1. 공격자는 누구인가?? 2. 어떤 공격을 수행했는가? ddos syn-flooding 3. 타겟은? 192.168.1.150 ------------------------------------------------------------------------192.168.1.100->192.168.1.101 stealth scan(half open scan) 6~59709 에 대한 스텔스 스캔공격자는 801351394451025330680808888포트가 열려있는 것을 확인 conversation상대방과 주고받은 패킷 endpoint 해당 호스트에서 발생한 패킷 -------------------------------------------------------------------------1. 공격자는..

capture filter 캡처하는 것을 옵션에 따라 필터링필터링에 걸리는 것은 캡쳐되지 않음복잡한 룰은 사용하지 않음 느려지기 떄문 display filter 캡처된 것에서 화면에 출력하는 것을 필터링캡처는 되지만 출력은 하지 않음 DNS쿼리만 필터링하는 옵션 dns.flags == 0x0100 file carving ( 파일 복구 ) tcp.stream eq 0 해당 tcp 시퀀스와 관련된 패킷만 출력 mtu 와 msu의 크기가 기본 1500바이트로 설정 file signature .exe: MZ.zip: PK.jpg: FF D8 FF E0

#include #include #include #include #include #include #include #include #include #include #include #include struct eth_header { unsigned char dst[6]; unsigned char src[6]; unsigned short type; } __attribute__((packed)); struct ip_header{ unsigned char hlen:4; unsigned char ver:4; unsigned char service; unsigned short total; unsigned short id; unsigned char flag; unsigned char offset; unsigned ch..

#include #include #include #include #include #include #include #include #include #include #include #include struct eth_header { unsigned char dst[6]; unsigned char src[6]; unsigned short type; } __attribute__((packed)); struct ip_header{ unsigned char hlen:4; unsigned char ver:4; unsigned char service; unsigned short total; unsigned short id; unsigned char flag; unsigned char offset; unsigned ch..

#include #include #include #include #include #include #include #include #include #include #include #include struct eth_header { unsigned char dst[6]; unsigned char src[6]; unsigned short type; } __attribute__((packed)); struct ip_header{ unsigned char hlen:4; unsigned char ver:4; unsigned char service; unsigned short total; unsigned short id; unsigned char flag; unsigned char offset; unsigned ch..

#include #include #include #include #include #include #include #include #include #include #include #include struct eth_header { unsigned char dst[6]; unsigned char src[6]; unsigned short type;} __attribute__((packed)); struct ip_header{ unsigned char hlen:4; unsigned char ver:4; unsigned char service; unsigned short total; unsigned short id; unsigned char flag; unsigned char offset; unsigned cha..

보안관제 실무가이드데일리시큐 #include #include #include #include #include #include #include #include #include #include #include #include struct eth_header { unsigned char dst[6]; unsigned char src[6]; unsigned short type;} __attribute__((packed)); struct ip_header{ unsigned char hlen:4; unsigned char ver:4; unsigned char service; unsigned short total; unsigned short id; unsigned char flag; unsigned char offs..

DDOS( Syn Flooding ) - 대량의 syn패킷을 이용한 공격기법 Get Flooding - HTTP - 대량의 HTTP GET 메세지를 이용하여 서버에 과부하를 주는 방식- CC Attack: cache-control * HTTP의 전송 방식: GET, POST - 사용자 입력값: ex) 아이디, 패스워드 - GET : HTTP Message Header를 통해서 데이터를 전달- 전달하려는 데이터가 웹 브라우저에 그대로 노출(보안 취약) - 전달하려는 데이터의 크기가 한정 - POST: HTTP Message Body를 통해서 데이터를 전달- 전달하려는 데이터가 화면을 통해 노출되지 않는다. - 전달하려는 데이터의 크기의 한계가 없다. GET /cache.php HTTP/1.1host: 19..

TCP Scanning: TCP flag를 이용 - 열려있는 포트 * half-open scan client ---------------> server( 1 ~ 65535 ) syn if openclient server( 1 ~ 65535 ) NULL XMAS Scan client ---------------> server( 1 ~ 65535 ) DDOS ( Syn Flooding ) - 대량의 syn 패킷을 이용한 공격기법 #include #include #include int main(int argc, char argv[]){int src; char spoof_ip[8] = {0,};int a;int b;int c;int d; srand((unsigned)time(NULL));while(1) {a =..

2016 world it show 이번 주 금요일부터 TCP( Transmission Control Protocol ) - 신뢰할 수 있는 통신- 속도가 느린 편( UDP에 비해서 ) - MSU( Maximum Segment Unit): 1500byte 0000 ce 41 소스 포트 번호00 50 도착지 포트 번호4d 04 a7 7d 시퀀스 넘버00 00 00 00 애크놀로지 넘버80헤더의 크기 (가변적, 헤더 자체의 길이) 4비트씩 나눠서 계산02 플래그ff ffwindow size(이 정도의 사이즈까지 허용할수 있음)0010 7f ec 체크섬00 00최소크기를 맞추기 위한 더미데이터02 04 05 b4 01 03 03 01 01 01 04 02 session -> 3-way handshake 3-wa..