스노트(Snort) 룰 작성을 위한 개념

스노트(Snort) 룰 작성을 위한 개념

1. 스노트(snort)란?snort는 NIDS/NIPS 도구로, 네트워크 패킷을 모니터링 하여 악성 활동을 탐지하고 차단할수 있는 오픈소스 도구이다. 여기서 NIDS는 네트워크 침입 탐지 시스템, Network Intrusion Detection System을 의미하고,  NIPS는 네트워크 침입 방지 시스템, Network Intrusion Prevention System를 의미한다.  2. 스노트 룰 작성(Snort Rule Sigture)네트워크 패킷을 탐지하기 위해서는 룰 시그니처를 작성해야 한다. snort 시그니처는 크게 룰 헤더와 룰 옵션으로 나뉘며, 룰 헤더에서는 룰 발생 조건을 작성할 때 어떤 행위를 할 것인지 작성하고 룰 옵션에서는 룰 헤더에서 표현하지 못한 세부적인 행위와 조건을 작..

  • format_list_bulleted IT/Security
  • · 2024. 7. 15.
  • textsms
Wireshark 실습: TCP

Wireshark 실습: TCP

1. TCP 프로토콜 분석Wireshark를 활용해서, TCP의 연결설정, 연결해제, 재전송 과정을 분석한다.  1.1 TCP 연결 설정(3-way-handshaking)클라이언트인 192.168.0.1⁠과 서버 ⁠10.10.10.1⁠이 TCP 연결을 하는 과정이다.  1) SYN 패킷 분석SYN 요청을 보내는 No.1 패킷에 분석을 진행하였다.출발지 포트는 49859에서 도착지 포트는 80번 포트로 패킷 전송(클라이언트는 동적 포트 번호 중에서 임의의 포트 번호로 할당됨) 실제 순서 번호는 3588415412로 설정되어있는것을 확인(와이어 샤크에는 보기 편하도록 상대적인 순서 번호를 제공한다.) SYN 플래그 비트도 1으로 설정되있는것을 확인  2) SYN + ACK 패킷 분석SYN + ACK 요청을 ..

  • format_list_bulleted IT/Basic
  • · 2024. 7. 11.
  • textsms
HTTP프로토콜 분석(Wireshark)

HTTP프로토콜 분석(Wireshark)

1. HTTP 프로토콜 분석wireshark를 이용해, HTTP 프로토콜과 헤더 구조를 분석한다. 웹 브라우저를 열고 http://info.cern.ch/를 입력했을때 캡처된 패킷이다. HTTP 패킷은 요청을 하는 패킷과 응답을 하는 패킷으로 나뉜다. No.1 패킷은 요청을 하는 패킷으로 Request Method로 GET요청을 사용하고 있으며, 자주 사용되는 버전인 HTTP 1.1을 사용하고 있음을 Request Version에서 확인할수 있다. 또한 Host 헤더에서 요청을 보낸 호스트가 info.cern.ch이며, Connection이 Keep-alive라는 것을 통해 지속적인 연결을 필요로 하고 있음을 파악할수 있다. *\r 는 행의 앞으로 이동하라는 의미이고, \n는 다음 행으로 이동하라는 의미..

  • format_list_bulleted IT/Basic
  • · 2024. 7. 11.
  • textsms
Wireshark 실습: IPv4 단편화 + ICMP

Wireshark 실습: IPv4 단편화 + ICMP

1번부터 7번까지는 호스트 10.0.0.1이 10.0.0.2에게 패킷을 전송하는 과정  8번부터 14번까지는 호스트 10.0.0.2이 10.0.0.1에게 패킷을 전송하는 과정 1. IPv4 프로토콜 분석 출발지 주소(Source Address)는 10.0.0.1이고, 도착지 주소(Destination Address)는 10.0.0.2인것을 확인  식별자 값이 0x2c2e(11310)으로 확인(1번부터 7번 패킷은 본래 하나의 데이터 덩어리가 단편화 된 것이므로 식별자는 동일함) 단편화된 다음 패킷이 존재한다는 의미의 MF(More fragments) 플래그가 설정되어있음을 확인(1번패킷부터 6번패킷까지 MF 플래그가 설정되어있음) 해당 패킷 이후에는 더 이상의 단편화된 패킷이 없으므로 MF 플래그가 활성..

  • format_list_bulleted IT/Basic
  • · 2024. 7. 8.
  • textsms
AWS SAA-C03 합격후기

AWS SAA-C03 합격후기

AWS SAA-C03에 턱걸이로 한번에 합격하였습니다! 남들에겐 별거 아닌 자격증이겠지만, 취득하니 뿌듯합니다 :)1. 학습 기간 및 계획저는 약 2개월 동안 AWS SAA-C03를 준비했습니다. 돌이켜 보면, 더 효율적으로 공부할 수 있었을 것 같습니다.  학습 자료로는 Udemy 강의, 'AWS 구조와 서비스' 교재, 그리고 AWS 기출문제(덤프)를 활용했습니다. 처음에는 인기 있는 Udemy의 AWS SAA 강의를 듣고 덤프를 풀 계획이었습니다. 하지만 강의 분량이 예상보다 많았고, 내용 이해에 어려움을 겪었습니다. 이에 강의 시청을 중단하고 'AWS 구조와 서비스' 교재를 통해 AWS의 기본 개념을 이해하기 시작했습니다. 이 과정에서 AWS를 제대로 이해하기 위해서는 네트워크, 서버리스, 가상화,..

  • format_list_bulleted IT/Infra
  • · 2024. 6. 30.
  • textsms
PEview(정적 분석 도구)

PEview(정적 분석 도구)

1. PEview란?Window 용 실행 파일인 PE( Portable Executable )의 구조를 분석할 수 있는 도구이며, 주로 파일시그니처, 언패킹 확인,  타임스탬프 정보 확인등을 파악할때 활용한다.  2. PEview 활용 예시여러 섹션들 중에서 가장 주요하게 살펴볼 섹션은 IMAGE_NT_HEADERS이다.2.1 파일 시그니처 확인IMAGE_NT_HEADERS의 Signature를 통해서 해당 파일이 PE 파일임을 확인할 수 있다. 2.2 언패킹 확인 Virtual Size와 Size of Raw Data값이 같다는것을 통해 언패킹된 파일임을 확인할 수 있다.  패킹된 파일은 Virtual Size와 Size of Raw Data값의 차이가 크다는 것을 확인할 수 있다. (패킹된 파일은 두..

  • format_list_bulleted IT/Security
  • · 2024. 5. 29.
  • textsms