[해킹실습] 시험대비 정리

[해킹실습] 시험대비 정리

프로토콜 3대요소 (서술형 예상)

* 구문: 데이터의 구조나 포맷을 의미

* 의미: 전송되는 데이터의 각 부분이 무엇을 의미하는지를 알 수 있게 미리 정해둔 규칙

* 순서: 어떤 데이터를 보낼 것인지와 얼마나 빠르게 데이터를 보낼 것인지를 정의

브릿지 (단답형 예상)

* 랜과 랜을 연결하는 네트워크 장치, 데이터 링크 계층에서 한 네트워크에서 그 다음 네트워크로 통신선로를 따라 데이터 프레임을 복사하는 역할을 하는 네트워크 장비

2계층 데이터링크 계층 (단답형 예상)

* 점대점(point-to-point) 연결에 신뢰성 있고, 투명한 데이터 전송을 보장하기 위한 계층으로, 이를 위해 양단간에 오류 제어와 통신량 제어, 그리고 다중화를 제공하는 계층

정보 보안의 3요소 (서술형 예상)

* 기밀성: 허가되지 않은 사용자나 객체가 정보의 내용을 알 수 없도록 하는 것. 암호화가 대책

* 무결성: 허가되지 않은 사용자나 객체가 정보의 수정을 할 수 없도록 하는 것. '서버와 클라이언트 간에 변조되지않고 전송되는 가'와 관련이 있음

* 가용성: 허가된 사용자나 객체가 정보에 접근하려고 할 때 방해받지 않도록 하는 것. DoS가 가용성을 해치는 주요 공격

---관련 추가 2요소---

* 서버 인증: '클라이언트가 올바른 서버로 접속하는 가'를 의미

* 클라이언트 인증: '올바른 클라이언트가 서버로 접속하는 가'를 의미

프로토콜의 기능 (서술형 예상)

* 주소 설정: 서로 다른 시스템의 두 개체가 통신을 필요로하는 경우 필요

* 순서 제어: 프로토콜 데이터 단위를 전송할 때 보내는 순서를 명시하는 기능(연결 지향형에만 사용)

* 데이터 대열의 단편화 및 재조합: 대용량 파일을 전송할 때 전송 효율이 높은 작은 단위로 나누어 전송한 뒤 전송받은 시스템에서 이를 재조합해야 한다

ICMP 프로토콜의 기능 (서술형 예상)

호스트 서버와 인터넷 게이트웨이 사이에서 메세지를 제어하고 오류를 알려주는 프로토콜. ping이 대표적

동적 라우팅의 특징

* 장점

- 라우터가 네트워크 연결 상태를 스스로 파악하여 최적의 경로를 선택해 전송

- 네트워크 연결 형태가 변경되어도 자동으로 문제를 해결한다

- 경로 설정이 실시간으로 이루어져서 네트워크 환경변화에 능동적으로 대처가 가능하다

- 라우팅 알고리즘을 통해 자동으로 경로 설정이 이루어져 관리가 쉬움

* 단점

- 주기적인 라우팅 정보 송수신으로 인한 대역폭 낭비 초래

- 네트워크 환경 변화 시 라우터의 처리 부하 증가로 지연이 발생한다

* 번외

- 수시로 환경이 변하는 형태의 네트워크에 적합하다.

스텔스 스캔의 정의, 종류 (종류에 대한 서술형, 혹은 단답형)

* 스텔스 스캔은 TCP를 이용하나 3 Way Handshaking에 연결 기록이 남지 않는다.

* 종류

- FIN 스캔: 포트가 열린 경우 응답이 없고, 닫힌 경우 RST 패킷이 돌아온다.

- NULL 스캔: 플래그(flag) 값을 설정하지 않고 보낸 패킷. 열려있으면 응답이 없고, 닫혀있으면 RST+ACK이 돌아온다.

- XMAS 스캔: ACK, FIN, RST, SYN, URG 플래그 모두 설정하여 보낸 패킷

ARP (단답형 예상)

통신 대상 시스템에 도달하기 위한 다음 네트워크의 인터페이스의 MAC 주소를 알아내기 위해 사용하는 프로토콜

apt-get (안나올거같은데..)

우분투 리눅스에서 패키지 설치 툴

배너 그래핑(Banner Graphing) (단답형 예상)

운영체제별로 ping과 TCP, UDP에 대해 조금씩 다른 프로토콜 특성을 보인다. 이에따라 특성을 이용하면 운영체제를 탐지할 수 있다. 운영체제를 탐지할 수 있는 방법이라고 할 수 있다.

