반응형

 

출처 : http://parkya.tistory.com/469

 

nslookup 으로 정보수집 및 IP추적





통 해커들은 웹해킹을 수행하기 전에 정보를 수집 합니다.

그래서 기본적인 방화벽과 서버 보안설정은 필수인데 이것을 안하는 몇몇 기관들이 있어서 이번 시간에는 보안설정을 하는 방법에 대해서 알아 보도록 하겠습니다.




cmd 창에서 nslookup 명령어 입력 후 

server ns.도메인.ac.kr 을 입력해서 IP를 알아 낼 수 있습니다.




문제는 모대학의 경우 관리자가 보안설정을 허술하게 하여 문제가 될 수 있습니다.

물론 이런 정보만으로 해킹을 하는 것은 아니지만 적어도 그런 실마리를 조금이라도 주는 것은 보안적으로 좋지

않다는 것을 말씀 드리는 것입니다.



ls -t 도메인.ac.kr  을 입력하자 이렇게 서버들의 아이피 정보가 쫘~악 뿌려줍니다.

언뜻 보기엔 이걸로 뭘 하나 싶지만.. card 라던지 자세히 살펴보면 무슨업무를 수행하는 서버의 아이피 인지

유추해 낼 수 있다는 점은 자칫 해킹사고로 이어질 수도 있습니다.






특히 haksa (학사) 라고 표기되는 이 서버는 언뜻 생각해 봐도 아마 학사관리 서버.. 즉 성적관리를 담당하는

서버의 ip정보를 손에 넣을 수 있었습니다.


해킹은 크게 3가지 단계로 진행 됩니다.

(1) 정보수집 -> (2) 공격 -> (3) 사후처리: 로그삭제,백도어 설치 


여기서 첫번째 단계인 정보수집에 해당하는 것이 바로 이런 공격 대상의 서버의 아이피 정보를 수집하는

것도 포함 되는 것입니다.


이것을 막기 위해서는 보안관리자가 해당 서버의 도메인 속성에서 영역전송이 초기에는 '아무서버로 전송'

으로 되어 있는데 이것을 영역전송(이름서버 탭에 나열된 서버로만) 으로 변경 하거나 보조 DNS가 있을 경우

그쪽으로 체크를 해주어야 합니다.


이렇게 클릭한번만 해줘도 되는것은 몰라서, 또는 귀찮아서 안하게 되면 이렇게 해커의 표적이 되기 십상입니다.


윈도우7 에서 안되는 경우에는 

set type=all 이라고 옵션을 먹이고 하면 보이는 경우가 있었습니다.







* NMS (Network Management System)  에 대해서 알아 보겠습니다.

NMS는 네트워크 관리시스템을 말하며, 망을 관리하는 시스템 입니다. 대표적인 프로그램으로 솔라윈드(Solawind)가 있습니다. 


NMS는 트레이드 오프가 적용 됩니다.

즉, 편리성이 높아지고 보안성은 낮아지는 것 이런것이 대표적인 트레이드 오프 입니다.


NMS를 하기 위해서는 먼저 SNMP Protocol을 설치 해야 합니다.






- Windows 구성 요소 마법사 에서 '관리 및 모니터링 도구'를 클릭 합니다.





- SNMP(단순 네트워크 관리 프로토콜)을 체크해 주고 확인을 눌러 줍니다.





저기 윈도우 아이콘의 플러스를 눌러주면 해당 아이피의 컴퓨터의 정보를 상세히 볼 수 있습니다.

계정정보 부터 하드웨어에 대한 정보등 해당 PC의 거의 모든 정보를 수집할 수 있습니다.



* VM웨어로 실험을 할때에는 한쪽 컴퓨터에는 솔라윈드가 설치 되어 있어야 하며 다른쪽 컴퓨터는 SNMP Protocol 일 위에 설정처럼 잡아줘야 합니다.


다음으로 통신을 진행하기 위한 보안조건 2가지를 알아보도록 하겠습니다.


(1) CS(Community String)값이 일치 해야 합니다. 

기본값은 보통 public (퍼블릭) 으로 설치 되어 있습니다. 문제는 아마 전세계의 60%가 이렇게 설정 되어 있을

거라는 점입니다. 그러나 보안상 퍼블릭을 사용하면 안됩니다. 다른 CS( Community String ) 값을 사용 해야 합니다. 


(2) NMS System의 IP 주소를 지정해서 사용해야 합니다.



★ 트레이드 오프관계: 편의성이 높아지면, 보안성이 낮아 집니다.


★ UDP : 161번으로 통신을 합니다.






- 서비스에서 SNMP Service 를 클릭합니다.






- 여기 보시면 public가 기본적으로 설정 되어 있는 것을 알 수 있습니다. 이것을 

바꾸어서 설정 해 주셔야 합니다.


- 다음 호스트로부터 SNMP 패킷 받아 들이기 를 클릭 합니다.




원하는 값을 입력 합니다. 물론 여기에 설정하는 CS값(커뮤니티 스트링) 값은 NMS가 설치

되어 있는 관리자의 컴퓨터의 CS값과 일치해야 합니다.

그래서 일종의 암호의 개념으로 볼 수가 있습니다.


그후 솔라윈드로 확인해 보면 설정된 값의 시스템 정보만 확인 할 수 있습니다.








[ ICMP의 2가지 기능 ]


(1) 오류보고 (2) 질의 



[ NETSTAT 정보 ] 


netstat -na

netstat -ra  의 차이를 구별해서 알아야 합니다.


netstat는 네트워크 포트(TCP,UDP) 상태를 확인함으로서 바이러스나 해킹여부를 진단 할 수가 있죠


netstat  의 간단한 옵션을 알아보도록 하겠습니다.


-a :컴퓨터에서 수신되어 활성화 되어 있는 모든 TCP 및 UDP 포트를 표시 해줍니다

-n : 현재 다른 PC와 연결되어 있는 포트번호를 확인 할 수 있습니다 ( IP주소로 화면을 출력 )


- r : 라우팅 테이블 확인 및 연결(Connection) 되어 있는 포트번호를 확인 합니다.

- e : 랜카드에서 송수신한 패킷의 용향 및 종류를 확인합니다. -s 와 같이 사용 합니다.

- s : IP , ICMP, TCP, UDP 프로토콜의 상태를 확인 합니다.





[ 로드밸런서 (Load Balancer) ] 


: 네트워크 트래픽 Packet 들로부터 Application Port 번호를 해석하여 , Application 트래픽 부하 분산 및 우선 

순위를 관리자가 결정하고, 통제 처리할 수 있도록 해서 전체 시스템의 성능과 속도를 향상 시키는 네트워크 

장비 입니다.


[ 로드밸런싱 ]


: 클러스트의 한종류 이며, 1대의 서버 시스템에 대규모로 들어오는 요청을 여러대의 서버로 분산 처리하여

서버부하 및 트래픽 증가등의 단일서버로 인하여 발생 될 수 있는 문제점을 해결하기 위한 '부하분산서비스' 

입니다.


반응형

+ Recent posts