K . N . H :: BLOG

  SSL/TLS 패킷 복호화 전

  SSL/TLS 패킷 복호화 후 결과

* 아래 방법을 차례대로 수행하면 위 사진 결과와 같이 SSL/TLS 패킷을 복호화 할 수 있습니다.

[실행 환경]

운영체제 : Windows 10

브라우져 : Chrome & Firefox

  SSL/TLS 패킷 복호화 하는 방법

  Step1 - 환경변수 SSLKEYLOGFILE 입력

제어판 > 모든 제어판 항목 > 시스템 > 고급 시스템 설정 > 환경 변수 > 시스템 변수 > 새로 만들기

새 시스템 변수 부분에 아래와 같이 입력합니다.

변수이름 : SSLKEYLOGFILE

변수 값 : C:\Users\<사용자 계정>\Desktop\sslkey.log

  Step2 - Wireshark 설정 변경

Wireshark를 실행하여 Edit -> Preferences -> Protocol -> SSL 또는 TLS 를 클릭합니다.

(Pre)-Master-Secret log filename 부분에 환경 변수 값을 넣습니다.

변수 값 : C:\Users\<사용자 계정>\Desktop\sslkey.log

*중요!!* : 설정 후 Wireshark와 인터넷 브라우져(Chrome/Firefox)는 모두 종료합니다.

  Step3 - 패킷 복호화 확인

인터넷 브라우져를 실행한 후 HTTPS가 지원되는 페이지 (ex. 네이버)에 접속하면 다음과 같이 sslkey.log가 바탕화면에 생깁니다.

복호화가 잘 되는 확인해 보기 위해 네이버에서 "this is test"라는 문자를 검색해 봅니다.

HTTP2로 필터링을 걸고 문자열 검색을 해보니 아래와 같이 복호화가 잘 되었음을 확인할 수 있습니다.

패킷이 복화화 되었는지 않되었는지 궁금하신분은

Wireshark 하단에 아래 사진과 같이 Decrypted TLS 부분이 있나 없나 확인해 보시면 간단하게 알 수 있습니다.

내용이 유용하셨다면 좋아요&댓글 부탁드립니다.
이 블로그를 이끌어갈 수 있는 강력한 힘입니다!

caul334@gmail.com

도커를 처음 배우기 시작할 때 꼭 필요한 기본 명령어를 한페이지 분량으로 정리하였습니다.

아래 정리된 명령어 모음은 도커를 운영할 때 사용하시면 분명 도움이 될겁니다.

  현재 내가 가진 이미지 출력

  이미지 다운로드 (hub에서 검색하여 이름 파악)

ex1) docker pull httpd
ex2) docker pull ubuntu:18.04

  이미지를 실행하여 컨테이너 만들기

ex) docker run httpd

ex) docker run --name ws1 httpd

ex) docker run -p 80:80 httpd

ex) docker run -p 8080:80 -v ~/Desktop/htdocs:/usr/local/apache2/htdocs httpd

ex) docker run --name ubuntu_18.04 -it ubuntu:18.04 /bin/bash

  실행중인 컨테이너 중지

  정지된 컨테이너 재시작

  컨테이너에 대한 log 출력하기

  컨테이너에 삭제

  이미지 삭제

  실행중인 컨테이너 정보확인

  커맨드라인 실행

ex) docker exec ws1 pwd

ex) docker exec -it ws1 /bin/sh

  Dockerfile을 통한 이미지 생성

ex) docker build -t echotest:1.0 .\

내용이 유용하셨다면 좋아요&댓글 부탁드립니다.
이 블로그를 이끌어갈 수 있는 강력한 힘입니다!

caul334@gmail.com

칼리 리눅스를 설치하고 무선 네트워크를 사용하려고 내 공유기의 5 GHz SSID에 접근하려 했는데 보이지가 않습니다.

2.4 GHz 대역만 보이고 5 GHz는 보이지 않는 상황이기에 명령어를 통해 하나씩 문제를 집어보았습니다.

첫째, 가장 먼저 의심해보아야 할 게 내 공유기의 5 GHz가 다른 기기에서는 잡히는가? 입니다.

확인해보니 내 핸드폰과 윈도우OS의 PC에서는 잘 잡힙니다.

둘째, 그렇다면 두번째로 의심할 것은 칼리 리눅스에 설치된 네트워크 드라이브가 5 GHz를 인식하느냐의 문제입니다.

위 명령어로 확인해 보면 5 GHz 를 인식하지 못함을 알 수 있습니다.

