Presentation is loading. Please wait.

Presentation is loading. Please wait.

풋프린팅과 스캔 20076552 오가경 서금.

Similar presentations


Presentation on theme: "풋프린팅과 스캔 20076552 오가경 서금."— Presentation transcript:

1 풋프린팅과 스캔 오가경 서금

2 목차 풋프린팅이란? 풋프린팅의 필요성 풋프린팅의 획득정보 풋프린팅의 예 풋프린팅의 대응방법 포트 데몬 Well known 포트

3 목차 스캔이란? 스캔의 종류 Ping과 ICMP스캔 TCP와 UDP를 이용한 스캔 스캔 대응방법 TCP Open 스캔
TCP Half Open 스캔 스텔스 스캔 스캔 대응방법

4 풋프린팅이란? 해킹을 하기 전 이루어져야 하는 필수 작업 사회공학(Social Engineering)
기술적인 해킹 공격, 신문, 게시판 등 공격 대상의 정보를 모으는 방법 Internet, Intranet, Remote access, Extranet에 관련된 정보를 획득 사회공학(Social Engineering) 개인적인 관계, 업무상의 관계, 신분 사칭 등의 방법으로 정보를 모으는 비기술적 방법. 캐빈 미트닉

5 풋프린팅의 필요성 표적 시스템의 보안상태에 관해 완벽한 윤곽을 만들기 위한 가장 어려운 작업.
사용 가능한 모든 수단과 기술들을 이용하여 필수적인 정보들을 확보. 이 정보들을 이용하여 도메인이름의 특정 범위를 필요한 부분만 축소시켜서 네트워크 구역을 설정함으로써, 인터넷을 이용하여 직접 접속가능.

6 풋프린팅의 획득정보 활동 범위 결정 획득 가능 정보 풋프린팅을 수행할 범위를 결정 공개 소스 검색 검색 엔진 활용
위치 및 관련회사들과 부서들 인수 또는 합병 관련 뉴스들 전화 번호들 담당자 이름과 전자우편주소 프라이버시 정책과 보안정책들 목표와 관련이 있는 다른 웹 서버로의 링크

7 풋프린팅의 획득정보 도메인이름(Domain Name) 네트워크 블록(Network Blocks)
사용기법 확인 정보 인터넷 도메인이름(Domain Name) 네트워크 블록(Network Blocks) 인터넷 통해 접속 가능 시스템의 특정 IP주소 시스템의 구조 접속제어 매커니즘과 관련 접속 제어 리스트 침입 탐지 시스템(IDSec) 시스템 목록 ( 사용자/그룹 이름, 시스템 배너,SNMP정보)

8 풋프린팅의 획득정보 사용기법 확인 정보 인트라넷 사용중인 네트워킹 프로토콜(IP,IPX 등)
내부 도메인 이름(Internal Domain Name) 네트워크 블록(Network Blocks) 인트라넷 통해 접속가능 시스템의 특정 IP주소 확인된 각 시스템에서 동작중인 서비스(TCP,UDP) 시스템 구조 접속제어 매커니즘과 관련 접속 제어 리스트 침입 감지 시스템(IDSes) 시스템 목록(사용자/그룹이름, 시스템 배너.)

9 풋프린팅의 획득정보 사용기법 확인정보 원격접속 아날로그/디지털 전화 번호들 원격 시스템 형식 인증 매커니즘 엑스트라넷
연결 의뢰지와 목적지 연결형식 접속 제어 매커니즘

10 풋프린팅의 단계 -1-

11 풋프린팅의 단계 -1-

12 풋프린팅의 예 세기의 해커 케빈 미트닉 미국의 FBI와 소련의 스파이 가장 능통한 분야(신분 사칭 등..)
냉전 시절에 미국의 FBI가 소련의 스파이를 잡기 위해 dumpster driving 방법으로 쓰레기를 뒤져 정보를 얻어냄.

13 풋프린팅 대응방법 공용데이터베이스 보안 공격자들에게 도움이 될 만한 불필요한 정보들은 웹 페이지에서 제거
보안핸드북(RFC2196) 공격자들에게 도움이 될 만한 불필요한 정보들은 웹 페이지에서 제거

14 포트 각각의 프로토콜은 고유한 포트를 가지고 있음. 프로토콜을 배에 비유한다면 포트는 항구.
하나의 포트는 한 종류의 프로토콜만 사용. 프로토콜을 배에 비유한다면 포트는 항구. 활성화된 데몬에 의해 포트가 열림. 65535개의 포트 Well Known 포트 : 0번부터 1023번 포트 0번 포트는 사용되지 않음. 나머지 포트는 임의의 사용용도 or 서버 접속시 클라이언트에게 할당.

15 데몬이란? 시스템의 사용자 인터페이스에는 나타나지 않지만, 서비스가 요청되었을 때 이에 반응할 수 있도록 항상 실행되는 프로그램. 프로그램이므로 취약점 존재. -> 공격 가능.

