tcp fin scan 원래는 연결을 종료할떄 쓰는것이 fin 패킷 하지만 최초 접속 시도할떄 syn 대신 fin 패킷을 전송합니다 이런식으로 처음으로 보냈는데도 fin 패킷을 전송합니다 조작을 한다고 생각하면됩니다 열린포트는 반응이없고 닫힌포트는 rst-ack 수신을하며 반응이 없는 경우 보안장비에서 차단합니다 조작된 패킷은아니지만 존재할수는있지만 상황에 맞지않는것이다 ====================== 실습 nmap -sF 192.168.~~~~~ 이런식으로 진행합니다 FIN패킷을 보냈고 닫힌 패킷은 바로 RST,ACK 신호로 닫힌것을 나타내면서 열린것에는 반응이없는 것을 직접 눈으로 볼수있엇습니다. =====================================2) tcp x-mas sca..

tcp half open scan 반만 connection을 한다는 의미이다. 예제 2 syn syn, ack ack으로 마무리짓지만 이예제는 syn syn, ack syn으로 마무리짓는다 80포트에 syn 을 보내고 열려있으니까 클라이언트에서 ack 패킷을 보낼거라 생각하고 연결을 유지한다. 연결을 하지도못하고 그렇다고 끄지도못하고 반만 연결된 상태로 계속 대기하게된다. 더이상아무조치를 하지않는다. 만약에 출발지 ip를 임의로 변조해서 scan 시도시 불필요한 연결대기를 무한대로 생성 이것을 이용해서 실제로 서버를 마비시키는 공격을 후에 해봅니다 반쯤연결된상태를 유한정으로 만들어서 사용자가 접속을 못하게 만들수가있다. nmap -sS 192.168.~~~~~ 로 사용하면됩니다. 직접 wireshark를..

kali linux 실행후 터미널에 친다. apt-get update apt-get install open-vm-tools-desktop fuse reboot apt-get upgrade reboot 스냅샷 찍는거 추천드립니다. tcp ip.src == ~~~ 이렇게 하면 출발지가 ~~~아이피인 것들만 나오고 ip.src != ~~~ 이렇게 하면 출발지가 ~~~ 아닌것들만나온다 ip. src != 142.250.82.120 and ip.dst != 142.250.82.120 출발지가~~아니 고 목적지가 ~~~ ip가 아닌것 을 찾는다 이런식으로 필터링을할수있다. tcp and ip.addr==119.205.194.11 이런식으로도 필터링을 걸수가있다.(wireshark 에서) ===============..

1. 간단한 이론 실습환경 구성 - 메모리는 8G 이상 2. 네트워크 공격 - 정보수집 : 포트스캔 - dos, ddos 공격 실습 3. 공격에 대한 탐지/방어시스템 구축 4. 네트워크 포렌식 - 네트워크 패킷 분석 = 악성코드 추출, 통신경로 추적 TCP/ IP TCP: 4계층(전송 계층)- 포트번호 IP : 3계층(네트워크 계층) ex) 31.45.76.34 IP와 통신을 하고싶다. IP/port 번호가 있어야 내가 원하는 프로그램과 통신 가능 A : 10.10.10.1/24 B : 10.10.10.3/24 C : 10.10.10.200/26 10. 01111111 255.1.1.2 2^8 = 0 ~ 255 192.168.0.10/ 24 192.168.0.10 255.255.255.0 IP주소 = 네..