인식하게 해주려면....

무선 네트워크 드라이브를 다른 것으로 깔아보면 되겠지요?

먼저 lspci 명령어를 통해 무선 네트워크 어댑터가 어떤것인지 알아냅니다.

확인 결과 Broadcom Corporation BCM4313 이네요

알아낸 정보를 바탕으로 구글신의 도움을 받고자 저의 안타까운 상황을 적어 구글 검색을 해봅니다.

모든 정보를 하나하나 봐야되지만 일단 빠르게 Ctrl + F 를 이용하여 제 모델명(BCM4313)이 있는지 검색해 봤습니다.

정보가 하나 나오는게 있네요!

꿀요정이라는 친절한 분이 정규표현식까지 써가며

모든 사람들을 이롭게 하기 위한 홍익인간 정신으로 해결 방법을 써놓았네요

위 명령어를 그대로 치니 아래와 같이 5 GHz 확인하는 결과를 얻을 수 있었습니다.

내용이 유용하셨다면 좋아요&댓글 부탁드립니다.
이 블로그를 이끌어갈 수 있는 강력한 힘입니다!

caul334@gmail.com

정보보안을 담당하는 곳에서 한 통의 메일을 받았는데 그 내용인 즉...

"DNS서버의 Open Resolver 설정이 활성화된 것을 탐지" 되었다는 메일을 받았습니다.

  Open DNS Resolver ?

DNS 서버에 A라는 도메인에 대한 질의가 들어왔을때 A라는 도메인의 IP 정보가 없으면

상위 DNS에게 질의하여 A 도메인의 IP를 알아내는 DNS 서버이다.

  Open Resolver 활성화/비활성화 차이점

Open Resolver 활성화 : 모르는 도메인을 물어보았을 때 상위 DNS에 물어봐서 알려줌

Open Resolver 비활성화 : 모르는 도메인을 물어보았을 때 상위 DNS에 질의 하지 않고 거부 (Refuse)

  Open DNS Resolver에 따른 공격

DNS 서버의 Open Resolver가 활성화 되게 되면

공격자는 해당 DNS 서버를 공격의 경유지로 사용하여 DNS Amplication 공격을 함으로

피해자 서버에 DDoS 공격을 할 수 있습니다.

참고) DNS Amplication(증폭) 공격의 원리

  검증 (Demonstration)

  Open Resolver 활성화된 DNS 서버

• 커맨드 창 실행 후 nslookup 입력
• server는 KT DNS (168.126.63.1)로 지정
• set type은 ANY로 설정
• google.com 을 질의 했을 때 "권한 없는 응답"이라는 메시지가 뜸으로 KT DNS에는 없는 도메인 정보지만 상위 DNS에 질의하여 아래처럼 google.com에 대한 도메인 정보를 응답해줌

  Open Resolver 비활성화된 DNS 서버

• 커맨드 창 실행 후 nslookup 입력
• server는 Open Resolver를 지원하지 않는 서버로 지정    예)115.22.33.61)
• set type은 ANY로 설정
• google.com 을 질의 했을 때 아래와 같은 메시지 뜸

  Open Resolver 여부 테스트 사이트

간편하게 자신의 DNS 서버가 Open Resolver가 활성화/비활성화 여부를 알 수 있는 사이트를 소개해드리겠습니다.

사이트 주소는 아래와 같습니다.

https://openresolver.com/

소개해드린 사이트에서 DNS 서버의 IP를 조회해보면 Open Resolver 여부를 간단하게 알 수 있습니다.

내용이 유용하셨다면 좋아요&댓글 부탁드립니다.
이 블로그를 이끌어갈 수 있는 강력한 힘입니다!

caul334@gmail.com

  공격 원리

• DNS 질의는 인증 절차가 없다는 점을 이용
• DNS 질의 트래픽량은 요청량보다 DNS 서버의 응답량이 더 많다는 점을 이용

  공격이 이루어지는 과정

1. 공격자가 Open Resolver(중계 DNS 서버) 서버에 DNS Query의 Type을 "ANY"로 변경한 후 출발지를 피해자의 IP 수정한다.
2. Open Resolver 서버는 찾는 도메인이 자신이 관리하지 않을 경우 상위 DNS에 물어 응답을 받아 온다.
3. Open Resolver는 DNS type을 ANY로 요청 받았기 때문에 A, NS, CNAME 등 모든 Type의 정보를 응답한다.
4. 공격자는 출발지 IP 주소를 희생자의 주소로 위조하였기 때문에 다수의 Open Resolver 서버에 보내면 피해자는 다수의 DNS 서버로 부터 수 Gbps의 응답을 받게 된다.