16 Well Known 포트 포트번호 서비스 설명 20 FTP 21 23 Telnet 25 SMTP 53 DNS 69 TFTP
File Transfer Protocol-Datagram FTP연결시 실제로 데이터 전송 포트 21 File Transfer Protocol – Control FTP 연결 시 인증과 컨트롤을 위한 포트 23 Telnet 텔넷 서비스로서 원격지의 서버의 실행 창을 얻어낸다 25 SMTP Simple Mail Transfer Protocol 메일을 보낼 때 사용하는 서비스 53 DNS Domain Name Service 이름을 해석하는 데 사용하는 서비스 69 TFTP Trivial File Transfer Protocol 인증이 존재하지 않는 단순한 파일전송에 사용하는 서비스 80 HTTP Hyper Text Transfer Protocol 웹서비스

17 Well Known 포트 포트번호 서비스 설명 110 POP3 111 RPC 138 NetBIOS 143 IMAP 161
Post Office Protocol 메일 서버로 전송된 메일을 읽을 때 사용하는 서비스 111 RPC Sun 의 Remote Procedure call 원격에서 서버의 프로세서를 실행할수 있게한 서비스 138 NetBIOS Network Basic Input Output Service 윈도우에서 파일을 공유하기 위한 서비스 143 IMAP Internet Basic Input Output Service 161 SNMP Simple Network Management Protocol 네트워크 관리와 모니터링을 위한 서비스

18 스캔이란? 서비스를 제공하는 서버의 작동 여부와 그 서버가 제공하고 있는 서비스를 확인하기 위한 것.
질의(Request) - 응답(Response) 열려있는 포트, 제공하는 서비스, 동작중인 데몬의 버전, 운영체제의 버전, 취약점 등 다양한 정보 획득 가능

19 스캔의 종류 Ping과 ICMP 스캔. TCP와 UDP를 이용한 스캔. TCP Open 스캔 TCP Half Open 스캔
스텔스 스캔

20 Ping과 ICMP스캔 Ping Echo Request과 Echo Reply을 이용한 방법
네트워크와 시스템이 정상적으로 작동하는지 확인하기 위한 간단한 유틸리티 ICMP(Internet Control Messaging Protocol)를 사용 기본적으로 TCP/IP네트워크에서 사용

21 Ping과 ICMP스캔

22 Ping과 ICMP스캔 운영체제 ICMP Request 패킷 TTL ICMP Reply 패킷 TTL 리눅스 커널 2.2~2.4 255 64 리눅스 커널 2.0 FreeBSD 솔라리스 HP-UX 윈도우 95 32 윈도우 98, NT, 2000 128 운영체제마다 TTL값이 틀리고 세계 어느 곳에 있는 시스템이라 할지라도 20여 개 이상의 라우터를 지나는 경우는 드물기 때문에 TTL값이 55라면 기본 TTL 이 64라고 생각할 수 있다.

23 TCP와 UDP를 이용한 스캔 포트 스캔 TCP프로토콜 : 3way hand shaking UDP프로토콜
시스템의 활성화가 아닌 포트가 열려있는지를 스캔 TCP프로토콜 : 3way hand shaking UDP프로토콜 포트가 열려있는 경우에는 응답 없음. 닫혀 있는 경우 ICMP Unreachable 패킷 수신.

24 TCP와 UDP를 이용한 스캔

25 TCP와 UDP를 이용한 스캔

26 TCP Open스캔 Open 스캔은 3-웨이 핸드셰이킹 과정을 모두 거치기 때문에 상대방 시스템에 로그 기록이 남는다.
포트가 닫혀 있는 경우에는 공격자가 SYN패킷을 보내면 RST+ACK패킷이 돌아오고 공격자는 아무런 패킷도 보내지 않는다

27 TCP Half Open 스캔 완전한 세션을 성립하지 않고 포트의 활성화 여부를 확인하기 때문에 세션에 대한 로그가 남지 않음. 먼저 SYN 패킷을 보내고 포트가 열려 있을 경우 서버는 SYN+ACK 패킷을 보내고 공격자는 즉시 연결을 끊는 RST(Reset)패킷을 보낸다.

28 스텔스 스캔 TCP Half Open 스캔 공격 대상 시스템에 로그 정보가 남지 않음
세션을 완전히 성립하지 않고, 공격 대상 시스템의 포트 활성화 여부를 알아내기 때문 공격 대상의 시스템 관리자는 어떤 IP를 가진 공격자가 자신의 시스템을 스캔 했는지 확인할 수 없음.

29 스텔스 스캔 FIN, Xmas, Null 스캔 포트가 열려 있을 경우에는 응답이 없고, 포트가 닫혀 있는 경우에만 RST+ACK 패킷이 되돌아옴.

