Network
스니핑과 스푸핑
🌐 스니핑(Sniffing) 스니핑(Sniffing)은 네트워크 상에서 자신이 포함되지 않은, 다른 상대방들의 패킷 교환을 엿듣는 공격 방법을 말한다. 쉽게 말하면, 타인의 네트워크 트래픽을 도청하는 과정이라고 할 수 있다. 이 때 사용되는 도구가 스니퍼(Sniffer)다. 🤜 스니핑 공격 방법 컴퓨터에서 스니핑 공격이 발생하는 것은, 일반적으로 작동하는 IP 필터링과 MAC 주소 필터링을 수행하지 않고, LAN 카드로 들어오는 전기신호를 모두 읽어 다른 상대방들 사이의 패킷을 관찰해 정보를 유출시킨다. 스니핑 공격은 앞서 말한 필터링을 무시하고, 모든 트래픽을 볼 수 있는 Promsicious Mode(무차별 모드; 유무선 네트워크 인터페이스 컨트롤러를 위한 모드로, 컨트롤러가 수신하는 모든 트래픽이 ..
Malware - 트로이 목마(Trojan Horse), 백도어(Backdoor)
🌐 트로이 목마 트로이 목마(Trojan Horse)는 겉보기에는 정상적인 프로그램으로 변장한 상태에서 숨겨진 악성 코드를 통해 사용자의 시스템 방어망을 뚫고 들어가는 악성코드의 일종이다. ① 백도어를 열고, ② 영향을 받을 만한 취약한 장치(시스템)를 제어함으로써 ③ 사용자의 데이터를 유출하고 이를 공격자에게 전송하며, 더 나아가 ④ 취약한 시스템을 통해 다른 악성 소프트웨어를 다운로드해 실행할 수 있도록 하는 악성코드이다. 현대의 트로이목마는 백도어 자체로 많이 사용되고 있다. 몇몇의 트로이 목마는 오래된 버전의 Internet Explorer와 Chrome의 보안적 취약점을 악용해 설치된 컴퓨터를 프록시 서버로 사용하기도 하고, 봇넷으로 사용해 DDoS 공격을 하기도 한다. 트로이 목마는 주로 웹 ..
서브네팅(Subnetting)
🌐 서브네팅(Subnetting) 서브네팅은 관리자의 편의를 위해 네트워크를 나누는 것으로, 네트워크 IP를 분할하는 작업을 말한다. 🤜 서브넷 마스크 (Subnet Mask) 서브넷 마스크는 전체 주소의 Network ID와 Host ID를 구분하기 위해 사용되는 개념이다. 서브넷 마스크는 "255.0.0.0", "255.255.0.0", "255.255.255.0"과 같은 방식으로 사용되고 32bit 값을 갖는다. 전체 주소와 Subnet Mask를 논리곱 계산을 하면 Network ID를 얻을 수 있다. 예를 들어 123.456.789.10 이라는 주소가 있고, Subnet Mask가 255.0.0.0라고 하면 일단 binary로 변환한다. ▪️ 123.123.123.10 → 01111011 011..
BurpSuite를 사용해 Proxy 해보기!
BurpSuite를 사용해서 Proxy를 설정해보자! 실습 환경 운영체제: Windows 11 Burp Suite Community Edition v.2020.4.1 1️⃣ 환경 설정 중 "프록시 설정 변경" 이 중 수동 프록시 설정을 선택한다. 수동 프록시 설정 프록시 서버 사용: "켬" 으로 전환 프록시 서버로 사용할 주소와 포트를 입력 2️⃣ Burp Suite 설정 프록시 설정 확인 앞서 설정한 주소와 포트에 대한 값이 추가되어 있는 것을 확인할 수 있다. Intercept [Proxy] > [Intercept]를 통해 프록시 서버에 의한 Intercept를 할 수 있고, Intercept를 끄고 켤 수 있다. 그 결과들을 HTTP History에서 확인할 수 있다. 프록시 서버를 사용하게 될 경..
![[CTF-D/Network] 당신을 플래그를 찾을 수 있을까?](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FtVYVp%2FbtrCDKspDbt%2FnUVbQZS811gXwcmy1MzPz1%2Fimg.png)
[CTF-D/Network] 당신을 플래그를 찾을 수 있을까?
