1 / 33

정보 보안 개론과 실습 네트워크 해킹과 보안

정보 보안 개론과 실습 네트워크 해킹과 보안. 3 부 해킹 전 정보 획득 Chapter 6. 풋프린팅과 스캔. 1. 풋프린팅. 2. 포트. 3. 스캔. 4. 운영체제의 탐지. 5. 방화벽과 침입 탐지 시스템의 탐지. Contents. 1. 풋프린팅. 기술적인 해킹 공격 , 신문 , 게시판 등과 같은 여러 경로를 통해 공격 대상의 정보를 모으는 방법을 말한다 . 풋프린팅에는 매우 다양한 기법이 있으며 , 매우 넓은 범위가 포함된다. 즉 , 사회공학 (Social Engineering).

oscar-cross
Download Presentation

정보 보안 개론과 실습 네트워크 해킹과 보안

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 정보 보안 개론과 실습네트워크 해킹과 보안 3부 해킹 전 정보 획득 Chapter 6. 풋프린팅과 스캔

  2. 1 풋프린팅 2 포트 3 스캔 4 운영체제의 탐지 5 방화벽과 침입 탐지 시스템의 탐지 Contents 네트워크 해킹과 보안 - 김미진

  3. 1. 풋프린팅 기술적인 해킹 공격, 신문, 게시판 등과 같은 여러 경로를 통해 공격 대상의 정보를 모으는 방법을 말한다. 풋프린팅에는 매우 다양한 기법이 있으며, 매우 넓은 범위가 포함된다. 즉, 사회공학(Social Engineering) 기술적인 해킹에 의한 방법이 아닌, 개인적인 인간 관계, 업무적 관계 등을 이용한 방법에서부터 어깨 넘어 훔쳐보기 등 정보를 획득하는 데 이용 가능한 비기술적인 경로를 이용해서 정보를 모으는 방법이다. 네트워크 해킹과 보안 - 김미진

  4. 2. 포트 포트는 활성화된 데몬에 의해서 열리게 되며, 각각의 프로토콜은 고유의 포트를 가지고 있다. 시스템에는 65535개의 포트가 있으며, 0번부터 1023번 포트까지 1024개의 포트가 Well Known 포트라고 불린다. Well Known 포트는 일상적으로 잘 알려진 서비스를 위해 고유의 사용 용도가 정해져 있다. 보통 0번 포트는 쓰지 않으며, 1024번 포트부터 65534 포트는 임의의 사용용도를 위해서, 또는 클라이언트가 서버에 접속 시에 할당 받는 포트의 범위다. 네트워크 해킹과 보안 - 김미진

  5. 데몬 시스템의 사용자 인터페이스에는 나타나지 않지만, 서비스가 요청되었을 때 이에 반응할 수 있도록 항상 실행되는 프로그램을 말한다. 따라서 웹 서비스에 대한 데몬과 FTP 서비스를 위한 데몬이 별도로 존재한다. 각각의 데몬을 실행해야만 포트가 열리며, 해당 포트에서 적절한 서비스를 제공받을 수 있다. 각각의 데몬은 하나의 프로그램이기 때문에 취약점이 존재하는데, 이러한 점을 이용하여 해커는 공격 대상 시스템에 침투한다. 네트워크 해킹과 보안 - 김미진

  6. 외워야 할 Well Known 포트 1/2 네트워크 해킹과 보안 - 김미진

  7. 외워야 할 Well Known 포트 2/2 네트워크 해킹과 보안 - 김미진

  8. 실습 –윈도우에서 Telnet 데몬 활성화시키기 1. 내 컴퓨터 –컴퓨터 관리 : Telnet 서비스 선택 네트워크 해킹과 보안 - 김미진

  9. 실습 –윈도우에서 Telnet 데몬 활성화시키기 2. 내 컴퓨터 –컴퓨터 관리 : 서비스 활성화 네트워크 해킹과 보안 - 김미진

  10. 실습 –윈도우에서 Telnet 데몬 활성화시키기 3. Telnet 서비스 동작 확인 telnet 127.0.0.1 네트워크 해킹과 보안 - 김미진

  11. 실습 –리눅스에서 Telnet 데몬 활성화시키기 1. disable = yes를 disable = no로 바꾼다. vi /etc/xinetd.d/telnet 네트워크 해킹과 보안 - 김미진

  12. 실습 –리눅스에서 Telnet 데몬 활성화시키기 2. 데몬을 재시작해준다. service xinetd restart 3. Telnet 서비스 동작 확인한다. telnet 127.0.0.1 네트워크 해킹과 보안 - 김미진

