DDoS(flood)
공격 도구 = Trinoo : UDP, TFN, Stacheldraht : 암호화, WinNuke
대응 ①IPS ②Iptables ③Linux 커널 설정 - Syn-Cookies ④Access List ⑤사이버 안전 대피소
대응 절차 = 모니터링 - 탐지 - 대응 - 분석 - 차단 - 보고
DrDoS = 반사공격
TCP Syn Flooding = 3 way handshaking 취약점 이용, SYN 신호를 범람
- 공격 = hping3 피해자IP -s --flood -a 공격자IP
- 막는법
- Tcp-Max-Backqueue
- router
- watch 모드 = 특정한 시간동안 Establised 안되면 막아. access -list 99 deny
- Intercept 모드 = 라우터가 대신 연결하고 세션을 넘겨주는 것
- SYN Cookies = 백큐를 쓰지 않고 정상적인 연결을 하는 서비스
ICMP Flooding(Smurfing) = 특정 Host로 ICMP 패킷 응답이 가도록 하는 DDoS
- 공격 = hping3 공격자IP.255 --icmp --flood -a 피해자IP
- 막는법 = Direct Broadcast 차단
Ping of Death = 엄청 큰 ICMP 패킷이 분할되도록 하는 DDoS
- 공격 = hping3 피해자IP --icmp -d 50000 --flood -a 공격자IP | 윈도우 = ping - l 50000
Tear Drop = 패킷이 조립 되지 못하도록 Sequence Number 조작, offset(분할 정보)
Land Attack = 송신자의 IP와 수신자의 IP를 동일하게 전송하는 DDoS, sameip
slow HTTP Get Flooding = 커다란 HTTP Get을 호출하는 DDoS, 1Byte씩 천천히, Content_Length=50000
HTTP Read DoS = TCP window 사이즈 조작, Recv window size = 0, 슬라이딩 윈도우 = 흐름제어
HTTP Header DoS = HTTP Header 개행 문자 조작(삭제)
Sniffing(수동적 공격)
Normal Mode = 자신의 패킷만 수신, 목적지의 MAC 주소가 나와 같은 것만 수신 ifconfig eth0 - promisc
Promiscuous Mode = 무차별 모드 = MAC과 관계없이 모두 수신 ifconfig eth0 promisc
스니핑 프로그램 ①wireshark = Tshark ②tcpdump
tcpdump
tcpdump -i eth0 -w -a cap = 기본
tcpdump -i eth0 -v host www.aaa.com -w aaa.cap
tcpdump -i eth0 -v net 10.10 = 네트워크 아이디 앞이 10.10인거 다 해
tcpdump -i eth0 -v dst www.naver.com = 네이버로 가는거 다 해
tcpdump -i eth0 -v src = 발신자가 누구인거 다 해
※ 조합 가능 = TCP and dst ~, UDP and port53Spoofing
IP Spoofing = IP 주소를 변조, DNS cache table 변조
ARP Spoofing = MAC과 IP 주소 변조, ARP cache 변조, arp -a로 확인, 정적과 동적
도구 ①arpspoof ②dnsspoof ③macspoof → 네트워크에 뿌려주는 것 = fragroute -B1
Session Hijacking
정상적인 세션 가로채기, RST 신호 재연결을 이용, Sequence Number 초기화
포트 스캐닝
도구 = nmap, hping, metasploit
nmap
- TCP Connect Scan = 3way 수립, 쉽게 탐지, 완전 연결 -sT
- UDP Scan = UDP 패킷 전송, Port Open = 응답 X, Port Close = ICMP
- ACK Scan = 방화벽 탐지 목적
- Stealth Scan
- TCP SYN SCAN(TCP Half Open Scan) Port Open = SYN+ACK → RST, Port Close = SYN+ACK
- FIN Scan = FIN 전송, Port Open = 응답 X, Port Close = RST
- NULL Scan = NULL 전송, Port Open = 응답 X, Port Close = RST
- X-mas Scan = 다 전송, Port Open = 응답 X, Port Close = RST
- TCP Pragementation
랜섬웨어(Ransom + Software)
암호화 기법을 사용하여 피해자의 문서, 이미지, 동영상 등을 암호화하고 금품을 요구하는 공격기법
도구
- 록키 = 자바 스크립트 파일이 들어있는 압축파일을 첨부하여 실행 시 감염 .jocky
- 크립토xxx = DLL 형태로 배포 감염, 비트코인 지불 안내서 제공 .crypt
- 케르베르 = 취약한 웹 사이트 방문으로 감염, 윈도우의 Volume Shadow 삭제 .cerver
- 워너크라이 = smb 취약점 이용, 대응 → UDP:137, 138, TCP:139, 445 차단
- 페타야 = MFT 암호화, MBR 파괴
Attack
Replay Attack = 복사해서 다시 공격, 재사용 공격 수행, 타임 스탬프 정보로 방지
Supply Chain Attack = 정상적인 소프트웨어를 배포하거나 업데이트하는 과정에서 침투, 은닉 기법
Active Contents = JAVA, VB 스크립트를 실행하여 공격하는 기법
Can Do It
brb