📢 Description 당신이 플래그를 찾을 수 있을까? 제공되는 파일의 이름이 "irc.pcap"이다. 우선 이름에서 힌트를 얻어 IRC 프로토콜 위주로 살펴봐야할 듯 하다. ✏️ Analyze 하지만 IRC 프로토콜로 필터링했을 때 나오는 패킷이 하나도 없다. 패킷들을 쭉 살펴보면 그닥 길지 않고, TCP Stream의 수도 확인해보면 3개 밖에 나오지 않아 직접 확인했다. ( [Statistics] > [Conversations] > [TCP] ) TCP Stream 중 #ctf 가 붙은 메시지들을 확인할 수 있고, 이 문자열들을 조합하면 플래그를 얻을 수 있다.
![[CTF-D/Network] DefCoN#21 #1](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2Fbjjlcb%2FbtrCCFyodNy%2F5beKbK5wtGskFAKXaFI6T0%2Fimg.png)
[CTF-D/Network] DefCoN#21 #1
📢 Description Jensen 사건을 맡게 된 Jack과 그의 팀은 Jensen의 회사와 가정에 네트워크 탭과 무선 캡처 장비를 설치했다. 모니터링을 하는 동안 Jack과 그의 팀은 흥미로운 용의자인 Betty를 발견했다. 이 사람은 Jensen 부인이 남편과 바람을 피고 있다고 걱정하는 여자일 수도 있다. Jack은 포렌식 전문가인 당신에게 캡쳐 정보를 자세히 보여준다. 그리고 회의가 진행된다. Round 1 패킷을 사용해서 사건에 대해 자세히 알아보고 다음의 질문에 답하시오. 회의가 예정된 요일은 언제인가? 주어진 패킷을 분석하고, Betty와 Jensen이 주고받은 메시지 중 회의 요일과 관련된 내용을 확인해야 하는 문제다. ✏️ Analyze 우선 주고받은 메시지이므로, irc 프로토콜을 ..
IP Address - whois, hosts 파일, ping
▶️ IP Address / MAC Address에 대한 간단한 소개는 이전 블로그 글에서 확인할 수 있습니다 : ) 🌐 IP Address 🤜 IP 주소 할당 방법 IP 주소 관리 기관이 ISP(Internet Service Provider)에게 공인 IP 주소를 할당하고, ISP는 사용자에게 공인 IP 주소를 부여하는 방식으로 IP 주소를 할당받을 수 있다. 🤛IP Address - Network ID, Host ID 하나의 IP 주소는 Network ID와 Host ID를 가지게 된다 ⇒ IP Address = Network ID.Host ID Network ID Network ID는 인터넷 상의 Host들을 보다 쉽게 관리하기 위해 네트워크를 여러 범위로 나눈 것이다. 예를 들어, 전세계의 Hos..
OSI 7계층
🌐 OSI 7계층 OSI 7계층은 Open Systems Interconnection Reference Model 7 Layer로, 직역하면 개방형 시스템 상호연결 참조모델 7계층이다. 이는 국제 표준화 기구(ISO)에 만든 통신에 관한 계층화 표준 모델로, 서로 다른 다양한 기종들의 시스템들 사이에서의 네트워크 상호호환을 위해 정의된 표준 아키텍처다. 1️⃣ 물리 계층 (Physical Layer) 물리계층은 물리적인 장치의 전기전자적인 연결에 대한 계층을 말한다. 물리 계층에서는 주소에 대한 개념이 없고, 물리적으로 연결된 노드 간에 전기적인 신호를 통해 디지털 데이터를 주고받는다. 단위: 비트(Bit) 주요 프로토콜: X.21, RS-232 등 주요 장비: 허브, 리피터, 네트워크 카드(NIC) 등..
네트워크 프로토콜: HTTP, HTTPS, FTP
🌐 HTTP HTTP(HyperText Transfer Protocol)는 서로 다른 시스템들 사이에서 통신을 주고 받도록 하는 여러 프로토콜 중 가장 대표적이고 기본적인 프로토콜이다. 대표적으로 인터넷을 사용할 때 서버에서 각 인터넷 브라우저에 데이터를 전송해주는 용도로 사용되고 있다. 더 자세한 내용은 HTTP Requset와 Response에 대해 정리한 글에서 확인할 수 있습니다! 🌐 HTTPS HTTPS(HyperText Transfer Protocol Secure)는 HTTP의 보안 문제점을 보완한 프로토콜이다. 🚨 HTTP의 문제점 HTTP는 서버에서 브라우저로 전송되는 정보가 암호화되지 않는다. 따라서, 공격자가 데이터를 중간에 탈취할 경우 그대로 공격자가 데이터를 읽을 수 있게 된다는 뜻..