yuil :: SecOps

SNMP심플한 프로토콜보안성이 떨어질까?버전에 따라 다르다.SNMPv1 & SNMPv2c (취약) SNMPv3 (안전성 강화) SNMP 기능SNMP VersionNMSSNMP 기반의 NMS 구성MIB Structure웬만한 하드웨어 장비 관리 가능한 구조ex) microsoft 장비 oid : 1.3.6.1.4.1.311# oid- MIB 계층 구조 내에서 **특정 관리 객체(managed object)**를 가리키는 고유한 주소입니다. 예를 들어, 시스템 설명, CPU 사용률, 특정 네트워크 인터페이스의 트래픽 양 등의 정보 각각이 하나의 관리 객체이며, 이를 OID라는 숫자의 연속으로 표현합니다- 항상 고정되어 있다.SNMP Message 참고자료https://www.cisco.com/site/us/..

SSLSSL 동작 과정SSL HandshakingSSL MiTM Attack

Sniffing Attack ContentsSniffing 이란?Sniffing 분류NIC의 Promiscuous ModeSwitch 환경에서의 SniffingSwitch JammingARP RedirectARP Redirect (cont.)ARP SpoofingICMP RedirectICMP Redirect 운영ICMP Redirect Attack (cont.)ICMP Redirect Attack 방어Sniffer의 탐지Sniffing 방지

IP Spoofing요즘은 pw없이 id만으로 인증하기도 한다(key pair)원격지에서의 ip spoofing동일한 네트워크로 판단하기 때문에 게이트웨이로 응답을 보낼 필요가 없어진다.(지금은 불가능한 방식)예전엔 syn을 보내고 ack를 받아올때 시퀀스 넘버를 예상해서 ack 넘버를 보내서 3-way handshake가 완성된다.시퀀스 넘버를 예측할 수 있었기 때문에 가능했던 공격 (ex. 실제로 국방부 네트워크 공격에 활용)이러한 방식을 blind방식의 ip spoofing이라 한다.Local Network에서의 IP Spoofing공격자가 접근 시도를 하면 모두 로그에 남는다. => arp cache poisoning으로 속인다.IP Spoofing 공격 시 고려할 점

Exploiting IPv4 ARP1. ARP Spoofing Attack2. Dynamic ARP Inspection ARP OperationARP 문제점ARP는 'IP를 모른다'에서 시작함 - 응답 메시지를 보고 확인하여 인증할 방법이 없다.ARP Spoofing AttackMITM 공격MITM(Man-in-the-Middle) 공격은 두 통신 당사자 사이에 몰래 끼어들어 통신 내용을 가로채거나 조작하는 공격 방식입니다. 공격자는 자신을 두 통신 당사자 모두에게 신뢰할 수 있는 것처럼 속여, 양쪽의 모든 트래픽을 자신을 거치게 만듭니다.==> 대표적인게 ARP Spoofing Attack ARP Spoofing Attack IP Forwarding 방법Kernel 모드는 포워딩 신뢰성이 높음 - 공격..

Wireshark EthernetEthernet History 프리스커스(promiscuous) 모드컴퓨터 네트워크 인터페이스 컨트롤러(NIC)가 네트워크에서 자신에게 향하는 트래픽뿐만 아니라, 네트워크를 통해 전송되는 모든 데이터 패킷을 수신하고 처리하는 모드입니다.일반 모드와의 차이일반 모드: NIC는 자신에게 할당된 MAC 주소와 브로드캐스트 패킷만 수신합니다. 즉, 자신과 무관한 패킷은 모두 버립니다.프리스커스 모드: NIC는 모든 패킷을 수신하고, 이를 상위 계층(운영 체제)으로 전달합니다.주요 용도프리스커스 모드는 주로 네트워크 관리, 분석 및 보안 목적으로 사용됩니다.네트워크 모니터링: 네트워크 관리자는 이 모드를 사용하여 네트워크 트래픽을 분석하고, 성능 문제를 진단하거나, 네트워크 사용..