카테고리 없음

23.03.14 ECOPS 정규세션 Week1 네트워크

Doo Nut 2023. 3. 20. 22:05

ECOPS Week 1 Network session

 

 

1. 네트워크 포렌식 절차를 예시를 들어 설명하시오.네트워크 포렌

 

2. 포트스캐닝에 대해 자세히 설명하시오.

포트스캐닝: 해커가 악의적인 공격을 수행하기 위해 취약점을 찾는 과정 중 수행하는 사전 작업

 

포트 스캐닝은 호스트(네트워크에 연결된 장치)의 다른 포트 또는 다른 호스트의 동일한 포트에 액세스하여 네트워크에서 취약한 노드를 탐지하는 방법. 해커들이 종종 조직의 보안 수준을 검색하고, 기업에 효과적인 방화벽이 있는지 확인하고, 취약한 네트워크 또는 서버를 감지하는 데 사용한다.

 

포트: 운영체제 통신의 종단점. / 하드웨어 장치에서도 사용, 소프트웨어에서는 네트워크 서비스나 특정 프로세스를 식별하는 논리 단위

이때 해커는 시스템 혹은 네트워크가 어떤 포트를 통해 서비스하는지 알아낸 후 해당 포트의 취약점을 통해 공격할 수 있다.

 

사용자가 사용하는 포트의 종류에 따라 취약점이 상이한데, TCP Connect, TCP SYN, TCP FIN Scan 등 다양한 취약점을 통해 공격이 가능함을 알 수 있다.

 

참고: https://isc9511.tistory.com/126

 

포트 스캐닝 (Port Scanning)

* 포트 스캐닝 : 공격자가 침입 전, 대상 호스트에 어떤 포트(서비스)가 활성화 되어 있는지 확인하는 기법 - 취약점 분석을 위한 사전 작업 TCP 표준 (RFC 793) - 닫힌 포트로 RST 이외의 패킷 수신할

isc9511.tistory.com

 

3. VLAN과 VPN의 차이를 구분지어 설명하시오

4. 클라우드 취약점 중 하나를 골라 예시를 들어 자세히 설명하고, 해결 방안을 작성하시오. (제공된 예시가 아니어도 괜찮습니다.)

클라우드 취약점은 아무래도 물리적인 서버이다보니 안전성이 떨어진다는 것이다. 예시로 카카오톡의 SKB 데이터센터 화재를 들 수 있다.

 

카카오톡은 SK의 데이터 센터를 이용하고 있는데, 기기 결함으로 (배터리 문제) 화재가 발생하게 되었고 이로 인해 카카오톡의 서버가 작동하지 않았다. 이는 클라우드 기술의 직접적인 단면을 보여주는 일이라 생각한다.

 

이러한 문제는 Disaster Recovery와 같은 문제가 생겼을 경우 그 위험을 분담하는  기술을 통해 해결할 수 있다. 

 

작게는 데이터 센터 내의 물리적 서버를 분리하는 것에서부터, 크게는 지역별 데이터 센터에서 같은 정보를 공유하는 DR까지, 동일한 정보를 타지역에 꾸준히 백업해둠으로써 해결할 수 있다.

 

5. ARP Spoofing과 ICMP Spoofing의 차이를 중심으로 각 공격을 자세히 서술하시오.

6. 프로토콜의 종류 중 한 가지의 프로토콜을 골라, 프로토콜이 동작하는 과정을 자세히 서술하시오.(제공된 종류가 아니어도 괜찮습니다.)

 

TCP(Transmission Control Protocol)

TCP는 양방향 통신을 하는 프로토콜이다. 즉, Host가 통신을 위해 데이터를 전송하는 동시에 받아야 한다.

TCP는 Transport Layer 에 해당하는 통신이다. 

패킷이 전송될 때 TCP의 경우 정보를 전송받는 서버/호스트가 데이터를 받을 준비가 되었는지 확인하는 절차가 선행되어야 한다. 그러므로 TCP는 SYN과 ACK 패킷을 주고받으며 Three-way Handshaking 을 하게 된다.

 

반면에 UDP(User Datagram Protocol)는 상대가 데이터를 전송받을 준비가 되었는지 확인이 필요하지 않다. 때문에 TCP와 달리  전송측에서 수신받을 준비가 되었는지 확인할 필요가 없다.

 

 

CTF 문제풀이

 

1. woodstock-1

 

Key 값이 BITSCTF{ 형식으로 나와있으므로 TCP STREAM 에서 해당 부분을 확인할 수 있다

 

답: BITSCTF{such_s3cure_much_wow}

 

 

2. 당신은 캡처 파일에서 플래그를 찾을수 있는가?

마찬가지로 TCP stream 에서 해당 부분을 찾으면 된다 ( CTF{ )

중괄호가 닫히는 부분까지 정답이므로 답을 찾을 수 있다.

 

답: CTF{some_leaks_are_good_leaks}

 

3. Sans Network Forensic [Puzzle 3] #1

 Ann의 활동을 감시하고 있고, Ann의 IP 주소는 192.168.1.10 이다.

이때 Ann이 구매한 Apple TV의 MAC 주소를 알아야 하므로 하단 창에서 Source 기기의 MAC 주소를 확인할 수 있다.

 

답: 00:25:00:fe:07:c4

 

4. Sans Network Forensic [Puzzle 3] #2

User-agent 문자을 사용하였는지 묻고 있다.

TCP stream 을 열어 user-agent를 확인하면 답을 구할 수 있다.

 

답: AppleTV/2.4