1. SNMP 서버
- 161/UDP → Manager -> agent 들에게 정보 달라고 전송
- 162/UDP → Agent (event reporting) Trap Message (능동적으로 이벤트 발생 시 알림)
2. SNMPv3
- 인증 및 암호화 지원 (버전 3부터 제공)
3. Snort IDS 룰
alert icmp any any -> any any (msg:"ICMP Packet Detected"; sid:1000002;)
4. IP Directed Broadcast
- no ip directed-broadcast: Directed Broadcast를 비활성화합니다.
5. 거리 벡터 라우팅 프로토콜
- RIP, RIPv2, IGRP: 거리 벡터 방식
6. 링크 상태 라우팅 프로토콜
- IS-IS, OSPF: 링크 상태 방식
7. 하이브리드 라우팅 프로토콜
- EIGRP: 거리 벡터 + 링크 상태 방식
8. 경로 벡터 라우팅 프로토콜
- BGP: 경로 벡터 방식 IBGP, EBGP로 나뉘며 179 tcp를 활용한다. AS 정보 교환를 위해 좀 더 크고 복잡한 프로토콜 구조를 가진다.
9. 라우팅 관련 링크
10. 거리 벡터와 경로 벡터
11. IGP (Interior Gateway Protocol)
- 자율 시스템 내 라우팅 프로토콜: RIP, IGRP, OSPF, IS-IS
https://daengsik.tistory.com/m/51
12. EGP (Exterior Gateway Protocol)
- 자율 시스템 간 라우팅 프로토콜: BGP
https://systemanswer.tistory.com/entry/Network-Routing-Protocol-%EB%B9%84%EA%B5%90-IGP-EGP
13. 정적 라우팅
- 정적 라우팅: 관리자가 직접 라우팅 테이블을 설정
14. 동적 라우팅
- 동적 라우팅: 라우터 간에 서로 정보를 교환하여 라우팅 테이블을 자동으로 업데이트
15. 스위치 재밍 / MAC 플러딩
- Switch Jamming: 스위치의 MAC 주소 테이블을 모두 채워 스위치를 허브처럼 동작하게 만들고 패킷을 스니핑하는 기법
- MAC Flooding: 변조된 MAC 정보를 포함한 ARP Reply 패킷을 지속적으로 전송하여 스위치의 MAC 주소 테이블을 채움
16. ARP 스푸핑 및 ARP 캐시 포이즈닝
- ARP Spoofing: 공격자가 특정 호스트의 MAC 주소를 자신의 주소로 위조하여 ARP Reply 패킷을 전송
- ARP Cache Poisoning: 공격자가 ARP Cache Table의 MAC 주소를 자신의 주소로 변조하여 패킷을 스니핑함 ip forwarding 설정 필요
17. ARP Redirect
- ARP Redirect: ARP Cache Table을 업데이트하기 위해 사용되는 메시지, 공격자가 자신이 라우터처럼 보이도록 MAC 주소를 위조한 ARP Reply를 지속적으로 Broadcast하여 ARP Cache Table을 변조
18. ICMP Redirect
- ICMP Redirect: 호스트와 라우터 간 또는 라우터 간 경로를 재설정하기 위해 사용되는 메시지, 특정 IP 대역으로 나가는 패킷의 경로를 공격자 자신의 주소로 위조한 ICMP Redirect 메시지를 생성하여 호스트의 Routing Table을 변조
19. 포트 미러링
- Port Mirroring: 스위치의 포트를 물리적으로 연결하여 모든 패킷을 스니핑하는 방법
20. NIC 무차별 모드 (Promiscuous Mode)
- NIC Promiscuous Mode: 수신 주소가 내 것이 아닌 경우 폐기하도록 설정되어 있으나, 무차별 모드로 설정 시 다른 패킷도 스니핑 가능
ifconfig eth0 promisc
ifconfig eth0 -promisc
21. VLAN 개념
- VLAN: 2계층에서 Broadcast 도메인을 논리적으로 나누기 위한 기술
22. ARP 명령어
- arp -s:
arp -s ip주소 mac주소
23. ARP Cache Table 확인
- arp -a: 호스트에서 ARP Cache Table 확인 명령어
24. ICMP Redirect 비활성화
- no ip redirects: ICMP Redirect 메시지에 의한 Routing Table 변조 방지 설정
25. ICMP를 사용한 스니핑 탐지
- ICMP 스니핑 탐지: NIC가 Promiscuous Mode로 동작하는 것을 전제로, 존재하지 않는 MAC 주소로 ICMP Echo Request를 보내어 응답 여부로 스니핑을 탐지
26. ARP Non-Broadcast 요청을 통한 스니핑 탐지
- ARP Non-Broadcast ARP Request: 존재하지 않는 MAC 주소로 ARP Request를 보내어 응답이 오면 스니핑으로 판단
27. Ping Sweep
- Ping Sweep: 네트워크 내 모든 호스트에 Ping을 전송하여 스니핑하는 호스트를 특정하는 방식
28. Decoy 방법
- Decoy 방법: 가짜 관리자 ID와 PW를 네트워크에 흘려보내어 해당 계정으로 접속하는 IP를 특정하는 방식
29. ARP Watch
- ARP Watch: ARP Cache Table의 변경 사항을 감시하는 도구
30. CIDR
- CIDR: 클래스 구분 없이 IPv4 전체에 대해 네트워크 ID와 호스트 ID를 설정하는 주소 할당 방식
- 예:
10.10.10.0/24
- 예:
31. TCP 플래그
32. 패킷 캡처 도구
