K . N . H :: BLOG

  공격 원리

• DNS 질의는 인증 절차가 없다는 점을 이용
• DNS 질의 트래픽량은 요청량보다 DNS 서버의 응답량이 더 많다는 점을 이용

  공격이 이루어지는 과정

1. 공격자가 Open Resolver(중계 DNS 서버) 서버에 DNS Query의 Type을 "ANY"로 변경한 후 출발지를 피해자의 IP 수정한다.
2. Open Resolver 서버는 찾는 도메인이 자신이 관리하지 않을 경우 상위 DNS에 물어 응답을 받아 온다.
3. Open Resolver는 DNS type을 ANY로 요청 받았기 때문에 A, NS, CNAME 등 모든 Type의 정보를 응답한다.
4. 공격자는 출발지 IP 주소를 희생자의 주소로 위조하였기 때문에 다수의 Open Resolver 서버에 보내면 피해자는 다수의 DNS 서버로 부터 수 Gbps의 응답을 받게 된다.

DNS ANY 타입의 패킷을 보면 Type이 * (00 ff)임을 확인할 수 있다.

  대응 방법

DNS 서버의 재귀 쿼리(Recursive Query)를 사용하지 않는다면 설정 해제

단, 꼭 사용해야 한다면 DNS 서버 설정을 통해 내부 사용자의 주소만 재귀 쿼리(Recursive Query)를 허용

방화벽 설정을 통해 특정 byte 이상의 DNS 응답을 차단

[References]

ASEC blog : https://asec.ahnlab.com/951

DNS 증폭 공격 : http://itwiki.kr/w/DNS_%EC%A6%9D%ED%8F%AD_%EA%B3%B5%EA%B2%A9

내용이 유용하셨다면 좋아요&댓글 부탁드립니다.
이 블로그를 이끌어갈 수 있는 강력한 힘입니다!

caul334@gmail.com

  Splunk 최신 버전 설치 방법

1. https://www.splunk.com/ 홈페이지로 가서 로그인 또는 회원가입(Sign Up)을 합니다.

2. 로그인을 한 상태에서 스크롤을 쭉 내리면 보이는 FREE TRIALS AND DOWNLOADS를 클릭합니다.

3. 아래 그림과 같이 Splunk Enterprise 클릭 합니다.

4. Linux 사용자는 아래 그림과 같이 Linux를 클릭한 후 자신의 Linux 계열(Redhat, Debian 등)에 맞는 설치 파일을

다운로드 하시면 됩니다. (참고로 제 Linux는 Ubuntu이며 .tgz를 다운받았습니다.)

4.1 혹시 Linux에서 wget을 통해 다운로드할 URL 주소가 필요하다면 아래 부분을 클릭하면 주소를 얻을 수 있습니다.

4.2. wget을 통해 다운로드 하면 아래와 같습니다.

* 입력한 명령어

5. 다운로드 완료되었으면 tar 명령어를 통해 압축을 풉니다.

6. 압축을 풀면 자동 생성되는 splunk 폴더와 그 하위 bin 폴더로 이동하여 splunk를 실행합니다.

* 입력한 명령어

7. 실행을 하게 되면 라이센스와 ID/PW를 입력하는 부분이 나오는데

라이센스는 스페이스 버튼을 눌러 다 읽거나 아니면 Q를 눌러 다 안읽고 동의 여부에 체크할 수 있습니다.

라이센스 동의 (y 입력 후 Enter) 후 계정을 생성합니다.

8. 계정까지 모두 생성하면 아래와 같이 Splunk 웹 인터페이스가 포트 8000번 으로 오픈됐다는 메시지가 나옵니다.

9. http://127.0.0.1:8000 으로 접속해보면 정상적으로 설치됨을 확인할 수 있습니다.

내용이 유용하셨다면 좋아요&댓글 부탁드립니다.
이 블로그를 이끌어갈 수 있는 강력한 힘입니다!

caul334@gmail.com

쇼단 홈페이지에 들어가보면 설치하라는 페이지가 있는데 처음 보는 사람은 이해가 잘 안갑니다.

