Without a Break

분석해야 할 것 공격에 성공한 공격자 IP 공격자 이외 서비스에 접근한 IP 공격자가 시스템에 침투하기 위해 접근한 서비스 포트 공격자가 이용한 취약점 공격자가 리버스 공격을 하기 위해 사용한 포트 공격자가 올린 웹쉘의 이름과 md5 해시 값 공격자가 웹쉘을 올린 뒤에 사용한 명령어 얘는 패킷이 좀 많음.. 패킷 통계 보면 저번 사례와 마찬가지로 TCP 안의 HTTP가 많은 것을 확인할 수 있음 특히 HTTP안의 Media Type이 큼 카운터를 확인해보자 SQL Injection 같은 공격을 하면 4xx쪽으로 쏠리는데, 이건 정상 state code가 많다 => 정상적인 페이지로 접근해서 시스템을 공격했음을 추측할 수 있다 도메인을 확인해보니 공격했던 웹서비스 포트는 8180임을 알 수 있었다. att..

주소 변경 Kali IP 변경 IP 주소를 192.168.100.128로 변경해준다. (Gateway 주소는 192.168.100.2로 변경해준다.) ifconfig 명령으로 IP 주소가 제대로 바뀌었는지 확인한다. Xubuntu IP 변경 (NET8의) IP 주소를 192.168.100.20으로 바꿔준다. ifconfig로 IP주소가 잘 변경되었는지 확인한다. TCP 포트 스캔 ping으로 네트워크 연결 상태를 확인한다. 연결 상태는 확인할 수 있으나 공격이 가능한 포트를 알기는 어렵다. Kali host OS로 nmap을 사용하여 열려 있는 포트를 확인한다. 996개는 닫혀져 있고 4개는 열려있는 포트임을 알 수 있다. Xubuntu에서 와이어 샤크를 실행하고 ens33을 선택해준다. Kali에서 n..

파일 입출력 파일모드 기능 설명 "r" 읽기 전용 파일을 읽기 전용으로 연다. 단, 파일이 반드시 있어야 한다. "w" 쓰기 전용 새 파일을 생성한다. 만약 파일이 있으면 내용을 덮어쓴다. "a" 추가 파일을 열어 파일 끝에 값을 이어 쓴다. 만약 파일이 없으면 파일을 생성한다. "r+" 읽기/쓰기 파일을 읽기/쓰기 용으로 연다. 단, 파일이 반드시 있어야 하며 파일이 없으면 NULL을 반환한다. "w+" 읽기/쓰기 파일을 읽기/쓰기 용으로 연다. 파일이 없으면 파일을 생성하고, 파일이 있으면 내용을 덮어쓴다. "a+" 추가(읽기/쓰기) 파일을 열어 파일 끝에 값을 이어 쓴다. 만약 파일이 없으면 파일을 생성한다. 읽기는 파일의 모든 구간에서 가능하지만, 쓰기는 파일의 끝에서만 가능하다. "t" 텍스트 ..

개요 TCP는 연결형 프로토콜: 종단이 서로 데이터를 송신하기 전에 이들 사이에 연결을 확립 플래그 3문자 약어 설명 S SYN 순서번호의 동기화 F FIN 송신자는 데이터 송신을 종료 R RST 연결의 재설정 (강제 종료) P PSH 수신 프로세스가 가능한 빨리 데이터를 보낸다 . 위의 4개의 플래그가 설정된 것이 없다 연결 확립과 종료 연결 확립 프로토콜 [SYN] 요구 측의 종단은 접속하고자 하는 서버의 포트번호와 클라이언트의 초기순서번호(ISN)를 지정한 SYN 세그먼트를 보낸다. [SYN+ACK] 서버는 서버의 초기순서번호(ISN)를 포함한 자신의 SYN 세그먼트로 응답한다. [ACK] 클라이언트는 서버로부터 보내 온 SYN에 대하여 서버의 ISN+1 ACK로 확인응답을 보내야 한다. => 이와..

TCP가 제공하는 서비스 TCP 서비스 UDP와 같은 네트워크 계층(IP) 이용 UDP와는 완전히 다른 서비스를 응용 계층에 제공 연결지향의 신뢰성있는 바이트스트림 서비스를 제공 => "TCP provides a connection-oriented, reliable, byte stream service" 1. 신뢰성 서비스 1) 정보단위인 세그먼트인 IP로 전송 응용이 보내는 데이터는 TCP가 전송하기 적합한 크기로 나뉘어짐 (반면, UDP는 각 응용이 UDP 데이터그램을 적절한 크기로 만들어 줌) IP 데이터그램 = IP 헤더 + TCP 세그먼트(TCP 헤더+TCP데이터) 2)TCP는 세그먼트를 보낼 때마다 타이머를 설정 수신측으로부터 확인 응답 (ACK) 메세지를 기다림 확인 응답이 오지 않을 경우 ..

UDP Simple, datagram-oriented, transport layer protocol best effort service model : 전송에는 최선을 다하지만 전송 완료는 보장하지 않음 신뢰성 (Reliability)을 전혀 지원하지 않음 : 응용이 쓴 데이터그램은 IP 계층에 전달되지만, 목적지까지 도착한다는 보장은 없음 이로 인해 UDP 응용은 최종 IP 데이터그램의 크기를 고려가 중요하다 => 네트워크의 MTU를 초과하는 UDP/IP 데이터그램이 분할됨 (fragment) IP 데이터그램 = IP 헤더 + UDP 데이터그램(UDP 헤더 + UDP 데이터) UDP Header Port number 필드 sending process와 receiving process 구별에 사용 보통 T..

ARP 개요 전제 : 이더넷 브로드캐스트 네트워크 기본 개념 : 네트워크 인터페이스가 하드웨어 주소를 갖음 응용이나 시스템 관리자에게 인식되지 않은 채 동작 32bit IP 주소 TCP/IP 프로토콜 그룹에서만 동작 물리적 하드웨어 주소 : 독자적 주소체계 데이터 전송 시 목적지 하드웨어 주소를 알아야 함 ARP 기능 IP 주소를 대응하는 물리적 하드웨어 주소로 자동적으로 변환하는 보조적 프로토콜 IP 데이터 그램을 정확한 목적지 호스트로 보냄 여러 가지 형태의 물리적 하드웨어 주소를 처리 점 대 점 접속은 ARP를 사용 안 함 +) ARP, RARP 참고 이미지 ARP 캐시 각 호스트는 매번 ARP를 실행하지 않고 ARP 캐시에 물리적 주소 임시저장 인터넷 주소로부터 하드웨어 주소로 최신 정보 유지, ..