세미나.. NETWORK??!! 저자 : 장경칩 E-mail : ox1111@paran.com 도전하라 창조의 세계로(SINCE 1992) - 장경칩.

Slides:



Advertisements
Similar presentations
6 장. 네트워크 개론 네트워크 장비, 프로토콜, 통신망. 개요 네트워크란 ? 네트워크의 종류 데이터전송방식 네트워크 장비 프로토콜의 종류 IP 주소체계 네트워크 토폴로지 통신망 네트워크진단 명령어.
Advertisements

AMAN2002 를 이용한 TCP/IP 프로토콜 분석 및 네트워크 프로그래밍 www. nms4you.com 1 AMAN2002 추가 기능 실습 Chapter 13:
마음의 중심을 갖고 기술의 중심이 되자 ! 네트워크 Written by kilsung park.
차세대네트워크보안기술 영산대학교 네트워크정보공학부 이원열.
멀티미디어 서비스를 위한 IP 네트워크 순천향대학교 정보기술공학부 이 상 정
조준희 (Cho, Junhee) TCP/IP 조준희 (Cho, Junhee)
Chapter 03. 네트워크 보안 : 길을 지배하려는 자에 대한 저항
TCP/IP 통신망 특론 3장 인터넷프로토콜( IP ).
Chapter 8 Authorization
7장. TCP와 UDP.
파이프라인된 프로토콜 파이프라이닝: 송신자는 확인 응답을 기다리지 않고 여러 패킷을 전송하도록 허용
한드림넷 솔루션 소개.
Asymmetric Link 분석.
암호화 기술(SSL, IPSec) 손재성 권기읍 안복선 최준혁
암호화 기술(IPsec,SSL) 배문주 송정미 황유진.
Chapter 06. 프로토콜.
22 장 프로세스간 전달 : UDP와 TCP 22.1 프로세스간 전달 22.2 사용자 데이터그램 프로토콜
TCP/IP Socket Cover Slide 조태문.
1. 왜 의사헤더를 추가하나? 1 / 32 UDP 데이터그램이 목적지에 제대로 전송됐는지 확인하기 위해
☞ 컴퓨터 관리하는 방법 컴퓨터 미 사용시 반드시 컴퓨터 끄기를 한다.
제 1장 인터네트워킹.
Dept. of Computer Engineering, Hannam Univ. Won Goo Lee
SNMP (Simple Network Management System)
Chapter 08. 네트워크 관리.
서버의 종류와 기능 환경공학과 권진희.
TCP/IP Socket Cover Slide 조태문.
Network 네트워크 이론 및 실습 TCP / IP 4장.
PART 01 개념 컴퓨터 네트워크 Chapter 3 OSI 참조모델과 인터넷 임효택.
제 4장 주소변환 프로토콜 (ARP : Address Resolution Protocol)
제 18 장 TCP/IP 연결 확립과 종료 정보통신연구실.
네트워크 보안 TCP/IP 네트워크통신 개념.
Chapter 02 네트워크에 대한 이해.
4주 : 정보통신 네트워크 인터넷정보원 및 학술정보자원의 활용 담당교수 : 박 양 하 정보통신시스템 – 정보전송/처리시스템
Chapter 8 목차 8.1 네트워크 보안이란 무엇인가? 8.2 암호학의 원리 8.3 메시지 무결성 8.4 종단점 인증
Chapter 2 OSI 모델과 TCP/IP 프로토콜.
11. 해킹기술 (2) - hacking & security -
PART 02 프로토콜 컴퓨터 네트워크 chapter 06 트랜스포트 계층 임효택.
Chapter 8 목차 8.1 네트워크 보안이란 무엇인가? 8.2 암호학의 원리 8.3 메시지 무결성 8.4 종단점 인증
Chapter 05 목록화.
Network Security Footprint & Scan.
침입탐지시스템과 정보보안 안
정보보호 실습 #2 네트워크 스캐닝 Choong Seon Hong Networking Lab.
Access Control Lists Access Control List
PART 01 개념 컴퓨터 네트워크 Chapter 3 OSI 참조모델과 인터넷 임효택.
3부 해킹 전 정보 획득 Chapter 6. 풋프린팅과 스캔
TCP/IP 통신망 특론 2장 Link Layer 컴퓨터 네트워크 실험실 이희규.
컴퓨터 네트워크 개념, 프로토콜, 프로그래밍 임 효 택, 송 주 석 dongseo. ac
DoS와 DDoS 공격 DOS와 DDOS 공격의 이해 DOS 공격의 이해 DDOS 공격의 이해 한빛미디어(주)
Network Programming(1)
네트워크 보안 3 오 세 종.
Chapter 15 Transmission Control Protocol (TCP).
1. 침입탐지시스템(IDS) 침입탐지시스템의 구성 Network Base IDS Host Base IDS
네트워크와 소켓 프로그래밍 Chapter 01. * 학습목표 TCP/IP 프로토콜의 동작 원리를 개관 소켓의 기본 개념을 이해
멀티 쓰레드 기반의 채팅 프로그램 문성영 김현진 학번 이름 장용하 차희진 연구제안서.
OSI 모델 OSI 모델의 개념과 필요성 OSI 모델의 데이터 전송 과정 OSI 모델 7계층 한빛미디어(주)
Transmission Control Protocol (TCP)
Chapter 04. OSI 참조 모델.
TCP/IP 네트워크 구조 TCP/IP 개요 TCP/IP 프로토콜 한빛미디어(주).
Chapter 16 Socket Interface.
기술가정 2학년 2학기 4.컴퓨터와 생활 > 2) 인터넷의 활용 > 1/7 인터넷이란 무엇일까.
컴퓨터 개론 √ 원리를 알면 IT가 맛있다 쉽게 배우는 컴퓨터 기본 원리 한빛미디어 교재출판부.
윤성우의 열혈 TCP/IP 소켓 프로그래밍 윤성우 저 열혈강의 TCP/IP 소켓 프로그래밍 개정판
8 네트워크 계층 프로토콜 학습 목표 IPv6의 필요성과 헤더 구조를 이해한다. 이동 IP 프로토콜의 터널링 원리를 이해한다.
김 형 진 전북대학교 IT응용시스템공학과 네트워크의 기본 Chapter 김 형 진 전북대학교 IT응용시스템공학과.
Part TCP / IP 1. TCP / IP 프로토콜 2. 기본 프로토콜.
Chapter 17 BOOTP and DHCP.
Information Security - Network Scanning.
Ethereal 컴퓨터 통신망.
네트워크 프로토콜.
네트워크는 각종 공격들의 위협(Threat)을 받고 있다.
Presentation transcript:

세미나.. NETWORK??!! 저자 : 장경칩 E-mail : ox1111@paran.com 도전하라 창조의 세계로(SINCE 1992) - 장경칩

TCP / IP 란? LINK 계층 ( DATA-LINK LAYER ) NETWORK 계층 TRANSPORT 계층 APPLICATION 계층

TCP /IP 란? LINK계층( DataLink Layer ) 장치 구동기( device driver)와 Network Card를 포함한 모든 하드웨어(cable, connector )에한 규정

TCP/IP? Network 계층 네트워크상에서 패킷 전송에 필요한 여러가지 사항을 규정 인터넷 주소를 인식하는 계층 사용 프로토콜은 IP, ICMP 등

TCP/IP? Transport 계층 바로 상위 계층인 응용 계층(Application Layer)에게 호스트간의 데이터 흐름 통로를 제공한다. 이 계층의 프로토콜로는 TCP와 UDP(User Datagram Protocol)가 있다. TCP에서는 흐름제어, 에러 제어 등을 통해 신뢰성 있는 전송을 제공하지만, UDP는 신뢰성 있는 전송을 제공하지 않는다. 따라서 UDP를 이용하는 프로그램은 에러제어, 흐름제어 등을 스스로 수행해 주어야 한다. 현재 인터넷상의 대부분의 서비스는 TCP를 이용하고 있다.

TCP/IP? Application 계층 각종 응용프로그램들 ( ftp ,telnet )

Tcp/ip? telnet server telnet client TCP TCP IP IP Ethernet Driver

TCP/IP TCP/IP 프로토콜 인터넷에서 사용하는 프로토콜을 TCP/IP라고 하는데, 이 때 말하는 TCP/IP란 TCP와 IP만을 정의한 한 것이 아니라 앞에서 설명한 네 계층의 모든 프로토콜을 통틀어서 TCP/IP라 한다. 그래서 TCP/IP 프로토콜(TCP/IP Protocol Suite 또는 TCP/IP Protocol Family)이라는 말을 쓰기도 한다.