방화벽, vlan ,vpn ids ips 보안을 구축하는데 방화벽 로그따로 vlan 로그 따로 vpn 로그 따로 ids 로그 따로 ips 로그 따로 ESM(관리적측면) Enterprise Security Management 하나로 합쳐서 관리적측면 UTM(구축) Unified Threat Management 구축으로 보면된다 utm---- vmware workstation -> vmware esxi에 pfsense를 올렷고-> management (관리용 centos 내부망에서 접속해야되서 만든것 )-> esxi에 vlan 10 webserver vlan 20 office -> vlan 30 intranet vlan 40 DB server vmware에 bridge로 esxi를 걸었고 브릿지로 받았기 때..

xplico 9876포트를 쓰고있다 id xplico passwd xplico xplico는 네트워크 포렌식을 위한곳 네트워크 포렌식을 위해서는 pcap파일을 이용한다 New case 누르기! CREATE case1 빨간글씨를 누르기 New Session create session1 빨간글씨 누르기 눌렀을때 나오는 이곳이 네트워크 포렌식의 이제 시작이다 자료가없으니 pcap파일을 부른다 choose File /nsm/sensor_data/tak~~~eh1/dailylogs/2020-12-16 upload 그리고 upload를 누르게되면 이제 빙글빙글돈다 decoding completed 가 뜬다 여러가지 정말많이 분석이된 것을 알수가있다. post,get방식등 여러가지 분류를 해주고 볼수가있습니다 pca..

---해보지는말고 이런게 있으니까 다음에 써먹자 악성코드가 아닌데 악성코드처럼 보며서(룰에 위반되서 탐지된 패킷) 트래픽한번보기 악성코드는 구하기가힘들어서 하는방법만이라도 알아보자 대표적으로 이렇게 룰에 걸려서 할수있던것이 공인인증서 inis60 이게 보안프로그램이지만 악성코드로 출력이되서 해보려했지만 리눅스에서는 지원을하지않아 테스트를 해볼수가없다. 하지만 확인이라도해보자. efamily.scourt.go.kr 주소 security onion squert 접속 이걸탐지하는 룰은 =====없으면 하면된다. sudo apt-get update sudo apt-get install gedit (gedit 다운) ==== cd /etc/nsm/rules gedit downloaded.rules User-age..

pfsense 방화벽/vlan/프록시 보안양파 snort/elsa 로그들을 통합적으로 묶어서 관리하기 편하게 하나로 묶는게최종 목표이다 ESM 우리가 설치한 pfsense centos(vlan20_office) security onion 3개를 일단킨다 elsa를 들어간다 bro에서 다양한 파일들을 추출해 내는 것을 한다. cd /opt/bro/share/bro/site (teminal 창에 들어간뒤에 security onion 에서) sudo vi local.bro 내리다보면 # File Extraction @load file-extraction (두개의 의미는 = File Extraction 폴더에 존재하는 모든것을 불러온다) cd /opt/bro/share/bro (이 파일의 위치는 여기와 연결되있..

Bro ELSA를 가지고 하나씩 뜯어보면서 프로토콜등을 분석하여 판단 (네트워크 포렌식) ex ) HTTP 프로토콜을 가지고 분석을 한다고 하면서 어떤 사이트 접근을 했고 어떤 페이지 순서로 열었고 DNS 어떤 도메인을 조회를 하고 이런 정보들 elsa 접속하기 여러가지 프로토콜도있고 여러가지가 있다. Top DST IPS -> 열어보자 8.8.8.8 goole dns 주소 만약에 dns조회를했는데 내가 쓰던게아니라 이상한 dns가있으면 의심을해볼수가잇고 이렇게 찾아도 볼수가있다. 공인 아이피이면 의심을 덜수있지만 사설 아이피 대역들이라면 살짝 dns spoofing으로 의심을 해볼수가있습니다. pcap 파일로 보내서 받을수있다 원하는 것의 info를 누르게되면 pcap 파일로 받을수가있다. 이런식으로 ..