DNS ANY 타입의 패킷을 보면 Type이 * (00 ff)임을 확인할 수 있다.

  대응 방법

DNS 서버의 재귀 쿼리(Recursive Query)를 사용하지 않는다면 설정 해제

단, 꼭 사용해야 한다면 DNS 서버 설정을 통해 내부 사용자의 주소만 재귀 쿼리(Recursive Query)를 허용

방화벽 설정을 통해 특정 byte 이상의 DNS 응답을 차단

[References]

ASEC blog : https://asec.ahnlab.com/951

DNS 증폭 공격 : http://itwiki.kr/w/DNS_%EC%A6%9D%ED%8F%AD_%EA%B3%B5%EA%B2%A9

내용이 유용하셨다면 좋아요&댓글 부탁드립니다.
이 블로그를 이끌어갈 수 있는 강력한 힘입니다!

caul334@gmail.com

  Splunk 최신 버전 설치 방법

1. https://www.splunk.com/ 홈페이지로 가서 로그인 또는 회원가입(Sign Up)을 합니다.

2. 로그인을 한 상태에서 스크롤을 쭉 내리면 보이는 FREE TRIALS AND DOWNLOADS를 클릭합니다.

3. 아래 그림과 같이 Splunk Enterprise 클릭 합니다.

4. Linux 사용자는 아래 그림과 같이 Linux를 클릭한 후 자신의 Linux 계열(Redhat, Debian 등)에 맞는 설치 파일을

다운로드 하시면 됩니다. (참고로 제 Linux는 Ubuntu이며 .tgz를 다운받았습니다.)

4.1 혹시 Linux에서 wget을 통해 다운로드할 URL 주소가 필요하다면 아래 부분을 클릭하면 주소를 얻을 수 있습니다.

4.2. wget을 통해 다운로드 하면 아래와 같습니다.

* 입력한 명령어

5. 다운로드 완료되었으면 tar 명령어를 통해 압축을 풉니다.

6. 압축을 풀면 자동 생성되는 splunk 폴더와 그 하위 bin 폴더로 이동하여 splunk를 실행합니다.

* 입력한 명령어

7. 실행을 하게 되면 라이센스와 ID/PW를 입력하는 부분이 나오는데

라이센스는 스페이스 버튼을 눌러 다 읽거나 아니면 Q를 눌러 다 안읽고 동의 여부에 체크할 수 있습니다.

라이센스 동의 (y 입력 후 Enter) 후 계정을 생성합니다.

8. 계정까지 모두 생성하면 아래와 같이 Splunk 웹 인터페이스가 포트 8000번 으로 오픈됐다는 메시지가 나옵니다.

9. http://127.0.0.1:8000 으로 접속해보면 정상적으로 설치됨을 확인할 수 있습니다.

내용이 유용하셨다면 좋아요&댓글 부탁드립니다.
이 블로그를 이끌어갈 수 있는 강력한 힘입니다!

caul334@gmail.com

쇼단 홈페이지에 들어가보면 설치하라는 페이지가 있는데 처음 보는 사람은 이해가 잘 안갑니다.

결론은 파이썬을 통해 실행하면 됩니다.

Linux 계열 사용자들은 아래와 같이 명령어를 입력하시면 됩니다.

정상 실행이 된다면 

아래와 같은 결과를 얻을 수 있습니다.

내용이 유용하셨다면 좋아요&댓글 부탁드립니다.
이 블로그를 이끌어갈 수 있는 강력한 힘입니다!

caul334@gmail.com

쇼단 크레딧 정책 개념 대해 정리해보겠습니다.

쇼단에서 사용되는 크레딧은 3가지 종류입니다.

1. Export Credits / 2. Query Credits / 3. Scan Credits

  Export Credits 특징

1. Shodan 웹사이트에서 데이터를 다운로드 하는데 사용 (아래 그림 참고)

2. Shodan API 라이센스를 구입하면 처음 20개가 주어짐

3. 매월 자동으로 갱신되지 않으며 모두 소진 시 충전하지 않으면 다시 채워지지 않습니다.

  Query Credits 특징

1. 일반적인 Shodan 검색 시 사용됨

2. 매월 초마다 자동 갱신됩니다.

