시스템/네트워크 보안 기술 수업 2일차 (22/09/16)

• TCP 특징 (동일 경로, 순차 전송)

 

- Connection Oriented : 데이터를 송수신하기 전에 연결 확보 → 통일 경로 전송 // ≒ 전화

- 순차 전송 : 순서대로 도착, 중간 못 받은 것부턴 다 버림, 재전송 요청

- 수신 측에서 받을 수 있는 크기 확인 가능 → Windows Size

 

 

• TCP 헤더

 

- Sequence Number : TCP Segment 번호 들어감

- Acknowledgement Number : 응답 번호, 다음 받을 Sequence 번호 표시

- Ack Number가 1001이라면, 주는 쪽에서 1000번까지 잘 받았구나 판단 → 순차 전송 가능

 

 

• TCP Flag : TCP 속성

 

- 1bit씩 할당, 순서 UAPRSF

  ex) 000010 → SYN

 

 

• UDP

 

- 빠른 처리 가능

- 주로 실시간이나 음성 화면 처리에 사용 ex) 화상회의

- 시스템 간 네트워크 상태 정보, 시간 동기화, DNS 정보, 간단 요청 처리

 

 

• Promiscuous Mode

- 자신의 LANcard에 있는 MAC 주소와 프레임의 목적지 MAC 주소가 일치하지 않으면 버리는 게 정상인데 버리지않고 수신하도록 설정하는 것

 

 

telnet_sniff.pcapng 실습)

Q. 텔넷으로 접속한 사용자 ID / PW

A. TELNET으로 보이는 패킷 아무거나 선택 후 오른쪽 마우스 클릭 > TCP Stream   // TCP 흐름 한 번에 보는 방법

붉은색 글씨 : Client > Server 보내는 내용

푸른색 글씨 : Server > Client 보내는 내용

→ ID가 한 글자씩 번갈아가며 색 다름 → Client 입력할 때마다 Server에서 확인으로 다시 알려줌 (Echo)

cf. Telnet은 암호화가 되지 않기 때문에 사용할 경우, Sniffing 위험 매우 높음 → SSH 사용

 

ftp-clientside 101.pcapng 실습)

Q. FTP로 전달된 파일 추출

A. FTP와 FTP-DATA의 차이점 : TCP헤더에 있는 포트번호

FTP : 21 → 명령어 송수신 포트

FTP-DATA : 20 → 파일 송수신 포트

FTP-DATA에 오른쪽 마우스 클릭 > Follow > TCP Stream > ASCII를 RAW로 변경 후 Save as 클릭 > pantheon.jpg로 저장

 

whoisshe.pcapng 실습)

Q. 목표 : 사진의 주인공 옷 색깔?

A. FF D8 FF E0 → JPG의 파일 시그니처로 그 이전 부분 블럭 설정 후 삭제

 

네이버 검색 캡쳐.pcap 실습)

Q.  네이버로 검색한 단어?

A. ① GET 요청 → http.request.method == GET

     ② Edit > Find Packet > String으로 변경 후 Search 검색

     ③ Display Filter에 frame matches search 입력해서 찾기

 

Q. 파티에 참석하기 위한 비밀 문구?

"내가 아는 어떤 친구가 뉴욕의 술집을 빌려서 파티를 계획하고 있습니다. 초대를 받지 못했지만, 파티에 참석하고 싶습니다. 다른 친구가 초대받은 메일을 스니핑했습니다. 그 메일에 있는 비밀 문구를 알면, 파티에 들어갈 수 있습니다. 그 비밀 문구는 무엇일까요?"

hint - emil 찾고 키워드 찾기

A. frame contaions party

    Follow TCP Stream

    메일 내용 부분 복사해서 bluebell decoder 넣고 decoding(URL-UTF8)하면 메일 내용 확인 가능

 

frame contains "검색어" : 정확하게 일치하

frame matches "검색어" : 대소문자 구분

 

 

• 스캐닝

- 열린 포트에서는 ACK/SYN로 응답, 닫힌포트에서는 ACK/RST로 응답 → 열린 포트를 알 수 있음

 

•  TCP SYN Scan (Half Open Scan, Stealth scan)

- SYN만 보내고, 서버의 포트가 열려있는지만 확인하고, 마지막 ACK를 안 보냄 → 연결이 이루어지지 않음

 

• TCP ACK Scan

- ACK 보내 응답이 없으면 열린 포트, RST가 오면 닫힌 포트

 

• UDP Scan

- 실행 중인 포트에서 UDP응답이 옴 (UDP는 Handshaking이 없으므로, 닫힌포트는 ICMP destination unreachable)

 

• TCP Connect Scan (연결 완성)

- SYN를 보내서, ACK/SYN가 오면, ACK를 보내줌 → 정상 연결

 

• TCP Xmas

- TCP Flag를 모두 1로 만들어서 보내는 공격 : 111111 → Flag 6개를 모두 활성화 (엉터리 로직)
- 열린 포트는 응답없음, 닫힌포트는 RST를 보냄 → 구분 가능

 

• TCP RST

- RST를 보내는 기법 (잘 사용X)