본문 바로가기
정보보안기사/시스템보안

정보보안기사_시스템보안 정리본#2

by 6unoh 2021. 3. 3.

SYN Flooding

공격자가 공격대상에게 SYN을 계속 보내기만 하면 TCP Connection Timeout 시간동안 SYN Backlog Queue에 남아있게 되고 queue가 가득 차게 되면 연결 요청을 받을수 없게됨

 대응법 : TCP Connection timeout 시간을 짧게 설정, backlog queue사이즈 늘림, 방화벽 설정

============================================================================

하트블리드 (Openssl 취약점으로 ssl 1.01f 이전 버전의 취약점)

============================================================================

Snort

[액션] [프로토콜] [송신 IP] [송신 port] [방향] [수신 IP] [수신 port] ([룰 옵션])

ex1) Alert tcp any any -> 192.168.0.1 ( A ) ( ( B ) : “/administrator; ( C ): “Web Scan Detected”;)

ex2) alert tcp any any -> any 80 (msg:"공격"; content:"SYN";)

  • 액션
    • alert : 경고를 발생시킨다.
    • log : 로그를 기록한다.
    • pass : 패킷을 무시한다.
    • active : alert를 발생시키고 대응하는 dynamic을 유효화 한다.
    • dynamic : active에 의해 유효화된 경우 한쪽의 패킷을 기록한다.
    •  
  • 프로토콜 (tcp, dup, icmp, any)
  •  
  • 송수신 IP, port
    • 211.11.22.33 80
    • 211.11.22.0/24 443
    • any 80 또는 211.11.22.33 any 또는 any any 와 같이 사용 가능하다.
    • '$HOME_NET' 와 같이 snort.conf에서 지정한 변수를 참조할 수도 있다.
  • 방향
    • -> 또는 <>

Rule Option

세미콜론(;)을 이용하여 옵션과 옵션을 구분한다.

  • msg : 지정한 메시지가 이벤트 명으로 사용된다.
  • dsize : dzise:<바이트, dsize:바이트<>바이트 와 같이 상한선, 하한선, 범위를 지정할 수 있다.
  • content : 문자, 바이너리로 패턴을 탐지한다.
    • content:"문자"
    • content:| 00 01 0A AA |
    • content: "| 90 90 90 | /bin/sh"
  • offset : 검색을 시작할 byte수를 지정한다.
  • depth : offset부터 시작하여 검색할 byte수를 지정한다.
  • nocase : 대소문자를 구별하지 않는다.
  • flags : TCP 제어 플래그를 지정한다. F, S, FA, FSA 등으로 지정 가능하다.
  • pcre : 정규식을 사용한다.
  • threshold : 패킷의 발생량을 기반으로 탐지한다.
    • 아직까지 흔히 사용 되고 있지만 공식적으론 사용을 권장하지 않는다.
    • 비슷한 기능을 하진 detection_filter 사용이 권장된다.

============================================================================

Smurf

여러 호스트가 공격 대상에게 ICMP Echo Request를 다량으로 보내 서비스 거부를 유발시킴

소스 주소를 공격 대상으로 위조하여 ICMP 패킷을 브로드캐스트하여 다량의 Echo Reply를 발생

hping 192.168.0.255 -a 10.10.10.5 --icmp --flood

대응법 : 라우터에서 Direct Broadcast를 disable시킴,  라우터에서 ingress filtering을 이용하여 spoof된 패킷 차단, ICMP 패킷 차단

============================================================================

Land attack : source ip = destination ip

============================================================================

ping of death : ICMP 패킷 사이즈를 크게 하여 보내면 패킷 사이즈에 따라 패킷이 나눠지게 되어 패킷을 처리해야함

icmp 패킷을 응답하지 않도록 함

sysctl -w net.ipv4.icmp_echo_ignore_all=1 or echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all  (리눅스)

방화벽 icmp 패킷 차단 (윈도우)

============================================================================

%SystemRoot%System32\config 안의 파일 내용

security ; 시스템의 보안과 권한 관련 정보

sam : 로컬 계정과 그룹 정보

system : 시스템 부팅과 관련된 전역 정보

software : 시스템 부팅과 관련 없는 전역 정보

============================================================================

Cron 필드값

[분] [시] [몇일] [묯월] [무슨요일] [명령어]

============================================================================

 

 

 

'정보보안기사 > 시스템보안' 카테고리의 다른 글

정보보안기사_시스템보안 정리본#1  (0) 2021.03.03

관련글

댓글

티스토리툴바