0x01 끄적끄적 :)/Security
WinDbg 명령어 모음
WinDbg 명령어 WinDbg 에는 3 종류의 명령어가 있다. 일반 명령 : 일반적으로 사용하는 디버깅에 관련된 명령어 들이다. 브레이크 설정(bp), 타겟 제어(p,g) 등등메타 명령 : 디버거에 관련된 명령이다. 명령어 앞에 . 이 붙는다. 디버깅 심벌 경로 설정 (.sympath ), 모듈 심벌 로드 (.reload ) 등등확장 명령 : 외부 dll 로 제작된 명령이다(일종의 플러그인 ). 명령어 앞에 ! 이 붙는다. 예외상황분석( !analyze –v ) , 프로세스 구조체 보기 ( !peb ) 등등 구 분명 령 어설 명예 제도움말 보기.hh도움말을 연다..hh .reload // .reload 명령어에 관한 도움말을 열어본다 경로 설정.sympath디버깅 심벌 위치 디렉토리 설정.sympath..
Slow HTTP POST DOS(RUDY Attack)
Slow HTTP POST DOS(RUDY Attack) 비정상 트래픽을 보면 HTTP헤더의 Content-Length가 100000000Byte로 설정되어 있는데 실제 전송되는 데이터는 일정한 간격으로 1Byte씩 전송함을 알 수 있다. R-U-Dead-Yet (Are You dead yet?)Slow HTTP POST DOS(RUDY) 공격은 HTTP POST메소드를 이용하여 서버로 전달할 대량의 데이터를 장시간에 걸쳐 분할 정송하며, 서버는 POST데이터를 모두 수신하지 않았다고 판단하여 연결을 장시간 유지하므로 가용량을 소비하게 되어 다른 클라이언트의 정상적인 서비스를 방해하는 서비스 거부 공격이다. 클라이언트(웹 브라우저)는 HTTP요청을 통해 데이터를 웹서버로 전달하고자 할 때 POST방식(메..
HTTP GET Flooding with Cache-Control(CC Attack)
HTTP GET Flooding with Cache-Control(CC Attack) HTTP GET Flooding with Cache-Control(CC Attack)공격은 웹서버의 부하를 감소시키기 위해 캐싱 서버를 운영하여 많이 요청받는 데이터는 웹서버가 아닌 캐싱 서버를 통해 응답하도록 구축하는 경우 공격자는 HTTP 캐시 옵션(Cache-Control)을 조작하여 캐싱 서버가 아닌 웹서버가 직접 처리하도록 유도하여 웹서버의 자원을 소진시키는 서비스 거부 공격이다. 트래픽을 살펴보면 HTTP헤더의 Cache-Control값이 no-store, must-revalidate로 설정되어 있음을 알 수 있다. no-store(캐시저장금지) : 클라이언트로부터 요청받은 데이터를 디스크나 메모리, 별도의 ..
[Anti-DOS]SYN Cookie
SYN Cookie Syn cookie란 ? TCP 3-way-handShake TCP로 세션이 생성 되려면 아래와 같은 기본적인 3-way-handshake를 거친다. SYN Flooding 공격SYN Flooding 공격은 3-way-handshake의 취약점을 이용한 공격으로 공격대상 시스템의 TCP연결 자원(backlog queue)을 소진시켜 외부로부터 TCP 연결 요청을 받을 수 없는 상태로 만드는 서비스 거부 공격기법 이다. 경우는 아래와 같다.공격자가 SYN 패킷을 보내면 서버는 SYN/ACK 패킷을 보내고 SYN패킷에 대한 세션을 생성하고 응답을 기다린다. 따라서 공격자가 수많은 SYN패킷으를 보내면 수만은 세션을 생성하고 기다리게되고, 정상적인 사용자가 서버와 세션을 맺으려고 하면 이미..
ARP Spoofing
ARP Spoofing (속임수) 먼저 PC는 상대방 ip만 알고 MAC주소를 모를 때, ARP패킷을 주고받아 MAC주소를 알아오게 된다.이때, PC의 ARP Cache Table에 기록이 되게 되어 갱신하게 되는데,ARP Cache Table이 갱신 될 때는 1. 요청 받은 PC에 ARP Request를 받았을 때.2. 요청한 PC에 ARP Reply를 받았을 때. 이 두가지 경우에 ARP Cache Table이 갱신하게 된다.이 ARP의 특징을 이용해서 ARP Spoofing 공격이 진행된다. ARP Spoofing은 MAC주소를 이용한 공격이기 때문에 내부네트워크에서 진행되어 진다. ARP Spoofing이란 ? - arp의 특징을 이용해서 MAC주소를 속이는 방법.- ARP Cache Table을..
Dos (Denial of Service) 정의 및 공격 유형
DOS(Denial Of Service) # DoS의 정의 # DoS(Denial of Service)는 서비스 거부 공격으로 공격자의 컴퓨터로부터 표적 시스템과 그 시스템이 속한 네트워크에과다한 데이터를 보냄으로써 대역폭, 프로세스 처리능력, 기타 시스템 자원을 고갈시킴으로써정상적인 서비스를 할 수 없도록 하는 행위를 말한다. # DoS 공격 유형 # 1. 시스템 파괴 공격 (디스크, 데이터, 시스템 파괴)2. 시스템 자원 고갈 공격 (CPU, 메모리, 디스크의 사용에 과다한 부하 가중)3. 네트워크 자원 고갈 공격 (쓰레기 데이터로 네트워크 대역폭 고갈) # Ping of Death (ICMP Flooding) 공격 # ' 죽음의 필 날리기 ' 라고도 불리는 Ping of Death공격은 iCMp E..
TCP/UDP의 포트 목록
TCP/UDP의 포트 목록 잘 알려진 포트(well-known port)는 특정한 쓰임새를 위해서 IANA에서 할당한 TCP 및 UDP 포트 번호의 일부이다. 일반적으로 포트 번호는 다음과 같이 세 가지로 나눌 수 있다.0번 ~ 1023번: 잘 알려진 포트 (well-known port)1024번 ~ 49151번: 등록된 포트 (registered port)49152번 ~ 65535번: 동적 포트 (dynamic port)대부분의 유닉스 계열 운영 체제의 경우, 잘 알려진 포트를 열려면 루트 권한이 있어야 한다.이 번호는 강제적으로 지정된 것은 아니며, IANA의 권고안일 뿐이다. 가끔 각 포트 번호를 그대로 사용하지 않고 다른 용도로 사용하기도 한다. 이 경우, 트로이 목마와 같은 프로그램들이 악의적인..
통신과정 (ping, arp를 이용하여 통신하는 과정)
통신과정(PING, ARP를 이용하여 통신하는 과정) 일단 과정은 이렇다. xp가 설치된 PC와 BT5가 설치된 PC가 있다. (어떠한 운영체제 장비든 2개의 장비만 있으면 된다.) 장비 사이에 어떠한 정보도 있지 않고 ping통신을 한다고 하였을때 어떻게 ping통신이 가능하게 되는지 알아본다. 이 포스팅을 접하기 전에 먼저 Encapsulation과정과, Decapsulation과정을 먼저 숙지하고, OSI 7 Layer(OSI 7계층)에 대해서 먼저 공부하길 바란다. 1. xp -> BT5(backtrack5) (icmp request) xp가 BT5에 ip외엔 아무것도 모르는 상태에서 ping을 보낸다고 하자. icmp(4계층) echo request data[abcdef...] ip(3계층) s..