728x90 전체 글399 23년 실전형사이버훈련장 - 위협이벤트 식별훈련(2일차) -SSH Bruteforcing 식별 Non-EtM이 적용된 SSH세션을 대상으로 한 bruteforcing 식별(저번 시간에 etm 적용된 ssh세션 브루트포싱 식별 봤음) 주이에서는 패킷 길이를 보고 인증 성공여부를 알려주는데, non-etm의 경우에는 모르니 성공여부가 null로 나옴 그러면 뭘 보고 브루트포싱인걸 파악할까? -> 짧은 시간안에 같은 세션(통신내역이 같다 = 패킷내역이 같다)이 여러번 보이면 의심 가능, 그 세션의 동일한 점을 검색해서 총 몇개인지 확인해보자. 세션유지시간 duration도 매우 작을 거라고 예상가능, resp_bytes가 동일할 것으로 예상 암호화 알고리즘은 resp_bytes가 동일한 경우가 많음, 암호화 안된경우는 동일한 요청이여도 응답으로 resp_bytes가.. 2023. 6. 20. SDK vs API vs Framework vs Library? SDK(Software Development Kit) -소프트웨어 개발 키트 -특정 운영 체제용 앱 개발을 위한 소프트웨어 개발 도구 API(Application Programming Interface) -응용프로그램 개발 인터페이스 -프로그램 간 상호 통신을 하기 위한 형식 또는 인터페이스 Framework -소프트웨어의 구체적인 부분에 해당하는 설계와 구현을 재사용이 가능하게끔 일련의 협업화된 형태로 클래스들을 제공하는 것 Library -특정 작업을 위해 쓰인 변수, 함수 등의 모음 참고 https://chibest.tistory.com/94 2023. 6. 19. 23년 실전형사이버훈련장 - 위협이벤트 식별훈련(1일차) 책과 같이 참고하면서 보세요. 회사들은, 보통 풀패킷을 덤프떠서 오탐 정탐 여부 판별 요구가 많다. 대용량의 데이터(로그)를 분석하는 기술을 길러야한다. whireshark는 많은 패킷분석은 못함. 정밀분석시에 사용. 스플렁크, 아파치 스파크 등 대용량 패킷 분석 -Zeek zeek는 Bro회사로부터 출발함 zeek는 IPS IDS의 기본적인 능력도 수행 스플렁크에서 데이터를 덤프떠와, 쿼리 분석 가능, 앱중 zeek 지원, 엘라스틱에도 넣어 작업 가능 무료 앱인 zed zui(주이)로 분석해보자. zed(로그 가져옴)의 프론트엔드 역할, zed와 통신하며 데이터 분석 가능 zeek(로그 추출) -> zed(로그 저장) -> zui(패킷 분석) zed대신 스플렁크 권장! 쿼리가능해서. 패킷파일을 zui에.. 2023. 6. 19. TI(Threat Intelligence) 정보 Threat Intelligence(TI, 위협 인텔리전스)의 정의 정의1. ‘증거를 기반하는 지식으로, 기업의 IT나 정보자산에 위협이 될 수 있는 부분에 실행 가능한 조언을 콘텍스트나 메커니즘, 지표 등으로 제시하는 정보’ 정의2. ‘기업 내부의 과거 보안 사건 정보뿐만 아니라 기업 커뮤니티, 관련 안티바이러스나 취약점 관련 정보를 가진 벤더와의 커뮤니티, 국가 보안 커뮤니티의 정보를 보안 위협의 대응에 활용하는 것 정의3. 사이버 보안 전문가가 사이버 공격에 대해 정리하고 분석한 증거 기반 정보를 의미하며 다음 내용이 포함될 수 있음 공격의 메커니즘 공격이 발생 중인지 파악하는 방법 다양한 유형의 공격이 비즈니스에 영향을 미치는 경로 공격을 방어하는 방법에 대한 행동 위주의 조언 정보와 인텔리전스의.. 2023. 6. 19. 스크래핑과 크롤링 차이 데이터 스크래핑은 크롤링과 비슷한 개념입니다. 데이터 스크래핑은 만들어진 최종 결과물에서 데이터를 가져오는 기술입니다. 말그대로 어디에서? 데이터나 정보를 가져오냐, 어느정도의 선을 지키느냐에 따라 크롤링과 스크래핑의 개념이 정확히 여기서 갈라지는 것입니다. 말그대로 허락된 정보를 가져오는건 크롤링이고, 허락되지 않는 정보를 가져오는건 스크래핑입니다. 