제로데이 (Zero-day) 알려지지 않은 취약점들을 전부 제로데이 취약점에 대해 탐지를 할떄 기본적으로 해당 멀웨어 - 시그니처 코드 여러가지 패턴 시그니처 코드, 페이로드(내용)를 가지고 cve-2015-4852 payload 취약점 http 프로토콜로 통신을 하니까 tcp 이바이러스에 대한 burpsuite 의 intercept내용이다 해더를 넣고 (옵션) (meg content1[범위]content2[범위]content3[범위]{sid 또는 nocase 또는 classtype) 이런식으로 스노트 룰을 만들어본다. vi /etc/nsm/rules/local.rules alert tcp any any -> any 1880 (msg:"Apache commons collection library WebS..

sudo vi /etc/nsm/tak-virtual-machine-eth1/threshold.conf 맨밑으로가서 i suppress gen_id 1, sig_id 3000001, track by_src, ip 10.20.1.0/24 esc :wq! sudo vi /etc/nsm/rules/local.rules i alert icmp any any -> any any (msg:"test ICMP"; sid:3000001;) esc :wq! sudo rule-update 바탕화면 squert 누르고 로그인한뒤에 centos vlan20_office에서 핑보내봤을떄 test ICMP 가 쌓이는것을 알수있다. 혹시안되면 SETUP 한번해서네트워크하고 다시 SETUP 누르시면됩니다 데스트는 성공하였지만 그리고 ..

리눅스 우분투기반 nic 2개 무조건 english로 설치 한국어로하면 오류가 많이뜬다 -> continue-> install -> continue -> 기다린다 reboot enter 로그인 setup 누르고 패스워드넣고 다시 setup 평가판 다 진행 yes continue 하면 된다~그냥 이상한것만 변경해주면된다 ok 다누르면 생겻다 terminal 을켜서 sudo reboot 한번만해주자 스냅샷해주자

pfsense를 켜주고 onion 을키고 centos (vlan20_office) 도 켜준다 ============================== onion 의 일단 squert를 켜준다. 일단 테스트로 핑을 테스트를 해보고 용량이많아 저 Test icmp 로그를 삭제해야한다 sudo vi /etc/nsm/rules/local.rules dd 눌러서 지우고 :wq! sudo rule-update 스레드홀드(실무에가서 스노트를가지고 보안구축을했을떄 규칙이많기떄문에 알림을 가지고 최소화하는것이다. 탐지도하면서 룰도 최소화시는것) 위치 cd /etc/nsm/tak-virtual-machine-eth1/ ls -al tak이건 자기 처음에 설정한 이름에 따라만들어진다 sudo vi threshhold.conf..

오늘은 15 일이지만 14일로 잡혀져있으니까 그냥 14일로 한번 이게있는지보자 cd /nsm/sensor_data/tak-virtual-machine-eth1/dailylogs/2020-12-14/ 보니까 패킷으로 되있어서 와이어샤크로 한번 가보자 wireshark 로 열어보기 로그가 패킷으로되있어서 그것을 와이어샤크로 한번본다. 또 elsa를 누르고 11번가를 오피스에서 접속하뒤 To 파란글씨 이쪽에 11번가 url을 넣으면 밑에 로그들ㅇ이 뜬다. ------------------------------------ BPF(Berkeley Packet Fileter) cd /etc/nsm/rules/ bpf.conf있는것 확인 cd /etc/nsm/tak-virtual-machine-eth1/ ls -al..

(gedit 설치) sudo apt-get update sudo apt-get install gedit cd /etc/nsm 보안 양파의 기본설정파일 ls -al cd /et/nsm/tak-virtual-machine-eth1 (onion-virtual-machine-eth1) 이파일이 가장중요하다 우리가 추가했던 eth1은 span 이기때문이다 모든 트래픽의방향은 span(eth1)으로 들어온다 cd /var/log/nsm 중요한 파일위치 ,시스템 로그가 저장되는거 var 파일에는 로그기록 log 라는 메모장? 파일안에 계속 기록을하는데 log 라는 메모장파일은 사라지지 않는다 /var 과 /tmp 임시파일을 저장하는 폴더 /var 하나의 변수 int a=123; 이런것처럼 하나의변수가 저장하는곳 /t..