결론은 파이썬을 통해 실행하면 됩니다.

Linux 계열 사용자들은 아래와 같이 명령어를 입력하시면 됩니다.

정상 실행이 된다면 

아래와 같은 결과를 얻을 수 있습니다.

내용이 유용하셨다면 좋아요&댓글 부탁드립니다.
이 블로그를 이끌어갈 수 있는 강력한 힘입니다!

caul334@gmail.com

쇼단 크레딧 정책 개념 대해 정리해보겠습니다.

쇼단에서 사용되는 크레딧은 3가지 종류입니다.

1. Export Credits / 2. Query Credits / 3. Scan Credits

  Export Credits 특징

1. Shodan 웹사이트에서 데이터를 다운로드 하는데 사용 (아래 그림 참고)

2. Shodan API 라이센스를 구입하면 처음 20개가 주어짐

3. 매월 자동으로 갱신되지 않으며 모두 소진 시 충전하지 않으면 다시 채워지지 않습니다.

  Query Credits 특징

1. 일반적인 Shodan 검색 시 사용됨

2. 매월 초마다 자동 갱신됩니다.

3. Shodan API 라이센스를 통해 검색할 때 두 가지 조건 중 하나라도 충족하면 1 크레딧 감소

  3.1. 검색 필터 사용

  3.2. 2번째 페이지 이상 요청

4. 크레딧 1개로 100개의 결과값 요청 가능 (Shodan API 라이센스를 구입 시 매월 100 쿼리 크레딧 갱신)

* 3.1 검색필터 사용은 아래 사진을 참고하면 됩니다. 검색필터 product를 사용했을 때 Query credits이 1감소했음을 확인할 수 있습니다.

* 3.2 다른 페이지 요청은 아래 사진과 같이 API를 통해 프로그래밍 할 때 2번째 페이지를 따로 요청하면 credit이 1개 감소합니다.

  Scan Credits 특징

1. 네트워크 스캔 시 사용 (특히 아래와 같은 경우에 쓰입니다)

  1.1. 방화벽 규칙 확인

  1.2. 이슈(문제)의 패치 및 수정 여부 확인

  1.3. 맞춤 포트 확인

2. 매월 초마다 자동 갱신됩니다.

3. 크레딧 1개로 IP 1개 스캔 가능 (Shodan API 라이센스를 구입 시 매월 100 스캔 크레딧 갱신)

내용이 유용하셨다면 좋아요&댓글 부탁드립니다.
이 블로그를 이끌어갈 수 있는 강력한 힘입니다!

caul334@gmail.com

쇼단을 이용한 간단한 정보보안 취약점 점검 방법에 관해 소개해드리겠습니다.

이 방법은 정보보안을 모르는 일반사람도 할 수 있는 아주 간단하면서도 유용한 방법입니다.

먼저 새로운 취약점들이 주기적으로 공지되는 KISA 보안공지 게시판에 접속합니다.

KISA 보안공지 : https://www.krcert.or.kr/data/secNoticeList.do

KISA 보안공지 게시판에는 정보보안 취약점 패치가 필요한 제품 및 서비스에 관해 공지를 해줍니다.

자신이 사용하는 제품이나 서비스관련 게시글이 있으면 클릭합니다.

저는 예시를 들기 위해 "IoT 보안 취약점 주의 권고"에 들어가봤습니다.

들어가보니 여러 제품 중 "LG SuperSign EZ CMS"를 쇼단에서 검색해보겠습니다.

검색어는 자신의 IP 또는 IP대역을 입력하고 제품명을 입력하면 다음과 같은 결과를 얻을 수 있습니다.

검색어 예시) net:<자신의IP주소> SuperSign

* 위 사진은 단순 예시를 위한 사진으로 취약점과 아무 관련 없습니다.