  13. 3. 스캔 스캔은 서비스를 제공하는 서버의 작동 여부와 제공하고 있는 서비스를 확인하기 위한 것이다. TCP 기반의 프로토콜은 기본적으로 질의(Request)를 보내면 응답(Response)을 보낸다. 스캐닝은 이러한 기본적인 메커니즘에 기본 하는 것으로, 열려있는 포트, 제공하는 서비스, 동작중인 데몬의 버전, 운영체제의 버전, 취약점 등 다양한 정보를 얻어내는 것이 가능하다. Ping & ICMP Scan Ping은 네트워크와 시스템이 정상적으로 작동하는지 확인하기 위한 간단한 유틸리티로 개발되었다. ICMP(Internet Control Messaging Protocol)를 사용한다. 각각의 네트워크는 고유한 ping이 존재하며, 일반적으로 알려진 ping은 TCP/IP 네트워크에서의 ping을 말한다. 네트워크 해킹과 보안 - 김미진

  14. ICMP 스캔 ICMP를 이용한 스캔 방법으로는 다음의 네 가지를 생각할 수 있다. - Echo Request(Type 8)과 Echo Reply(Type 0)을 이용한 방법 - Timestamp Request(Type 13)와 Timestamp Reply(Type 14)을 이용한 방법 - Information Request(Type 15)와 Information Reply(Type 16)을 이용한 방법 - ICMP Address Mask Request(Type 17)와 ICMP Address Mask Reply(Typ18)을 이용한 방법 네트워크 해킹과 보안 - 김미진

  15. 1. Echo Request(Type 8)과 Echo Reply(Type 0)을 이용한 방법 네트워크 해킹과 보안 - 김미진

  16. 2. Timestamp Request(Type 13), Timestamp Reply(Type 14) Timestamp Request는 원격지 시스템의 현재 시간을 알아보기 위한 패킷이다. Timestamp 패킷은 송신자가 패킷을 받은 시간(Originate Timestamp)과 수신자가 패킷을 받은 시간(Receive Timestamp), 송신자가 수신자에게 전송하는 동안 걸린 시간(Transmit Timestamp)으로 공격대상의 현재 시스템 시간을 알 수 있다. 하지만, Timestamp Request 패킷에 Reply 패킷을 돌려보내오는 시스템이 시간만을 알려준다고 생각할 수는 없다. 상대 시스템이 Reply 패킷이 돌아온다는 것은 상대 시스템이 활성화되어 있음을 말하는 것이다. 네트워크 해킹과 보안 - 김미진

  17. 3. Information Request(Type 15), Information Reply(Type 16) Information Request와 Reply 패킷은 메인 프레임의 터미널과 같이 부팅할 때 자신의 디스크가 없는 시스템에 스스로 설정할 수 있도록 하는 패킷으로, 자신의 네트워크를 찾기 위해 개발되었다. 기본적인 목적은 RARP, Bootp, DHCP와 같은 프로토콜과 같으나 다른 프로토콜을 이용한 방법에 비해 원시적이라고 할 수 있다. 이 방법 역시 Timestamp 패킷과 마찬가지로 죽어있는 시스템이 Relpy 패킷을 보내오지는 않을 것이다. 4. ICMP Address Mask Request(Type 17), ICMP Address Mask Reply(Typ18) ICMP Address Mask Request와 Reply 패킷은 Information Request 패킷과 같이 터미널이 부팅될 때 자신이 속해 있는 네트워크의 서브넷 마스크를 알기 위해서 보내는 프로토콜이다. 위의 두 가지 방법과 마찬가지로 Reply 패킷을 돌려보내오는지 확인함으로써, 상대 시스템의 활성화 여부를 확인한다. 네트워크 해킹과 보안 - 김미진

  18. UDP Open 스캔 포트가 열려있을 경우, 아무런 응답이 없으며, 포트가 닫혀 있을 경우에는 ICMP Unreachable 패킷을 받게 된다. 포트가 닫혀 있을 경우 포트가 열려 있을 경우 네트워크 해킹과 보안 - 김미진

  19. TCP Open 스캔 포트가 열려있을 경우, 세션이 성립되며, 포트가 닫혀 있을 경우에는 RST+ACK 패킷을 받게 된다. 포트가 닫혀 있을 경우 포트가 열려 있을 경우 네트워크 해킹과 보안 - 김미진

  20. Stealth 스캔 : TCP Half Open 스캔 포트가 열려있을 경우, 서버로부터 SYN+ACK 패킷을 받은 후, RST 패킷을 보내어 연결을 끊는다. 포트가 닫혀 있을 경우에는 Open 스캔의 경우와 같다. 포트가 닫혀 있을 경우 포트가 열려 있을 경우 네트워크 해킹과 보안 - 김미진

  21. Stealth 스캔 : FIN, Xmas, Null 스캔 포트가 열려 있을 경우에는 응답이 없고, 포트가 닫혀 있는 경우에만 RST+ACK 패킷이 되돌아온다. 포트가 닫혀 있을 경우 포트가 열려 있을 경우 네트워크 해킹과 보안 - 김미진

