스노트(Snort) : SourceFile사의 Martin Roesch에 의해 발표된 오픈소스 침입탐지 시스템
ㄴ 패턴 매칭 방법으로 바이너리 비교방법과 텍스트 비교방법이 있으며, 텍스트 비교는 바이너리에 비해 느리다.
수리카타 : 스노트의 단점을 개선하고 장점을 수용한 IPS
alert tcp [출발지 IP주소] [출발지 Port 번호] -> [목적지 IP주소] [목적지 Port 번호] (msg : "이벤트명"; content:"검사할 문자열"; offset : "검색을 시작할 바이트" , depth : "offset으로부터 검사할 바이트 수")
침입 탐지 시스템(IDS) : 미러링 방식으로 공격 여부를 탐지하는 시스템이다.
- 오용 탐지(지식 기반 탐지) : 시그니처 기반 탐지, 오탐률이 낮고 미탐률이 높음
- 이상 탐지(행위 기반 탐지) : 정상 행위를 벗어나는 데이터를 탐지, 오탐률이 높고 미탐률이 낮음
-호스트기반 IDS(트립와이어) , 네트워크기반 IDS(미러링 기법,스노트)
IDS : 모니터링/미러링 방식 - IPS : 게이트웨이/인라인 방식
방화벽 : 네트워크 구간에 전송되는 패킷들을 정해진 규칙에 따라 차단하거나 통과시켜 내부 자산을 보호하는 시스템
스니퍼 모드 : 단순히 네트워크에서 패킷을 읽어서 콘솔에 출력하는 모드
iptables : Linux 오픈소스로 상태추적기능과 로깅 기능, 포트 포워딩 및 매칭 기능, 패킷 필터링 기능을 제공해준다.(방화벽 장비에 사용)
- iptables -A INPUT -s(or -d) [IP 주소] -j ACCEPT(or DROP)
- iptables -A INPUT -p tcp --dport 80 -j ACCEPT(or DROP)
NAC : 오픈 소스 도구인 PacketFence와 같은 네트워크 통제 기능을 수행하는 보안 솔루션
UTM(통합보안시스템) : 다양한 보안 기능을 하나의 장비로 통합한 보안장비
ESM(Enterprise Security Management) : 다양한 보안 솔루션에서 발생하는 보안 정보를 통합적으로 수집 및 관리하여 대응할수 있도록 해주는 보안 관리 시스템. - ESM 에이전트, ESM 매니저, ESM 콘솔
SIEM : ESM의 진화한 형태로 로그수집 - 로그분류-로그변환-로그분석 의 기능을 제공한다.
사이버 위협 인텔리전스(CTI) : SIEM과 연계하여 위협에 대한 분석과 대응을 효과적으로 할수 있도록 지원, APT 공격 대응
사이버 위기 경보 발령 단계 : 정상 < 관심 < 주의 < 경계 < 심각
와이어샤크 필터 - dns.flags.response ==1 (0:질의 , 1:응답), dns.flags.authoritative==1(0:네임서버캐시응답,1: authoritative네임서버응답)
퍼징 도구 : 애플리케이션의 보안 취약점을 찾아내기 위한 도구로 애플리케이션에 비정상적인 데이터를 입력함으로써 소프트웨어 오류를 유발시켜 보안 취약점을 찾아내는 도구.
Tripwire = 무결성 점검도구
Nessus : Tenable사가 제공하는 취약점 점검도구(패스워드 취약점,DOS, 취약한 서버 설정 등)
/proc : 실행한 프로세스 정보를 가지는 디렉터리
strace : 프로세스의 시스템 콜 명령을 추적할수 있는 명령어
DBD 공격 : 다수의 경유지를 거쳐 최종 유포지에서 악성코드를 다운로드 하도록 유도하는 공격.
공급망 공격(Supply Chain Attack) : 네트워크 공급망에 침투하여 악의적인 파일로 변조하는 공격이다.
허니팟 : 해커를 유인하기 위해 고의로 취약한 서버를 만들어 이를 모니터링하는 시스템
CVE : 취약성에 대해 명칭을 표준화한 목록
쉘쇼크 취약점 : GNU Bash 취약점을 이용한 공격, - 명령어를 삽입하여 웹쉘 파일 등을 실행
하트블리드 : OpenSSL 버전 취약점으로 64Kbyte 크기의 메모리 데이터를 아무런 제한 없이 탈취하는 취약점이다.
POODLE 취약점 : SSL 3.0으로 강제로 다운그레이드하여 MITM을 통해 송수신되는 정보를 탈취하는 취약점이다.
NTP(123/udp) : 네트워크상에 시스템들의 시간을 동기화하는 프로토콜
ㄴ monlist : 주소 정보를 전송해주는 명령어 - DDoS를 발생시킬수 있는 취약점이 존재하는 명령어
ㄴntpdate : 현재 호스트이 날짜 및 시간을 동기화 하는 명령어
리버스 쉘 : nc.exe -l -p 8080