3. Shodan API 라이센스를 통해 검색할 때 두 가지 조건 중 하나라도 충족하면 1 크레딧 감소

  3.1. 검색 필터 사용

  3.2. 2번째 페이지 이상 요청

4. 크레딧 1개로 100개의 결과값 요청 가능 (Shodan API 라이센스를 구입 시 매월 100 쿼리 크레딧 갱신)

* 3.1 검색필터 사용은 아래 사진을 참고하면 됩니다. 검색필터 product를 사용했을 때 Query credits이 1감소했음을 확인할 수 있습니다.

* 3.2 다른 페이지 요청은 아래 사진과 같이 API를 통해 프로그래밍 할 때 2번째 페이지를 따로 요청하면 credit이 1개 감소합니다.

  Scan Credits 특징

1. 네트워크 스캔 시 사용 (특히 아래와 같은 경우에 쓰입니다)

  1.1. 방화벽 규칙 확인

  1.2. 이슈(문제)의 패치 및 수정 여부 확인

  1.3. 맞춤 포트 확인

2. 매월 초마다 자동 갱신됩니다.

3. 크레딧 1개로 IP 1개 스캔 가능 (Shodan API 라이센스를 구입 시 매월 100 스캔 크레딧 갱신)

내용이 유용하셨다면 좋아요&댓글 부탁드립니다.
이 블로그를 이끌어갈 수 있는 강력한 힘입니다!

caul334@gmail.com

쇼단을 이용한 간단한 정보보안 취약점 점검 방법에 관해 소개해드리겠습니다.

이 방법은 정보보안을 모르는 일반사람도 할 수 있는 아주 간단하면서도 유용한 방법입니다.

먼저 새로운 취약점들이 주기적으로 공지되는 KISA 보안공지 게시판에 접속합니다.

KISA 보안공지 : https://www.krcert.or.kr/data/secNoticeList.do

KISA 보안공지 게시판에는 정보보안 취약점 패치가 필요한 제품 및 서비스에 관해 공지를 해줍니다.

자신이 사용하는 제품이나 서비스관련 게시글이 있으면 클릭합니다.

저는 예시를 들기 위해 "IoT 보안 취약점 주의 권고"에 들어가봤습니다.

들어가보니 여러 제품 중 "LG SuperSign EZ CMS"를 쇼단에서 검색해보겠습니다.

검색어는 자신의 IP 또는 IP대역을 입력하고 제품명을 입력하면 다음과 같은 결과를 얻을 수 있습니다.

검색어 예시) net:<자신의IP주소> SuperSign

* 위 사진은 단순 예시를 위한 사진으로 취약점과 아무 관련 없습니다.

만약 검색결과가 No results found가 나온다면 다행이지만

위 사진과 같이 검색결과가 존재한다면 검색한 사용자는 관련 제품을 사용하는 동시에

불특정 다수의 사람이 제가 관련 제품을 사용하고 있다는 사실을 알 수 있습니다.

그렇기 때문에 KISA 보안공지 게시판에 나오는 대응 방안 부분을 읽어보고

대응방안 가이드에 맞게 따라 하시는게 강력한 정보보안에 좋습니다.

내용이 유용하셨다면 좋아요&댓글 부탁드립니다.
이 블로그를 이끌어갈 수 있는 강력한 힘입니다!

caul334@gmail.com

파이참(PyCharm)에 있는 pymysql 모듈을 통해 처음으로 MySQL을 사용하면 아래와 같이 에러가 발생할 수 있습니다.

저와 같이 에러가 나시는 분들은 아래 해결책을 통해 해결하시면 됩니다.

저의 경우는 에러메시지<1> 증상이 나타난후 곧바로 에러메시지<2> 증상이 나타났습니다.

  에러메시지<1>

RuntimeError: 'cryptography' package is required for sha256_password or caching_sha2_password auth methods

  해결책<1>

- cryptography 모듈 설치

명령어 : python.exe -m pip install cryptography 또는 PyCharm > Setting > cryptography 모듈 설치

  에러메시지<2>

pymysql.err.OperationalError: (1045, "Access denied for user 'root'@'localhost' (using password: YES)")

  해결책 <2>

- root 계정 접속 후 root 패스워드 변경

명령어 : ALTER USER 'root'@'localhost' IDENTIFIED BY '<바꿀패스워드>';

위와 같이 두 가지 에러메시지를 해결하면 다음과 같이 정상적으로 실행이 가능합니다.

내용이 유용하셨다면 좋아요&댓글 부탁드립니다.
이 블로그를 이끌어갈 수 있는 강력한 힘입니다!

caul334@gmail.com