공격 1단계 정보수집 해커들이 해당 목표시스템에 대한 정보를 수집하는 단계이다. 일반적으로 목표 시스템에서 기본으로 제공하는 정보들을 수집한다. 2단계 서비스및 시스템 탐지 대상 목표에 어떤 시스템이 있는지 어떤 서비스를 운영하고 있으며 포트는 어떤 것들이 열려있고 해당 서비스의 버젼은 어떻게 되는지를 분석하는 단계이다. 일반적으로 ping이라는 명령어를 사용하며 그 외에도 많은 포트 스케너 프로그램들이 존재한다. 3단계 운영체제 탐지 목표 시스템의 운영체제가 무었인지 감지하는 단계이다. OS를 감지하는 기술은 "IP stack fingerprinting"이라는 특성을 이용한다 시스템에 따라 IP stack의 구현이 다른 점을 이용하여, 특정 패킷을 만들어 보내어 그 응답에 따라 시스템을 구별해내는 방법이다 4단계 네트워크 토폴리지 밎 필터링 규칙 감지 "hop count"를 사용하여 네트워크 거리를 알아내며 파이어 월이 필터링을 하지 못하는 특정 ICMP 패킷이나 UDP를 사용하여 분석한다. 5단계 네트워크 서버의 정보 수집 DNS, SNMP, sendmail, NetBios등 일반 네트워크 서버에서 제공하는 정보를 알아내서 공격시에 유용하게 사용할수 있도록 한다. 6단계 시스템 침입 시스템의 침입 단계이며 5단계까지 분석한 정보를 사용하여 실제로 시스템에 침입을 하게 되는 단계이다. 침입은 주로 잘 알려진 버그를 이용하는 경우가 많은데 sandmail, bind등 의 오버플로우의 취약점을 사용하여 공격하는 방법이 있다. 7단계 공격준비 이것은 일단 침입을 한후에 일어나는 단계이다. 일단 해커는 자신의 침입 기록을 먼저 제거하려고 한다. 그리고 다시 나중에 다시 침입을 위해서 백도어를 설치하게 된다. 해커는 필요에 따라 직접 공격을 하거나, 다른 사이트를 공격하는 좀비컴퓨터를 만드는것을 목표로 한다.

공격 공격자 공격자 좀비 컴퓨터 1) 공격 ISP 라우터 스위치 3) 패킷 탐지 2) 라우터에서 Portalbe 패킷 보냄 Portable 컴퓨터 패킷 필터링 좀비 컴퓨터 스위치 비정상 패킷 탐지 Detection Agent 4) 공격 패턴 유형을 기반으로 portable 에게 packet 필터링 요구 3) 패킷 탐지 2) 라우터에서 Portalbe 패킷 보냄 1) 공격

공격/방어(DOS 공격) 공격자 소스 200.200.200.2 목적지 203.203.20.1 목적지 라우터 목적지 www.yahoo.com 203.203.20.1 ISP 라우터 공격자 소스 200.200.200.2 Black hole 방어 기술 Ip rotue 203.203.20.1 255.255.255.255 null0 라우터에 위 명령어를 입력해서 공격 당하는 IP대역을 무력화 시킴 단점 해당 대역폭은 사용하지 못함. 1. 정보수집 2. 서비스 및 시스템 탐지 3. 운영체제 탐지 4. 네트워크 토폴리지 및 필터링 규칙 감지 5. 네트워크 서버의 정보 수집 6. 시스템 침입 7. 공격 준비

공격예) 3-WAY HANDSHAKE A B TCP 커넥션은 three-way Handshake로 3중 패킷 교환 1) A는 SYN 패킷을 B로 보냅니다. 2) B는 SYN/ACK 패킷으로 응답하고 3) A는 ACK 패킷으르 응답합니다.

공격예) SYN FLOODING [ SYN 공격 ] SYN 플러드 공격은 존재하지 않거나 도달할 수 없는 주소를 가진 위조된(“스푸핑된”) IP 소스 주소가 포함된 SYN 패킷으로 사이트에 쇄도합니다. SYN공격은 공격지에 SYN패킷을 보내서 넘치게 함 SYN가 오면 SYN-ACK로 응답하는데 그 후 다시 ACK가 올 때 까지 backlog큐에 모든 SYN/ACK를 넣는다 해당 ACT가 오거나 TIME OUT되었을 경우 3단계 교환 의 TCP 통신규약이 종료 Backlog큐가 꽉 찼을 때 들어오는 모든 SYN요구 무시하며 시스템이 인증된 사용자의 요구도 응답을 못함

공격예) 해커 (A) 200.200.200.5 공격지 (B) 1) A는 SYN 패킷을 B로 보냅니다.(응답 받지 못하는 가짜 IP로 설정 ) 2) B는 SYN/ACK 패킷으로 응답 가짜 IP (C) 10.1.1.2 3) B는 ACK 패킷을 받지 못해서 TIME OUT됨. 4) Backlog큐가 꽉찬다. 5) 모든 syn요구 / 사용자 요구 응답 못함

TCP의 세부 매커니즘 SENDER FLOG 방향 SEQ ACK NEXT DATA SIZE RECEIVER SenderID 생성 현재 자신이 생성한SEQ 혹은 대상이 원하는 SEQ 다음에 대상이 가지고 들어와야 하는 ID SYN  1000 1001 SYN/ACK  2000 ReceiverID SenderID++ 2001 ReceiverID++

TCP의 세부 매커니즘 SEQ NUMBER : 초기에는 자신이 생성하며 그 이후에 대상 장비가 원하는 SEQ NUMBER를 대상 장비로부터 받아서 사용한다. ACK NUMBER : 대상 장비에게 SEQ NUMBER를 지정 할 때 사용한다. SYN : 먼저 Sender의 ID를 생성 후 SEQ NUMBER로 설정한다.. SYN/ACK : Receiver가 ID를 생성 후 SEQ NUMBER로 설정한다.. 그리고 Sender에게 받은 SEQ NUBER에 +1 시켜서 ACK NUMBER로 설정 후 보낸다. ACK : Receiver에게 받은 ACK NUMBER를 SEQ NUMBER로 설정 하고 Receiver에게 받은 SEQ NUMBER에 +1 해서 ACK NUMBER로 설정 후 보낸다.