30 스텔스 스캔 시간차 공격 공격의 차단을 피하거나, 탐지를 회피하기 위해 특정한 시간 간격으로 스캔 패킷을 보내는 기법 짧은 시간 동안 많은 패킷 전송 : 방화벽과 IDS의 처리 용량의 한계를 넘기는 방법 긴 시간 동안 패킷 전송 : 패턴에 대한 정보획득이 불가능. 시간차 공격의 분류 Paranoid : 5분이나 10분 간격 Sneaky : WAN에서는 15초 단위로, LAN에서는 5초 단위 Polite : 0.4초 단위 Normal : 정상 Aggressive : 호스트 타임 아웃 : 5분, 패킷 당 1.25초까지 응답을 기다린다. Insane : 호스트 타임 아웃 : 75초, 패킷 당 0.3초까지 응답을 기다린다.

31 스캔 대응 방법 공격 시스템으로부터의 접속을 막는 규칙 설정 포트스캔 탐지기 사용
리눅스의 경우 portsentry.conf파일의 내부에 특정 시스템이나 네트워크로부터 포트 스캔의 패턴을 탐지할 수 있다 이러한 portsentry 구성 파일 내부에 접속을 막는 규칙을 설정 할 수 있다. 포트스캔 탐지기 사용 BlackICE, ZoneAlarm등을 통한 탐지기를 사용하는 방법

32 운영체제의 탐지 배너 그래빙(banner grabbing) : 텔넷과 같이 원격지의 시스템에 로그인하면 뜨는 안내문과 비슷.
운영체제에만 배너그래빙이 있는 것이 아니라 방화벽이나 IDS에도 배너가 있으며 21,25,110,143번 포트에서 telnet [공격대상 IP][공격포트번호]와 같이 입력하여 배너 그래빙할 수 있다. TCP/IP 프로토콜에 대한 반응 FIN 스캔을 이용. 적용되는 운영체제는 윈도우, BSD, Cisco, IRIS등 세션연결시 TCP패킷의 시퀀스 넘버 생성을 관찰. - 윈도우:시간에 따른 시퀀스 넘버생성 - 리눅스 :완전한 랜덤 FreeBSD,Digital-Unix,IRIX,솔라리스 : 시간에 따른 랜덤한 증분 넷크래프트 웹사이트 이용

33 방화벽과 침입 탐지 시스템의 탐지 방화벽은 방어선 역할을 함.
침입탐지 시스템(IDS,Intrusion Detection System)은 실패한 공격에 대한 탐지를 하여 관리자에게 알려주는 역할을 함. 방화벽과 IDS유무와 취약점만 얻으면 효과적인 해킹이 가능해짐 방화벽설치 유무를 아는 방법 : traceroute(리눅스경우) ICMP UDP IP TTL값을 이용해서 Traceroute 로 동작유무를 알 수 있다. 1. TTL 값을 1로 설정해서 포트 번호를 33435번으로 하여 UDP 패킷을 한 번에 세 개씩 보낸다. 2. 첫 번째 라우터는 1로 설정된 TTL 값을 0으로 줄이고, 출발지 주소로 ICMP Time Exceed Message(Type 11)을 보낸다. 3. a.a.a.a에서는 이 패킷을 보고, 첫 번째 라우터까지의 시간을 알아낼 수 있다. 4. 다시 두 번째 라우터까지는 TTL 값을 2로 설정해서 보내고, 첫번째 라우터와 같은 과정을 거친다. 5. 계속 라우터를 통과하여 목적지 시스템에 도달하게 되면, ICMP port unreachable(Type 3) 패킷이 돌아오게 되고, 모든 과정이 끝난다.

34 방화벽과 침입 탐지 시스템의 탐지 VisualRoute라는 프로그램은 패킷의 전달 경로와 지도에서 서버위치 보여줌.
메일을 입력하며 그메일 쓰는 메일서버에 대한정보와 [tool]-[ Tracker]를 선택하여 원하는 이메일 주소를 적어 넣으면 메일서버의 IP주소 버전을 알 수 있다. 일반적으로 툴은 Sam Spade가 있다. 이툴은 포트스캔을 제외한 여러가지 스캔을 효과적할수 있음. 일단 방화벽이 확인되면 어떤종류의 방화벽인지 확인 중요. 방화벽과 IDS각각의 작동상이유로 열려 있는 포트가 있다 . 고유한 포트를 잘알고 있으면 스캔을 통해 방화벽의 종류를 알아 낼 수 있음

35 방화벽과 침입 탐지 시스템의 탐지 방화벽 활성화된 포트 Check Point:Firewall-l 256,257,258
M.S. Proxy 1080,1745 M.S. ISA 1078,1080,1745 어울림 Secure Works 3346,2890 화랑 486,285 Cisco PIX 530,540 수호신 764,765 Astaro 1235,1236 IP Chain 1334

36 방화벽과 침입 탐지 시스템의 탐지 300.301 M.S.ISA 1078.1080.1745 어울림Secure IDS 1033
Check Point:VPN Swite M.S.ISA 어울림Secure IDS 1033 Cisco PIX IDS 550 수호신 Network Solution 인젠 Netwatcher 1887 정보보호원 TSN 1900 Snort 2350

37 감사합니다. 질문해보십시오.-_-^


Download ppt "풋프린팅과 스캔 20076552 오가경 서금."

Similar presentations


Ads by Google