정보보안기사&CISSP관련172 [Day 117] TCP 연결 설정과정(3-Way Handshake) 1단계 클라이언트가 서버와 연결 설정을 위해 SYN을 보냄 2단계 클라이언트의 연결요청에 대한 ACK와 함께 클라이언트로 SYN 요청을 보내 연결 수립 ACK를 하게되면 반드시 Acknowledgement Number(Ack.num)를 설정함 Ack.Num은 상대방이 다음에 보낼 패킷의 순서번호(Sequence Number)를 의미 "Ack.Num:1001" 은 1000번까지 수신했고 1001번을 보내라는 뜻 Ack.Num = Seq.Num+1 (만약 수신받은 데이터가 있으면 1 대신 data 길이만큼 더함) 3단계 Server의 SYN 패킷에 대해 ACK 전송 후 최종적으로 연결설정 완료됨 2020. 12. 5. [Day 116] TCP Protocol - 구조 TCP Protocol 구조 Sequence Number 송신 데이터 순서 번호 연결 초기 단계에서 초기 순서번호(ISN, Initial Sequence Number)를 상호간에 주고 받음. 0아닌 랜덤한 숫자 Acknowledgment Number ACK와 함께 해당 필드에 상대방이 다음에 전송할 순서 번호를 담아서 보냄 Control Flags URG(Urgent pointer in valid) : 긴급 데이터 설정 ACK(Acknowledgment is vaild) : 수신확인 응답 설정 PSH(Request for push) : 송수신 버퍼에 있는 데이터 즉시 처리 RST(Reset the connection) : 연결 중단(강제 종료) SYN(Synchronize sequence numbers).. 2020. 12. 4. [Day 115] DBD(Drive By Download) 공격 DBD(Drive By Download) 공격 취약한 PC환경의 사용자가 홈페이지에 접속할 경우 자신의 의도와 무관하게 악성코드가 다운로드되어 설치되는 공격 보통 파밍형 악성코드를 통해 금융/개인정보를 탈취하거나, 특정 타겟 대상으로 악성코드를 유포하는 워터링 홀 방식의 APT 공격이 주된 목적임 DBD공격은 일반적으로 난독화된 악성 스크립트와 다수의 경유지/중계지를 거쳐 최종 유포지로 접속하여 악성코드를 다운로드하도록 요청함. --> 추적을 어렵게 하려는 목적 관련 용어 경유 페이지(Passage Page) 또는 경유지 : 악성 스크립트가 삽입되어 있는 방문페이지 유포 페이지(Distribution Page) 또는 유포지 : 실제 익스플로잇 및 악성코드가 저장되어 있고 이를 유포하는 페이지 공격 시나리.. 2020. 12. 3. [Day 114] 루트킷(Rootkit) 개요 루트킷은 자신의 존재가 탐지되지 않도록 숨기면서 관리자 권한의 획득과 백도어 등의 기능을 수행하는 코드와 프로그램의 집합을 의미 chkrootkit을 실행하여 INFECTED로 표시되면 해당 파일이 감염 변조된 것 루트킷의 hidden process 탐지 원리 일반적으로 루트킷은 공격자가 숨기고자 하는 프로세스가 출력되는 부분만 제거하고 출력하도록 ps 프로그램을 만들어 타겟 시스템에 있는 정상 ps 프로그램과 바꿔치기하는 방식으로 동작함 루트킷 탐지 프로그램은 "ps" 실행결과와 "/proc" 디렉터리에 있는 프로세스 정보를 비교하여 /proc 디렉터리에는 프로세스가 있지만 ps 실행 시 보이지 않는 프로세스를 히든 프로세스로 탐지 /proc 파일시스템 유닉스/리눅스 커널이 메모리상에 사용하고 있.. 2020. 12. 2. 이전 1 ··· 19 20 21 22 23 24 25 ··· 43 다음
