'분류 전체보기' 카테고리의 글 목록 (10 Page)

FORENSICS 시작하기 - 패킷 분석 도구 :: Wireshark, NetworkMiner

SECURITY/FORENSICS 2020. 9. 17. 21:51

1. Wireshark : 오픈 소스 패킷 분석 프로그램 (다운로드는 여기서 할 수 있다. -> www.wireshark.org/download.html) (참고) 처음 배포되었을 때에는 이름이 Ethereal(이더리얼) 이었으나 상어가 패킷을 잡아먹는 것과 유사하다고 하여 이름을 바꾸게 되었다. pcap 네트워크 라이브러리를 이용하여 패킷을 잡아낸다. 무차별 모드(promiscuous mode) 를 지원하여 브로드캐스트나 멀티캐스트 트래픽도 얻을 수 있다.(100%는 아님) 1.1 Wireshark 사용법 wireshark 를 실행시키면 이런 화면이 나온다. 원하는 네트워크를 눌러서 패킷 캡처를 시작할 수 있다. 상단 메뉴 File 캡처 데이터를 열거나 저장 Edit 패킷 찾거나 표시, 프로그램 속성 ..

FORENSICS 시작하기 - 네트워크 기초 04 :: FTP, HTTP, HTTPS

SECURITY/FORENSICS 2020. 9. 16. 22:57

1. FTP (File Transfer Protocol) : TCP/IP 프로토콜을 가지고 서버와 클라이언트 사이의 파일 교환을 하기 위한 프로토콜 이는 인터넷 프로토콜 스위터 (네트워크 계층에서) 에서 응용 계층 (HTTP, HTTPS 등) 에 속하고, 1971년에 최초로 등장하여 역사가 오래됐으나 지금도 자주 사용된다. 하지만 보안 취약점이 상당수 존재한다. (일단 비밀번호가 평문으로 전송됨..) - 두 개의 포트 사용 (프로토콜 TCP 20, 21번) - 명령 연결(Control Connection) 과 데이터 연결(Data Connection) 의 두 명령이 존재하고, 파일이 전송될 때는 데이터 연결이 새롭게 만들어진다. 각각 21번, 20번 포트(혹은 1024 이후 포트)를 사용한다. - 효율을..

FORENSICS 시작하기 - 네트워크 기초 03 :: IP 주소, 도메인, DNS, 쿠키와 세션, URL 등

SECURITY/FORENSICS 2020. 9. 16. 22:26

1. IP 주소 (Internet Protocol address) : 컴퓨터 네트워크에서 장치들이 서로를 인식하기 위해 사용하는 특수 변호로, 모든 장치는 고유의 번호를 가진다. (ip 는 인터넷 규약 자체를 가리키는 말이기 때문에 IP 주소와 엄밀하게는 구별해서 불러야 한다!) 현재 사용하는 IP 주소는 다음과 같이 4개의 10진수 형태로 구성된다. xxx.xxx.xxx.xxx ex. 121.147.40.84 이때 각 10진수는 8자리 2진수를 의미하는 것이므로, 총 32 bit 로 구성되는 것이다. 121.147.40.84 ≡ 01111001 . 10010011 . 00101000 . 01010100 121 147 40 84 xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx 011110..

FORENSICS 시작하기 - 네트워크 기초 02 :: 프로토콜 상세

SECURITY/FORENSICS 2020. 9. 13. 21:35

1. TCP (Transmission Control Protocol) : 연결형 서비스를 지원하는 데이터 통신 프로토콜의 일종. (말 그대로 연결해야 통신할 수 있는 프로토콜이다.) 세계 통신표준으로 개발된 OSI 계층 모형에서 4번째 계층인 전송 계층 (Transport Layer) 에서 사용하는 규약으로, 하위 계층인 인터넷 계층에서 사용하는 IP 와 엮어서 TCP/IP 라고 많이 표현한다. - 전송 계층은 IP 에 의해 전달되는 패킷의 오류를 검사하고 재전송 요구 등의 제어를 담당하는 계층. (전송 계층 프로토콜은 운영체제 내부 기능으로 구현되므로 사용하려면 상위 계층에서 시스템 콜이라는 프로그램 호출 방식을 이용해야 한다.) 데이터를 세그먼트(Segment)라는 블록 단위로 분할해 전송하는데, 핵..

