째로

Splunk 다운로드 링크 https://www.splunk.com/ko_kr/products/splunk-enterprise.html Splunk 접속 http://127.0.0.1:8000 HTTP 메세지 구조 HTTP Request - 요청라인(Method) - 요청헤더 - 공백 - Body (Request의 Body 부분은 볼 수 없다.) Method 종류 GET 요청 정보가 URL에 표시되어 보안성이 낮다. POST 요청 정보가 Body에 들어간다. URL로 전송하지 않기에 다른 사용자가 볼 수 없다. HEAD 서버 측 데이터(웹 서버 정보, healthy check 등)를 검색하고 요청하는데 사용한다. Body 없이 응답코드와 HEAD로만 응답을 받는다. OPTIONS Body가 없이 서버에서..

https://www.malware-traffic-analysis.net/2014/11/16/index.html Malware-Traffic-Analysis.net - 2014-11-16 - Traffic analysis exercise www.malware-traffic-analysis.net LEVEL 1. 1) What is the IP address of the Windows VM that gets infected? 2) What is the host name of the Windows VM that gets infected? 3) What is the MAC address of the infected VM? 4) What is the IP address of the compromised web ..

실습 환경: Ubuntu 22.04 CLI Modsecurity Modsecurity는 웹 서비스의 공격을 효과적으로 차단할 수 있는 공개 웹 응용 프로그램 방화벽 모듈(WAF) 이다. 웹 서비스를 통해서 공격하는 XSS, SQL Injection, Command Execute와 같은 공격을 효과적으로 차단하는 역할을 수행하며, Apache HTTP Server, Microsoft IIS, NGINX에서도 사용이 가능하다. CVE-2013-5705 취약점이 발견되어 2.6.6 이상 버전을 사용해야 한다. 사용하기 전, Apache2 웹서버를 기반으로 동작하기 때문에 80번 포트를 사용하고 있는 다른 서비스가 있다면 꺼두거나 삭제한다. 1. 설치 sudo apt update sudo apt install ..

실습 환경: Virtualbox Ubuntu 22.04 CLI, PuTTY OSSEC(Open Source HIDS SECurity) 오픈 소스 호스트 기반 침입 탐지 시스템으로, 윈도우/리눅스 기반의 보안 로그 및 시스템 정보를 서버와 에이전트를 이용해 수집하는 솔루션이다. 1. 시나리오: Server, Agent에 OSSEC이 작동되고 있고, Agent에 Attacker가 SSH 접속 시도를 한다. 로그를 통해 공격자의 IP를 차단해야 한다. NAT Network를 사용 중인 Ubuntu 가상 머신 3개를 각각 Server, Agent, Attacker용으로 사용한다. 실습은 PuTTY를 이용하여 진행하며, SSH를 이용해 각자의 가상 머신 IP에 원격 접속을 한다. ssh hostname@ip Se..

실행 환경: Ubuntu 22.04 CLI 1. 설치 sudo apt-get update sudo apt-get install software-properties-common sudo add-apt-repository ppa://oisf/suricata-stable sudo apt-get install suricata sudo suricata --build-info 가끔 sudo apt-get update 에서 오류가 날 때가 있는데, 이 때는 reboot 를 하거나 시간 동기화가 필요하다. 시간 동기화를 위해서는 rdate 명령을 실행하거나 sudo hwclock --hctosys 를 실행한다. 탐지 rule 업데이트 sudo suricata-update 2. suricata 실행 전 HOME_NET ..

Suricata rule은 크게 action, header, rule 옵션으로 나눈다. rule header option Action Protocol Src IP Src Port ->/ Dst IP Dst Port Option ex) alert tcp any any -> any 80 (msg:"tistory.com access"; content:"GET /"; content:"Host"; content:"tistory.com"; sid:100001; rev:1;) => tcp 로 접속하는 모든 주소로부터 모든 80번 포트에 도달하는 접속을 경고 발생 및 로그 기록한다. 옵션은 "GET /", "Host", "tistory.com" 내용이 포함될 때 "tistory.com access" 메세지를 남긴다. ..

우리는 리눅스 실습을 위해 보통 가상 머신이라는 것을 설치하여 이용한다. 이 가상 머신에 리눅스를 설치하여 실제 리눅스 운영 체제를 사용해 볼 수 있는데, 그렇다면 내 컴퓨터 안의 가상 머신까지 네트워크가 어떻게 도달하게 되는걸까? 가상 머신의 NIC(Network Interface Card)는 논리적인 장치이다. 그래서 연결도 실제 연결이 아닌 논리적인 연결이 필요하다. 가상 머신 내에 가정에 하나씩 있는 공유기처럼 가상의 소프트웨어 공유기(DHCP Server)가 실행된다. 이 공유기로부터 가상 서버들이 각각 IP를 할당받을 수 있게 된다. VirtualBox Host-Only Network 드라이버가 가상의 공유기 역할을 해준다. IP 주소를 가상 서버마다 할당 받아서 가상 머신 내의 통신도 가능하..