scapy는 파이썬 기반의 패킷 생성, 조작 및 스니핑, 스캐닝 등 상황에 따라 유연하게 활용 할 수 있는 툴이다. 설치 링크 :http://www.secdev.org/projects/scapy/http://www.secdev.org/projects/scapy/doc/installation.html#platform-specific-instructions 찾아보니 좋은 문서와 자세히 정리된 글이 있어 간단하게만 정리한다. [그림 1] scpay 시작 화면 테스트 환경은 BT5R3에서 진행하였다. scapy 명령어 입력 시 [그림 1]과 같은 프롬프트 창이 출력되고 이 상태에서 파이썬 프로그래밍을 하거나 간단한 패킷을 생성할 수 있다. scapy의 종료는 exit(). [그림 2] scapy 설정 화면 co..
때때로 자격증 시험과 같은 곳에서 스캔 방식에 따른 응답 차이를 물어볼 때가 있는데, 혼동이 되어 정리해본다. 스캔하는 호스트를 공격자(A)라 칭하고 스캔 당하는 호스트는 피해자(B)라 칭한다. 1. TCP connect scan스캔 시 공격자가 피해자와 완전한 3 Way-Handshacking 과정을 통해 세션을 성립하여 열린 포트를 확인하는 스캔. 결과에 대한 신뢰성은 높지만 속도가 느리고 피해자의 로그에 남는다. [그림 1] TCP connect scan (open)[그림 2] TCP connect scan (close) 2. Half-open scanHalf-open scan 또는 SYN 스캔이라고 부르는 방식으로 TCP connect scan과 같이 완전한 세션을 성립하지 않고 SYN 패킷 만을..
데이터의 송수신 시 호스트의 IP 주소를 아는것만으로는 MAC 주소를 이용해 통신하는 네트워크 계층에서 프레임을 전달하는 것은 불가능하다. 때문에 TCP/IP 통신에서 하드웨어 주소 즉, MAC 주소를 알기위해 ARP(Address Resolution Protocol)를 사용해 IP와 MAC 주소간의 동적 매핑을 제공한다. 동적 매핑이라 표현한 이유는 매핑이 자동으로 이뤄지며 변경이 발생하여도 시스템 관리자에 의해 재구성을 요하지 않은 채 변경이 적용되기 때문이다. ARP와 반대로 MAC 주소와 IP 주소간의 매핑을 제공하는 RARP (Rev-erse Address Resolution Protocol)는 흔히 사용되지 않는다. ARP는 IPv4에서만 사용되며 IPv6의 경우 ICMPv6에 포함되있는 ND..
TCP flag 중 ECN(Explicit Congestion Notification) flag와 CWR(Congestion Window Reduced) flag의 기능과 역할이 궁금해 알아보았다. 아래의 기사에 ECN의 문제점과 탄생 배경 등이 잘 나와있으니 참고 바란다. ECN의 개발 배경 : http://www.zdnet.co.kr/news/news_view.asp?artice_id=00000010040336 통신의 과부하(혼잡, 지연)으로 인해 라우터 메모리의 수용 가능 패킷양을 초과하게 되는 경우가 발생한다. 이를 위해 라우터는 AQM(Active Queue Management) 알고리즘의 하나인 RED(Random Early Detection) 알고리즘을 통해 혼잡 제어를 수행한다. RED는 ..
갑자기 발표할 일이 생겨 만든 자료 입니다. 초보자의 관점에서 패킷분석 시 어떤 방식으로 접근하면 좋을지 그리고 패킷 분석을 공부하는 방법에 관해 간략하게 정리하였습니다. 후반부에는 2013 Wireshark Challenge 문제풀이와 SANS Network Forensic 문제풀이가 있습니다. Wireshark Challenge : http://www.wiresharktraining.com/sharkfest2013challenge.html SANS Network Forensic : http://forensicscontest.com/