FORENSICS 시작하기 - 네트워크 기초 01 :: 이더넷, 패킷, 프로토콜

SECURITY/FORENSICS 2020. 9. 13. 21:34

1. 이더넷 (Ethernet) 이란? 가장 대표적인 버스 구조 방식의 근거리통신망 이더넷은 LAN(Local Area Network), MAN(Metropolitan area network), WAN(Wide Area Network) 에서 많이 활용되는 네트워크 구성 방식이다. (쉽게 말하면 '데이터 전송 도로' , 그 중 한 가지 방법이라고 생각하면 된다.) 우리가 사용하는 네트워킹의 90% 이상이 이더넷 방식을 사용한다. 이더넷은 CSMA/CD (carrier sense multiple access with collision detection) 라는 프로토콜을 사용해서 통신하는데 여러 대의 PC 가 통신 회선을 안정적이고 효율적으로 통신할 수 있도록 하는 것이다. 이더넷 네트워크를 사용하는 컴퓨터가..

FORENSICS 시작하기 - 기초 개념 04 :: 스테가노그래피(Steganography)

SECURITY/FORENSICS 2020. 9. 11. 14:54

0. 스테가노그래피란? (Steganography) : 보이는 곳에 메시지를 은밀히 숨기는 은닉법 (디지털 기법) Stegano(감춰진) + Graphy(글) = 감춰진 글 이는 비밀 메시지를 전달하는 게 주 목적이지만, 악성 코드를 숨기는 데에도 사용된다. 기원은 고대 그리스에서 노예 두피에 문신으로 메시지를 새기고, 노예의 머리카락이 적당히 자랄 때까지 기다리다가 메시지를 받을 사람에게 노예를 보내면 그 사람은 노예의 머리를 깎아서 메시지의 내용을 확인한 것에서 찾을 수 있다. 현대에는 디지털 세상으로 넘어와 여러 방법으로 진화했다. 스테가노그래피는 크립토그래피(Cryptography)와 워터마킹(Watermarking)과 더불어 디지털 세상에서 정보를 감추기 위해 많이 사용되는 기법 중 하나이다. ..

FORENSICS 시작하기 - 기초 개념 03 :: 파일 시그니처

SECURITY/FORENSICS 2020. 9. 11. 00:50

1. 파일 시그니처란? 파일 시그니처 (file signature) (= file magic number) : 파일 형식마다 가지고 있는 고유의 특징, 즉 포맷에 대한 정보이다. 즉, 파일의 형식마다 정해져 있는 특정한 byte 들 이다. 파일의 처음에만 존재하는 파일 포맷도 있고, 마지막에 존재하는 파일 포맷도 있다. 파일의 처음에 있는 시그니처는 헤더(Header) 시그니처, 파일의 마지막에 있는 시그니처는 푸터(Footer or Tailer) 시그니처 라고 한다. 만약 헤더와 푸터 시그니처가 다른 형식일 경우, 파일에 문제가 있거나 조작된 파일일 가능성이 있다. HxD 프로그램으로 쉽게 확인할 수 있다. File Type Header Signature (Hex) Footer Signature (He..

FORENSICS 시작하기 - 기초 개념 02 :: 인코딩이란? ASCII, Hex, URL, Base 64, 유니코드

SECURITY/FORENSICS 2020. 9. 11. 00:50

0. 인코딩이란? character encoding : 문자들의 집합을 부호화하는 방법. 즉, 컴퓨터가 이용할 수 있는 신호로 만드는 것을 말한다. 정보의 형태를 변화시킴으로써 처리 속도 향상, 저장 공간 절약와 형식의 표준화를 목표로 한다. 예를 들어, 'A' 라는 글자가 들어오면 컴퓨터는 저장할 때 (일종의 기준에 의해) '65' 라고 저장하고 인식하도록 만드는 것이다. (A 를 보고 65 로 저장하는 것이 인코딩, 저장된 65를 A 라고 출력하는 것이 디코딩이다.) (쉽게 말해 '65'지만, 엄밀히 말하면 65를 0,1 로 저장하는 방식이다) 인코딩/디코딩에 다양한 기준이 존재하는데, 그 기준을 문자열 세트 또는 문자셋이라고 하고, 대표적으로 ASCII, 유니코드 등이 있다. 1. ASCII 의 원..

ABOUT ME

🏰 🏰

티스토리툴바