- Packet Sniffer: 패킷을 캡처하는 도구
- Unix: tcpdump, wireshark
- Windows: windump
33. Pcap 확장자
- Pcap 확장자: Packet Capture 파일 형식
34. TCP Connect Open Scan
- TCP Connect Open Scan: 3-way handshake 후 연결을 끊기 위해 RST 패킷을 보내는 이유는 포트가 열려 있는지 확인한 후 즉시 연결을 종료하기 위함
35. X-Mas Scan
- X-Mas Scan: 모든 비트를 설정하거나 URG, PSH, FIN만 설정하여 스캔 수행
36. TCP SYN Half Open Scan
37. TCP ACK 스캔
- TCP ACK 스캔: 방화벽 정책을 확인하기 위한 스캔, 응답이 오면 방화벽에 의해 허용된 것으로 판단, 무응답은 방화벽에 의한 필터링
38. Trinoo
- Trinoo: DDoS 공격 도구로, Attacker, Master, Agent로 구성되며 UDP Flooding 공격을 수행
- Attacker: 공격 명령을 내리는 해커 컴퓨터
- Master: Attacker로부터 명령을 받아 Device에게 전달
- Zombie PC (Device/Slave): 실제 공격을 수행
39. IP Directed Broadcast 비활성화
- no ip directed-broadcast: Smurf 공격 대응
40. DDoS 공격 구성 요소
- Attacker: C&C 서버에 공격 명령을 내리는 해커 컴퓨터
- Target: 공격 대상 피해 시스템
- C&C (Master): Attacker로부터 받은 명령을 Device에 전달
- Zombie PC (Device/Slave): 공격 명령을 받아 실제 공격을 시행
41. TCP SYN Cookie
- TCP SYN Cookie: 클라이언트 인증 기술, SYN + ACK 응답 시 Sequence Number 대신 Cookie 값을 전송하여 SYN Flooding 공격 대응
- 설정 방법:
- Unix:
sysctl -w net.ipv4.tcp_syncookies=1 - Linux:
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
- Unix:
0: 미설정,1: 설정
위 설정 둘 다 동일한 방법입니다. 유닉스 리눅스 공통이므로 일반적르로 sysctl 로 설정합니다- TCP SYN Cookies
- 설정 방법:
42. TCP SYN Flooding
-
TCP SYN Flooding: Backlog Queue를 가득 채워 연결 자원을 소진시키는 DoS 공격
- 대응책:
- Backlog Queue 사이즈 확장:
sysctl -w net.ipv4.tcp_max_syn_backlog=1024
- Backlog Queue 사이즈 확장:
임계치 기반 차단 (pps 설정):
iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 30 -j DROP- TCP SYN Cookies 사용:
sysctl -w net.ipv4.tcp_syncookies=1 - First SYN Drop 방식 사용: 정상적인 요청이라면 SYN 요청 실패 시 재요청 매커니즘 사용
- TCP SYN Flooding에 대한 자세한 설명
- 대응책:
43. IP Tables 관련
44. Slow HTTP Read DoS
45. Unicast RPF (Reverse Path Forwarding)
46. sysctl -a
- 모든 커널 파라미터를 확인합니다.
47. IpSec
48. sysctl -n parameter
- 특정 커널 파라미터를 확인합니다.
49. sysctl -w parameter=value
- 커널 파라미터 값을 수정합니다.
50. ndd
51. directed-broadcast
52. smurf attack 커널 파라미터 대응
53. Solaris: backlog queue resize
ndd -set /dev/tcp tcp_conn_req_max_q0 1024
q0: 대기 큐
q1: 이미 연결된 요청의 큐
54. Linux: backlog queue resize
sysctl -w net.ipv4.tcp_max_syn_backlog=1024
55. Linux: TCP SYN Cookies 설정
sysctl -w net.ipv4.tcp_syncookies=1
56. ICMP Redirect 커널 레벨 대응
57. ip source routing 대응
58. ip forward 비활성화
59. 무선랜 보안설정
- 물리적 보안대책
- 접속 비밀번호 설정
- SSID default 설정값 변경
- SSID Broadcast 비활성화 (war driving 대응)
- 최신 암호화 통신 사용 (WPA2-3)
- EAP 인증 사용
- MAC 기기 등록 후 사용
참고 링크
60. wpa3
61. 무선 AP mac address filtering
- AP 단말에 허용할 MAC 주소를 미리 등록하지만, 공격자가 정상 단말의 MAC 주소를 위조하면 무력화될 수 있습니다.
62. VPN 프로토콜
- PPTP
- L2F
- L2TP
- IPSEC
참고 링크
63. ipsec
64. no ip unreachables
65. null routing
66. connection, socket timeout
67. no ip source-route
68. cisco route 기능
- access-list
- source routing
- snmp-server
