실습환경 설명 웹서버로 사용하기 위해 Ubuntu 16.04에 apache2, MySQL, PHP를 설치했고 XSS를 테스트할 목적으로 간단하게 'xss_test.php'와 'xss_test_server.php'를 넣어놓았다. xss_test.php는 클라이언트가 입력값을 입력할 수 있는 폼 하나이고 이 폼에 입력한 값이 GET으로 서버에 넘어가면, xss_test_server.php에서 넘어온 값을 처리하는 형태이다. - 웹서버: Ubuntu 16.04, 192.168.21.142 - XSS 공격 PC : Kali Linux, 192.168.21.139 XSS(Cross-Site Scripting) 공격이란 XSS는 Cross Site Scripting의 약자로, 가장 빈번하게 일어나는 웹해킹 공격 중..
저번 포스팅에서 포트스캐닝을 탐지해보았는데 이번엔 DDoS 공격 유형 중 하나로 TCP SYN Flooding을 선택해 snort 룰을 생성하여 탐지해본다. TCP SYN Flooding (DDoS) 공격이란 TCP SYN Flodding은 DDoS 공격 중 하나로 대량의 SYN 패킷을 타깃 서버로 보내, 서버의 대기큐를 가득 채워 정상 클라이언트의 연결 요청을 방해하는 공격이다. 원래 서버는 SYN을 받으면 SYN_ACK를 보내주고 해당 정보를 incomplete 큐에 저장한다. 그리고 클라이언트에게서 ACK를 다시 받게되면, 연결이 완료되었으니 incomplete 큐에 있던 정보를 complete 큐에 보낸다. 그리고 이 2개의 큐를 합쳐서 TCP 대기큐라고 한다. 그런데 공격자가 대량의 SYN만 보..
nmap은 대표적인 포트스캐닝 도구로 공격자가 정보수집을 할 때 주로 nmap을 이용해 target pc에 대한 포트스캔을 수행한다. nmap을 사용하면 열린 포트를 찾거나 OS, 네트워크 장치의 버전과 같은 정보를 혹인할 수 있다. 저번 포스팅에서 snort를 우분투에 구축해보았기 때문에, 이번 포스팅에서는 실제 snort를 사용해보기 위해 공격자가 nmap 포트스캐닝 하는 상황(SYN 스캐닝)을 탐지해보려 한다. 실습 환경설명 및 파일 위치 포트스캐닝 수행 PC는 칼리리눅스이고 해당 PC에서 우분투 16.04로 포트스캐닝을 수행할 예정이다. 두 PC 모두 가상머신이기 때문에 192.168.21 대역이다. - 포트스캐닝 수행 PC: Kali Linux 2018.1, 192.168.21.135 - 포트스..
지난 포스팅에서 무료로 사용할 수 있는 오픈소스 IDS/IPS/방화벽/웹방화벽 을 살펴보았다. 이번 포스팅에서는 그 중 첫번째인 snort를 우분투 16.04에 직접 구축, 사용해보려 한다. 관련포스팅 [네트워크] 오픈소스 무료 IDS/IPS/방화벽/웹방화벽 추천 snort 설치가이드 참조 snort 설치를 한두번 해봤는데 사람마다 OS, 버전, 환경 등이 달라서 그냥 무작정 블로그 보고 설치했다가 에러가 났던 기억이 난다. 그래서 그냥 공식 홈페이지의 'snort 설치 가이드'를 참고해서 설치하기로 했다. 나의 경우 현재 우분투 16.04를 쓰기 때문에 'Snort 2.99x on Ubuntu 14-16' 가이드를 참조했다. snort 공식 홈페이지 - snort 설치 가이드 그럼 가이드를 참조해서 먼..