  22. Stealth 스캔 : 시간차 공격 공격의 차단을 피하거나, 탐지를 회피하기 위해 특정한 시간 간격으로 스캔 패킷을 보내는 기법 Paranoid : 5분이나 10분 간격 Sneaky : WAN에서는 15초 단위로, LAN에서는 5초 단위 Polite : 0.4초 단위 Normal : 정상 Aggressive : 호스트 타임 아웃 : 5분, 패킷 당 1.25초까지 응답을 기다린다. Insane : 호스트 타임 아웃 : 75초, 패킷 당 0.3초까지 응답을 기다린다. 네트워크 해킹과 보안 - 김미진

  23. 실습 – Fping을 이용한 스캔 Fping을 이용하여 특정 네트워크에서 활성화된 시스템 확인 fping -g 172.16.0.0/24 네트워크 해킹과 보안 - 김미진

  24. 실습 – Sing을 이용한 스캔 Sing을 이용한 TimeStamp 스캔 ./sing -c 1 -tstamp 172.16.0.2 네트워크 해킹과 보안 - 김미진

  25. 실습 – NMAP을 이용한 스캔 NMAP을 이용한 Open 스캔 nmap -v -sT 172.16.0.4 네트워크 해킹과 보안 - 김미진

  26. NMAP을 이용하여 가능한 스캔 네트워크 해킹과 보안 - 김미진

  27. 4. 운영체제의 탐지 배너 그래빙(Banner Grabbing) Banner Grabbing은 Telnet과 같이 원격지의 시스템에 로그인을 시도하면 나타나는 안내문과 같은 것이다. 23 번 포트에 텔넷 접속을 시도한 위의 화면에서는 운영체제의 버전과 커널 버전을 확인할 수 있다. 이러한 배너 그래빙은 23 번 포트 이외에도, 21, 25, 110.143 포트에서도 가능하다. 네트워크 해킹과 보안 - 김미진

  28. 프로토콜에 대한 반응 ■ Fin 스캔을 이용한다. Fin 스캔은 모든 운영체제에 적용되는 것은 아니다. 적용되는 운영체제는 윈도우, BSD, Cisco, Iris 등으로, Fin 스캔의 가능 여부에 따라 운영체제를 판별할 수 있다. ■ 세션 연결 시 TCP 패킷의 시퀀스 넘버 생성을 관찰 - 윈도우 : 시간에 따른 시퀀스 넘버 생성 - 리눅스 : 완전한 랜덤 - FreeBSD, Digital-Unix, IRIX, Solaris : 시간에 따른 랜덤한 증분 ■ TCP 연결 시 최초 패킷의 윈도우 크기를 관찰 네트워크 해킹과 보안 - 김미진

  29. 넷크래프트 이용 운영체제에 대한 체계적인 탐지 정보를 가지고 있는 사이트로 상세한 정보를 얻을 수 있다. 네트워크 해킹과 보안 - 김미진

  30. 5. 방화벽과 IDS의 탐지 Traceroute의 원리 1. TTL 값을 1로 설정해서 포트 번호를 33435번으로 하여 UDP 패킷을 한 번에 세 개씩 보낸다. 2. 첫 번째 라우터는 1로 설정된 TTL 값을 0으로 줄이고, 출발지 주소로 ICMP Time Exceed Message(Type 11)을 보낸다. 3. a.a.a.a에서는 이 패킷을 보고, 첫 번째 라우터까지의 시간을 알아낼 수 있다. 4. 다시 두 번째 라우터까지는 TTL 값을 2로 설정해서 보내고, 첫번째 라우터와 같은 과정을 거친다. 5. 계속 라우터를 통과하여 목적지 시스템에 도달하게 되면, ICMP port unreachable(Type 3) 패킷이 돌아오게 되고, 모든 과정이 끝난다. 네트워크 해킹과 보안 - 김미진

  31. Traceroute을 이용한 방법 목표 IP에 대해 traceroute를 시도할 경우, ICMP Time Exceed Message가 돌아오지 않고, * 로 표시된 부분에 방화벽이 존재한다. 네트워크 해킹과 보안 - 김미진

  32. Port 스캔을 이용한 방법 각각의 방화벽과 IDS는 운영을 위해 특정한 포트를 활성화시키고 있다. 특정 포트에 대한 탐지를 통해 방화벽과 IDS의 종류까지 알아낼 수 있다. 네트워크 해킹과 보안 - 김미진

  33. 방화벽을 이용한 패킷 필터링 규칙 확인 ( firewalk 의 원리 ) 1. 방화벽이 탐지되면 방화벽까지의 TTL보다 1만큼 더 큰 TTL 값을 생성하여 보낸다. 2. 방화벽이 패킷을 차단할 경우 아무런 패킷도 돌아오지 않는다. 3. 방화벽이 패킷을 그대로 보낼 경우, 패킷은 다음 라우터에서 사라지며, 라우터는 ICMP Time Exceed Message(Type 11)을 보낸다. 4. 공격자는 ICMP Time Exceed Message의 여부를 확인하고, ACL을 예측할 수 있다. 네트워크 해킹과 보안 - 김미진

More Related