vmware esxi vlan20_office, security onion pfsense를 키고 총 4개의 창을 띄운다 (왠만한 사양아니면 거의 램이나 컴퓨터가 남아나지않을것이다) display 에서 해상도변경 squert실행 poceed to localhost 로그인 우리가 설정햇던것을 진행합니다. 새로고칭 창을 하면 규칙에걸려서 나오는게 새롭게 뜬다 이렇게 그 핑을 보내본다(centos에서 게이트웨이로) 그랬을떄 새로고침에 ! 빨간색의 모양이 나타나고 새로고침을 했을떄 이렇게 로그를 확인을해볼수있다 ---혹시나 핑이안통할떄 내가설정한것중에서 여기에 icmp 가있거나 프록시설정떄문에 다막아버릴수가있다. 그걸헤제하자 -------------------------------------------------..

(자세한 설명은 추가되있지않지만 그나마 설정에 도움이될것이다) sudo so-allow pfsense의 lan으로 접속하여 firewall->rules->vlan20 office로 가서 +add 이런식으로 진행한후 나온다. open vpn누르기 wizard 설정 누르기 local user access -> 맨밑에 파란색버튼을 누르면다음걸로넘어간다 create new certificate 총 4번 진행하면된다 vpn만들기->vpn만들기->wan설정 -> 체크두개 새로생겼다 ---------------------- 유저만들기 user manager 들어간뒤에 -> add 버튼누르기~ vpn user 연필모양을 누른다 user certificates +add 버튼누르기 save누르기 system ->pacag..

security onion 설치해야한다. 최소 100gb 램은 4기가 정도 security onion 14.04.4.2 를다운한다 vmware esxi6.0 키기 ->pfsense->네트워킹구성 오른쪽 위 네트워킹 추가 가상시스템-> 하기 (VSwitch2)속성누르기 속성에서->span누르고 편집-> ->보안 다동의하고 체크하기 ->wire shark에서-> 톱니바퀴 누르기 enable promiscuous mode on all interfaces 체크 꼭하기 (wireshark) -- 네트워크를 설정햇으니 이제 ->새가상시스템 우클릭해서 진행 -> 표준모드 진행하기 위와같은 설정들로 esc esc-> enter 누르면된다. (안되면 전원껏다가 다시키고 진행) enter후 기다리기 yes 오래동안 진행합..

우리가 지금 설정하는것 vmware workstion -> vmware ESXi ( vsphere 사용) -> pfsense vmware workstion 안에 ESXi 실행한걸 vsphere 접속 했고 안에 pfsense 설치및 설정 우리가 쓰고있는 ESXi는 VMware(회사이름)에서 만든 소프트웨어 쓰고있는 가상머신 프로그램(VMware Workstation) vmware workstation vmware ESXi 가상머신을 만드는데 효율적으로 가상머신위에 여러개의 가성머신들을 만드는 소프트웨어 또거기에 pfsense를 설치하는게아니라 esxi 하나만들고 그위에 pfsense 설치 다루기위해서 일반 콘솔창 vsphere ESXi 를 좀더 편하고 쉽게 다루기위해서 나온 클라이언트 소프트웨어 Esxi의..

pfsense 가서 system -> available packages snort install service 에서 snort가 생긴것 을 확인 하면된다. snort 들어가기 global settings 어떤 vlan을 가지고 룰을 적용할건지 snort interface +add버튼 interface 만 바꿔서 wan lan vlan전부 +add하기 (내가설정한) ->global setting 가기 rules accout 클릭 있는 메일하고 메일 주소확인해야해요~ sign IN 했으면 홈화면에 오른쪽위에 xxx@naver.com 이렇게 뜨는곳을누르면 이동이된다 오른쪽위에 메일 주소 누르면 이곳으로 이동이 되는데 그코드를 복사한뒤 Qlinkcode global setting 이런식으로 넣는다! ( 비밀이라..