만약 검색결과가 No results found가 나온다면 다행이지만

위 사진과 같이 검색결과가 존재한다면 검색한 사용자는 관련 제품을 사용하는 동시에

불특정 다수의 사람이 제가 관련 제품을 사용하고 있다는 사실을 알 수 있습니다.

그렇기 때문에 KISA 보안공지 게시판에 나오는 대응 방안 부분을 읽어보고

대응방안 가이드에 맞게 따라 하시는게 강력한 정보보안에 좋습니다.

내용이 유용하셨다면 좋아요&댓글 부탁드립니다.
이 블로그를 이끌어갈 수 있는 강력한 힘입니다!

caul334@gmail.com

파이참(PyCharm)에 있는 pymysql 모듈을 통해 처음으로 MySQL을 사용하면 아래와 같이 에러가 발생할 수 있습니다.

저와 같이 에러가 나시는 분들은 아래 해결책을 통해 해결하시면 됩니다.

저의 경우는 에러메시지<1> 증상이 나타난후 곧바로 에러메시지<2> 증상이 나타났습니다.

  에러메시지<1>

RuntimeError: 'cryptography' package is required for sha256_password or caching_sha2_password auth methods

  해결책<1>

- cryptography 모듈 설치

명령어 : python.exe -m pip install cryptography 또는 PyCharm > Setting > cryptography 모듈 설치

  에러메시지<2>

pymysql.err.OperationalError: (1045, "Access denied for user 'root'@'localhost' (using password: YES)")

  해결책 <2>

- root 계정 접속 후 root 패스워드 변경

명령어 : ALTER USER 'root'@'localhost' IDENTIFIED BY '<바꿀패스워드>';

위와 같이 두 가지 에러메시지를 해결하면 다음과 같이 정상적으로 실행이 가능합니다.

내용이 유용하셨다면 좋아요&댓글 부탁드립니다.
이 블로그를 이끌어갈 수 있는 강력한 힘입니다!

caul334@gmail.com

컴퓨터 PC를 2년 동안 잘 사용하고 있었는데

'체험판'님의 동영상을 보고 '써멀구리스는 자동차의 엔진오일과 같아서 1년마다 바꿔줘야한다'라는 사실을 알았습니다.

그래서 열심히 써멀구리스 제품을 조사해봤습니다.

결론적으론 개인 사용자가 쓰기에 가성비가 가장 좋은 제품은 그리핀(Griffin) Z9 4g 이였습니다.

바로 주문을 하고나서 배송을 받았습니다.

가격은 다나와에서 5,400원 + 배송비(2,500) = 총 7,900원 사용했습니다.

박스를 개봉해보니 구성품은

펴바를수 있는 플라스틱 막대기(1개) + 써멀구리스 주사기(1개)가 있습니다.

써멀구리스를 재도포 전 CPU 발열을 측정해보니약 50도에서 왔다갔다 했습니다.

오랜만에 CPU와의 대면을 위해

본체 케이스를 열고 공랭 쿨러(잘만 CNPS9X)를 분리해 줍니다.

쿨러까지 분리하면 쿨러와 CPU 사이에 매꿔져 있는 구리스를 휴지로 닦아줍니다.

(마른 휴지로도 아주 잘 닦입니다.)

깨끗하게 닦으니 제가 아끼는 CPU가 드러났습니다.

컴퓨터 구매 당시 CPU에 투자를 많이 했는데 이제 이 모델이 구식이 되다니...

참고로 CPU는 라이젠 7 2700X 입니다.

정확히 반만(2g) 사용하려고 스티커를 제거했습니다.

주사기의 반 정도가 차있습니다.

저 정도가 4g 입니다.

1/3 정도의 양만 사용했는데도 CPU를 다 덮고 떡칠을 할 수 있습니다.

2년에 걸쳐 나눠 쓰려고 했는데 3년은 쓸 수 있을거 같네요.

양은 충분합니다.

이제 재도포를 한 후 가장 중요한 발열을 체크 절차가 남았는데

발열을 체크해보니 확실히 효과가 있습니다.

