해킹

pchero on October 10th, 2010

 1. CPU의 관점에서 원하는 곳으로 패치시킨다는 것과 가장 관련 있는 CPU의 레지스터는 무엇인가?-> CPU의 관점에서 바라본 “원하는 곳으로 패치(Fetch) 시킨다”는 것은 현재 실행하고 있는 명령 다음에 어떤 명령을 실행시킬 것인가와 관련이 깊다. 따라서 다음번 명령어의 주소값을 저장하고 있는 PC(Program Counter) 레지스터이다.  2. 네트워크 관점에서 원하는 곳으로 패치(Fetch)시킨다는 용어는 무엇에 해당하겠는가?-> 네트워크 관점에서의 패치는 패킷을 전송하는 […]

Continue reading about Chapter 1. 연습문제

pchero on July 11th, 2010

 * fwknop 설치  fwknop 의 설치는 http://www.cipherdyne.org/fwknop/download/ 에서 최신 소스 tarball 이나 RPM을 받는 것이다. 역시 MD5 합을 확인하는 것이 좋으며, 보안적 관점에서는 GnuPG 서명을 확인하기 위해 GnuPG를 사용하는 것이 더 좋다. 받은 파일이 안전하다고 판명되면 설치 과정을 진행할 수 있다.  이제 압축을 풀고 install.pl 스크립트를 실행하여 설치를 진행하자. 아래 보이는 에러 메시지는 필자의 서버에 make […]

Continue reading about 13.fwknop 소개

pchero on July 10th, 2010

 * fwsnort 탐지와 psad 동작의 결합  fwsnort는 공격을 탐지하면 iptables 로그 메시지를 생성한다. 이 메시지는 사용자에게 해당 로그 메시지를 촉발한 스노트 규칙 ID, fwsnort 체인내의 규칙 번호, 패킷이 수립된 TCP 세션의 일부인지 여부를 알려주는 로그 접두어를 포함한다.  ** WEB-PHP Setup.php access 공격  스노트 규칙 ID 2281은 미디어위키 소프트웨어(원래는 위키피디아를 보조하기 위해 설계된 소프트웨어다. http://en.wikipedia.org/wiki/Mediawiki 참조)의 […]

Continue reading about 11.psad와 fwsnort의 결합

pchero on July 7th, 2010

 * fwsnort 설치  psad와 마찬가지로 fwsnort 도 인스톨 프로그램 install.pl과 함께 제공된다. 이 프로그램은 이전에 설치된 fwsnort 의 설정 보존, 두 개의 펄 모듈 설치(Net::IPv4Addr와 IPTables::Parse), 최신 블리딩 스노트 서명 집합의 (선택적인) 다운로드(http://www.bleedingsnort.com 에서 받음)를 포함해서 설치의 모든 것을 처리한다.  우분투/데비안의 경우 다음의 apt-get 을 이용한 설치가 가능하다.  # sudo apt-get install fwsnort 단, fwsnort […]

Continue reading about 10.fwsnort 배치

 * 들어가며..  스노트 규칙을 항상 깔끔하게 변활할 수는 없으며, 스노트 규칙 언어는 매우 복잡하기 때문에 fwsnort는 스노트 버전 2.3.3 에 포함된 규칙의 약 60% 정도를 변환할 수 있다.  fwsnort가 전체 스노트 서명 집합을 iptables 규칙으로 변활할 수는 없지만 fwsnort 는 항상 네트워크 트래픽에 인라인으로 배치된다. 스노트는 주로 수동적 전략으로 배치되며 네트워크 트래픽에서 수상한 활동을 감시하는 […]

Continue reading about 9.스노트 규칙을 iptables 규칙으로 변환