인 로컬 IP 주소(사설 IP 주소)를 할당받은 호스트가 인터넷을 경유해서 외부 호스트랑 통신을 하기 위해서는 로컬 IP 주소를 인터넷에서 사용할 수 있는 글로벌 IP 주소로 변환할 필요가 있다. 그래서 생각해 낸 구조가 바로 NAT다. NAT는 로컬 IP 주소를 가진 호스트가 마치 글로벌 IP 줏를 가진 것처럼 행동하기 위한 라우터의 기능이다. 2. 사설IP 주소CLASS 주소 영역 A 10.0.0.0 ~ 10.255.255.255 B 172.16.0.0 ~ 172.16.255.255 C 192.168.0.0 ~ 192.168.255...

DNS(Domain name System)  DNS Service란? • 네트워크에서 도메인이나 호스트 이름을 숫자로 된 IP 주소로 해석해 주는 TCP/IP Network Service이다. DNS는 왜 생겨 났을까? • TCP/IP 환경에서 IP Address로 시스템(컴퓨터)을 구분 -> 외우기 부담스럽다. • 사용 중 IP Address가 바뀌었을 땐? • 숫자를 대신할 수 있는 문자(컴퓨터 이름)를 할당. 하지만 실제 통신을 위해서는 IP Address가 필요. • 해당 컴퓨터 이름을 가지고 있는 컴퓨터의 IP Address를 알아내야 한다. • 특별한 서버가 그 역할을 하도록 구성. -> SRI-NIC(hosts), DNS Server 어떻게 서버이름으로 IP Address를 얻을 수 있..

- DHCP (Dynamic Host Configuration Protocol) - IP 주소 / Subnet mask / Gateway / DNS 정보들 동적으로 할당하여 관리가 편하고, IP 주소 충돌을 방지할 수 있는 것이 장점이다. - UDP 포트 67번(Server, Relay Agent) / 68번(Client)을 사용 - 일반적으로 다음 4개의 Message를 사용하여 IP 주소를 할당 1) DHCP Discover -> IP 주소가 없는 Client가 DHCP 서버를 찾는 메시지 -> Source-IP : 0.0.0.0 / Destination-IP : 255.255.255.255 (Broadcast) Source-Port : 68번 / De-Port : 67번 2) DHCP Offer -..

안녕하세요. ZFW(zone-base firewall)의 특징 중 하나인 Throughput Limit에 대해 알아보겠습니다. - Throughput Limit - 특정 트래픽마다 Policing을 설정하여 접속 트래픽의 양을 제어하는 것이 가능하다. (QoS 기법을 사용) - Test를 위해서 Outside에서 DMZ로 ICMP 트래픽을 inspect 처리가 되도록 설정 conf t class-map type inspect ICMP_C match protocol icmp policy-map type inspect OUT->DMZ_P class type inspect ICMP_C inspect police rate 8000 burst 1500 -> CE에서 위의 'police' 명령어를 입력하기 전에는 ..

- Source Port (16bit) : 근원지의 포트 번호 - Destination Port (16bit) : 목적지의 포트 번호 - Sequence Number (32bit) : 순서 번호. ACK 번호를 사용 - Acknowledgment Number (32bit) : 확인응답번호 - Header Length (4bit) (=offset) : HEADER의 길이 - Reserved (6bit) : 사용되지 않은 공간 - Control bit (6bit) (=TCP Flags) : 어떤 용도의 패킷인지를 구분한다. bit 0 : FIN -> 연결을 끊을 떄 사용한다. bit 1 : SYN -> 연결을 시작할 떄 사용한다. bit 2 : RST -> 연결을 재시작할 때 사용한다. bit 3 : PSH..

- URL Filter - ZFW의 경우는 Regex를 사용하여 특정 URL을 차단하는 것이 가능하다. ex. Inside에서 Outside로 나가는 HTTP 중 [naver.com]에 해당되는 URL은 차단하시오 conf t parameter-map type urlfilter DENY_URL -> 이름 설정 exclusive-domain deny .naver.com -> naver.com이란 domain을 deny exclusive-domain permit .* ->any (regex) -> 그 외 나머지는 허용 allow-mode on exit class-map type inspect HTTP_C : class-map 생성 match protocol http : http 프로토콜만 match -> a..

- Version(4bit) : IP의 버전 정보. Ox4일 경우 IPv4를 의미한다. - Header Length(4bit) : IP 헤더의 길이. 필드의 값이 5이면 헤더 길이가 20 byte이다.(최대 20byte) - Type of Service(8bit) : 패킷의 우선순위 결정 - Total Length(16bit) : DATA까지 포함된 길이를 정의한다. - Identification(16bit) : 송신측에서 만드는 Data packet에 대한 Unique Value이다. 즉 이 값이 같은 값끼리 다시 합쳐서 패킷을 만든다. IP Duplication을 검사하는 값으로 사용된다. - IP Duplication의 key : Source IP Address + Destination IP Add..