왜 스크래핑을 사용하는것일까요? 대부분 정보를 허락받지 않고 가져오는건 왠만한 사람은 불편해 합니다. 그렇기 때문에 이런 불편함을 가지고 있지만 스크래핑은 봇이 정보를 최대한 얻으려고만 합니다. 그래서 이런 작은 차이점이 존재합니다. 그럼 스크래핑을 못하게 하려면 어떻게 해야될까요? 특정 인물이 접근하는것을 최대한 제한함으로써 과도한 트래픽을 막아 나름 도.. 2023. 6. 18. HTTP, Get, Post 차이 GET 이란? GET 은 클라이언트에서 서버로 어떠한 리소스로 부터 정보를 요청하기 위해 사용되는 메서드이다. 예를들면 게시판의 게시물을 조회할 때 쓸 수 있다. GET을 통한 요청은 URL 주소 끝에 파라미터로 포함되어 전송되며, 이 부분을 쿼리 스트링 (query string) 이라고 부른다. 방식은 URL 끝에 " ? " 를 붙이고 그다음 변수명1=값1&변수명2=값2... 형식으로 이어 붙이면 된다. 예를들어 다음과 같은 방식이다. www.example.com/show?name1=value1&name2=value2 서버에서는 name1 과 name2 라는 파라미터 명으로 각각 value1 과 value2 의 파라미터 값을 전달 받을 수 있다. GET의 특징 GET 요청은 캐시가 가능하다. : GET.. 2023. 6. 18. HTTP 헤더에 들어있는 정보 헤더는 크게 4가지로 분류할 수 있다. General Header(공통 헤더) Request Header(요청 헤더) Response Header(응답 헤더) Entity Header(엔티티 헤더) General Header(공통 헤더) 요청과 응답 모두에 적용되지만 바디에서 최종적으로 전송되는 데이터와는 관련이 없는 헤더 Date : 현재시간 Pragma : 캐시제어 , HTTP/1.0에서 쓰던 것으로 HTTP/1.1에서는 Cache-Control이 쓰인다. Cache-Control : 캐시를 제어할 때 사용 Upgrade : 프로토콜 변경시 사용 Via : 중계(프록시)서버의 이름, 버전, 호스트명 Connection : 네트워크 접속을 유지할지 말지 제어. HTTP/1.1은 kepp-alive 로 .. 2023. 6. 18. CORS(Cross-Origin Resource Sharing) 교차 출처 리소스 공유(CORS) 간단하게 말하면, 웹 접속시, A도메인에서 웹에대한 정보(글, 사진 등)을 받아오는데, 이걸 A도메인에서 전부 받아오는게 아닌, A도메인에서 모든 정보를 저장하고 있으면 속도도 느리고 용량도 많이 차지하니, 다른 B도메인에서 정보들을 받아오는 것입니다. CORS 특징으로는 A도메인이 Origin 패킷에 자신을 증명하는 자신의 도메인을 넣어 B도메인에 보냅니다. B는 이를 보고 A도메인인 것을 알아채고 응답을 주고, A도메인은 다시 원하는 정보를 요청하고, B도메인은 다시 돌려주는 통신구조입니다. 즉, Origin이라는 새로운 HTTP 헤더가 추가된 방식입니다. 2023. 6. 18. 공격 및 취약점 용어 0. web fuzzing 웹 퍼징 취약점을 탐지학 위해 여러 입력값을 보내는 기법 1. SYN 패킷 - 서버에 연결 요청을 하는 패킷 EX)해당 출발지 IP (Google Cloud 대역)에서 목적지 IP로 syn 패킷 요청에 의한 timeout 패킷 탐지되어 영향도 없음 2.SSRF란? Server Side Request Forgery 서버측 요청 위조(SSRF라고도 함)는 공격자가 서버측 애플리케이션이 의도하지 않은 위치에 요청하도록 유도할 수 있는 웹 보안 취약점입니다. 일반적인 SSRF 공격에서 공격자는 서버가 조직의 인프라 내에서 내부 전용 서비스에 연결하도록 만들 수 있습니다. 다른 경우에는 서버가 임의의 외부 시스템에 연결하도록 강제하여 권한 부여 자격 증명과 같은 민감한 데이터를 유출할 .. 2023. 6. 18. 이전 1 ··· 39 40 41 42 43 44 45 다음 728x90