방어 예) TCP 차단 1안) : TCP flow의 중간에 끼어 들어서 RST( Reset ) 패킷을 보내서 세션을 끊는다. 단점 : 스위치 허브에서는 작동하지 않는다. 장점 : 특정 서비스 포트별로 차단이 용이하다. [1] SYN : SENDER가 자신의 SEQ 번호를 전송한다 [ SEQ NUMBER : 1000 , ACK NUMBER : 0 ] RECEIVER SENDER [2] SYN / ACK : RECEIVER가 자신의 SEQ번호를 전송하고 다음에 들어올 SENDER의 SEQ 번호를 지정해 (ACK NUMBER) 준다 [SEQ NUMBER : 2000 , ACK NUMBER : 1001 ] [3] ACK [SEQ NUMBER : 1001 , ACK NUMBER 2001 ]

[3] SYN / ACK [ SEQ NUMBER : 2000 ] 방어 예) [1] SYN [ SEQ NUMBER : 1000 ] [3] SYN / ACK [ SEQ NUMBER : 2000 ] [5] ACK[ SEQ NUMBER : 1001 ] SENDER [2] RST[ SEQ NUMBER : 1000 ] ( SYN: Reset 패킷을 보내서 바로 세션 종료 시킴 ) [6] RST[ SEQ NUMBER 1001 ] ( ACK : Reset 패킷을 보내서 바로 세션 종료 시킴 ) [4] RST[SEQ NUMBER : 2000 ] ( SYN/ACK : Reset 패킷을 보내서 바로 세션 종료 시킴 ) RECEIVER TCP 차단 : TCP flow의 중간에 끼어 들어서 RST( Reset ) 패킷을 보내서 세션을 끊는다. 1-1) 세션이 연결하기 전에 차단하는 방법 : SYN,SYN/ACK,ACK 패킷 다음에 끼어들어서 RST( Reset ) 패킷을 보낸다.

FRAME 구조

FRAME 구조

FRAME 구조

WDM 구조

WDM : 파일시스템의 호출 구조도 : VOD에서 top device object를 찼아서 attach 한다. : CreateFile및 드라이버 호출 method : ReadFile,WriteFile의 method : Close method

WDM 위 표는 가장 간단한 구조를 설명 한 것으로 사실은 좀더 복잡합니다. 하지만 좀더 이해를 돕기 위해 Anti Virus의 driver의 엔지 설치되는 과정을 짚어 보겠습니다. CDO는 장치로부터 NTFS, FAT의 파일의 정보를 관리합니다. VDO는 장치부터 C\,D\의 볼률에 관한 정보를 관리합니다. 새로운 장치가 발견된다면 OS의 열거자가 감지해서 2개의 OBJECT를 이용해 해당 장치를 관리합니다. 이런 FILESYSTEM는 스택구조로 관리 되고 있으며 CDO -> VDO -> FILESYSTEM( C\ ) 순으로 나열되고 있습니다. 가령 커널 데이터에서 애플리케이션단으로 가는 정보를 제어 및 변경 하고 싶다면 ( 예 ) VDO->FILESYSTEM(C\) -> ANTI- VIRUS 엔진 이렇게 C\ DEVICE DRIVER위에 ANTI-VIRUS 엔진을 올려서 커널에서 올라오는 정보를 감시/제어를 할수 있습니다.. 만약 다른 시만텍의 VIRUS나 다임즈가 개발한 VIRUS 엔지를 ATTACH 한다면 현 시스템의 TOP OJBECT CLASS를 찼아서 그 위에 ATTACH합니다. VOD -> FILESYSTEM(C\) -> ANTI-VIRUSL 엔진 -> 시만텍 VIRUS엔진 -> 다임즈 VIRUS 엔진

참고 해커 스랩 : http://www.hackerslab.org/korg/ 해커 그룹 : http://www.null2root.org 해커 스쿨 : http://hackerschool.org/ Hack in the box : http://forum.hackinthebox.org 카이스트 : 정보보호 개론   "Security in Computing," Charles P. Pfleeger, Prentics-Hall International Inc., 1997