DNS의 역할 (서술형 예상)

숫자로 구성된 네트워크 주소인 IP 주소를 사람이 이해하기 쉬운 명칭인 도메인으로 상호 매칭시켜주는 시스템

IP 주소 추적하기의 방법 (서술형 예상)

메일을 이용한 방법: 전송된 메일 서버정보의 IP 주소 및 메일 전송자의 위치까지 확인 가능하다. 메일 서버 분석과 메일 헤더 분석이 있다.

P2P: 사용자끼리 파일을 영상, 혹은 용량이 큰 파일을 주고 받을때는 사용자간 직접 통신이므로 추적이 가능하다. 다만, 텍스트를 교환하는 형태의 정보교환은 서버를 이용하므로 사용자의 IP가 노출되지 않는다.

웹 게시판: 취약점 공격을 통한 게시판 내의 게시글로 IP를 추적하는 방법. 주로 개인보다는 기업이나 특정 조직을 향해 이용함.

서비스를 확인하기 위한 작업 (서술형 예상)

* SCAN

- 서비스를 제공하는 서버의 작동여부 및 서비스가 정상적으로 작동하는지 확인하는 방법.

* PING

- ICMP를 사용한다.

- 네트워크와 시스템이 정상 통신되는지 간단히 확인할 수 있다.

스위칭 방식 (서술형 예상)

* 컷스루: 수신된 패킷에서 목적지만 확인하고 바로 보내는 스위칭 형식

* 패스트포워드: 패킷 전부를 수신하여 버퍼에 쌓아두고 오류를 확인한다음 전송하는 스위칭방식. 다만 시간이걸려 지연이 발생한다.

* 인텔리전트 방식: 컷스루로 평소에 작동하다가 오류가 생기면 패스트포워드 방식으로 바꾸어 오류를 검사하고 다시 전송하도록하고, 오류율이 0이 되면 다시 컷스루로 돌아가는 스위칭 방식.

* 전이중: 스위치에서만 사용가능하고, 한번에 송수신이 가능하다.

* 반이중: 한번에 송신 혹은 수신 둘중에 하나만 가능한 방식. 무전기와 같은 방식.

traceroute를 이용한 IP추적 방식 (서술형 예상)

- 패킷이 목적지를 가면서 거쳐가는 라우터의 IP를 확인하는 툴.

- 거쳐가는 라우터와 네트워크를 보면서 상대의 네트워크 환경, 구성등을 확인할 수 있다.

- 매번 다르게 경로가 출력되다가 갑자기 한쪽으로 고정이되면 역추적 당하고 있을수도 있다.

TCP, UDP 스캔 (애매 ...)

* TCP 스캔

- TCP 스캔은 TCP 처음 연결 시 일어나는 3 Way Handshaking 을 탐지하는 기법.

- Reverse Ident: 세션을 성립한 상태에서 원격지 서버에서 데몬을 실행하고 있는 프로세스의 소유권자를 확인하기 위함.

- 정상적인 3웨이 핸드쉐이킹 이후 추가로 reverse ident query를 한다. 이 것은 해당 포트의 실행 권한과 uid를 알아내기 위함.

- 포트 113은 사용자 인증을 위해 사용하나 평소에는 닫혀있음.

- 정상적으로 핸드쉐이킹이 완료되면, 포트가 열려있다는 뜻.

- 열려있으면 SYN+ACK / 닫혀있으면 RST+ACK으로 표시.

* UDP 스캔

- ICMP를 이용하는 것이 대표적인데, 핸드쉐이킹 과정이 없으므로 일반적으로는 포트가 열려 있다고해도 서버에서 아무런 반응이 없을 수 있다. 하지만 시스템에서는 보낸 패킷에 대한 응답이 없을때 ICMP unreachable 을 보낸다. 많은 UDP 스캔은 이 방법을 사용한다.

- 요약 : 열려있으면 응답없고, 닫혀있으면 ICMP unreachable이 돌아옴.

SNMP (서술, 단답 나올 수 있음)

- 중앙 집중 관리 툴. 표준 프로토콜.

- IP 네트워크 상의 장치로부터 정보를 수집 및 관리한다. 정보 수정하여 장치 동작을 변경하는 데 사용한다.

- 네트워크 모니터링 목적으로 네트워크 관리에서 널리 사용.

- 관리 시스템과 관리 대상으로 나뉜다.

- 보안대책으로는, 불필요시 사용을 막아야하고, 커뮤니티를 패스워드처럼 복잡하게 설정해서 쉽게 노출되지 않도록해야한다. 패킷을 주고 받을 호스트 설정해 SNMP 사용할 시스템의 IP를 등록한다.