50도 -> 46도 정도로 약 4도정도 내려갔습니다.

작업시간은 약 30분~40분 정도 걸렸습니다. (구리스칠 처음해보는 사람 기준)

내용이 유용하셨다면 좋아요&댓글 부탁드립니다.
이 블로그를 이끌어갈 수 있는 강력한 힘입니다!

caul334@gmail.com

파워쉘 스크립트를 실행하는 방법에 대해 말씀드리겠습니다.

윈도우는 기본적으로 파워쉘 스크립트를 실행하지 못하게 막아놓았습니다.

때문에 스크립트를 실행하려면 기본 PowerShell 실행 정책을 변경해야 합니다.

기본 실행 정책인 Restricted는 로컬 컴퓨터에 쓰는 스크립트를 포함하여 모든 스크립트가 실행되지 않도록 합니다.

  현재 PowerShell 실행 정책 확인 명령어

  스크립트(.ps1) 실행 정책 변경 방법

스크립트(.ps1)를 실행하기 위해서

현재 정책인 Restricted를 -> RemoteSigned 또는 AllSigned 로 바꾸면 스크립트를 실행 할 수 있습니다.

Step 1. 관리자 권한으로 Power Shell 실행

Step 2. Set-ExecutionPolicy 명령으로 기본 정책 변경

Set-ExecutionPolicy RemoteSigned 명령어를 입력 후 Y를 입력하시면 됩니다.

*위 방법으로 스크립트가 실행되지 않을 때에는 Set-ExecutionPolicy AllSigned 명령으로 재시도 해보시기 바랍니다.

Step 3. 스크립트 실행 확인

기본 실행 정책을 변경한 후 기존에 실행되지 않았던 스크립트를 실행하여 봅니다.

내용이 유용하셨다면 좋아요&댓글 부탁드립니다.
이 블로그를 이끌어갈 수 있는 강력한 힘입니다!

caul334@gmail.com

[참고 자료]

https://docs.microsoft.com/ko-kr/powershell/module/microsoft.powershell.core/about/about_scripts?view=powershell-7.2 

https://docs.microsoft.com/ko-kr/powershell/module/microsoft.powershell.core/about/about_execution_policies?view=powershell-7.2 

컴퓨터 전원을 종료 후 대기전력을 차단/공급 설정하는 방법을 공유드리겠습니다.

컴퓨터를 종료한 후 USB 충전이 필요없거나 다른 이유로 대기전력이 필요없으신 분들은 대기전력을 차단하는 방법이 필요하실 겁니다.

  종료 후 대기전력 공급 / USB 충전 설정

1. 메인보드 설정 : 메인보드 BIOS 모드 > (ASUS 메인보드 기준) Advance(F7) > APM 구성 > ErP ready > disable 설정

2. Windows 설정 : 제어판 > 작은 아이콘 보기 > 전원 옵션 > 전원 단추 작동 설정 > 현재 사용할 수 없는 설정 변경 > 빠른 시작 켜기 (체크)

  종료 후 대기전력 차단 / USB 충전 해지

1. 메인보드 설정 : 메인보드 BIOS 모드 > (ASUS 메인보드 기준) Advance(F7) > APM구성 > ErP ready > enable (S4+S5) 또는 (S5) 설정

2. Windows 설정 : 제어판 > 작은 아이콘 보기 > 전원 옵션 > 전원 단추 작동 설정 > 현재 사용할 수 없는 설정 변경 > 빠른 시작 켜기 (체크 해제)

내용이 유용하셨다면 좋아요&댓글 부탁드립니다.
이 블로그를 이끌어갈 수 있는 강력한 힘입니다!

caul334@gmail.com

zipfile 모듈을 사용하면서 압축을 다 해제하고 zipfile을 삭제하려고 하는데 에러가 발생했습니다.

  에러메시지

  해결책

.close()로 종료했어야 했는데 종료하지 않은 객체가 있는지 확인해 봅니다.

객체를 정상적으로 종료하면 아래와 같이 해결 가능합니다.