1
2
3
4
5
6
7
1. PE의 Table들의 설명, 3가지
2. 익스플로잇 코드에 대한 질문
3. IDS 룰에 대한 설명
4. 윈도우 DNS 설정
5. A : 루트킷 / B : 트로이목마 -> 메모리에 상주하며 악성 공격을 수행하는 것이라는 설명의 문제였는데 기억이 나질 않네요 ㅎㅎ
6. 와이어샤크로 DNS Standard query response에 대한 설정 명령어
7. 웹쉘
8. 록히드마틴의 상표이기도 한 이것은 7단계의 침투수행단계로 구성되며 APT 공격에서 설명되는 용어이다. 시사용어인 이것은?
사이버 킬체인
9. 예방통제, 탐지통제, 교정통제
10. 내부관리계획( 그렇죠 결국 나왔네요. 1회 출제이후 나올 것이라 예상했던 알기사의 예상은 적중이지만 달랑 3점...ㅜㅜ)
11. Smurf 공격과 이 공격을 IDS나 방화벽을 제외한 방어 방법은?
12. 정량적분석의 노출계수에 대한 계산식
13. 제 34조(개인정보 유출 통지 등)
개인정보처리자는 정보 유출 식별시 다음 각호의 사항을 정보주체에게 알려야 한다.
1. 유출된 개인정보의 항목
2. 유출된 시점과 그 경위
3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 대한 정보
4. 개인정보처리자의 대응 조치 및 피해 구제절차
5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
14. Crontab 설정값과 CP passwd, shadow, nc를 활용한 공격 등 시스템 설정값 분석
15. HTTP Request관련 로그분석( 보안 취약점 분석 3가지 이상 서술)
16. 고난이도 최신경항 문제, 최신 취약점에 대한 로그와 기타 등등
===
8회
[8회 정보보안기사 실기 가답안]
1. mysql 설정 관련
ㅇ my.cnf 설정파일에 bind-address=127.0.0.1로 설정한다. 이는 로컬(127.0.0.1)에서만 접속을 허용한다는 의미이다.
2. WEB 프로토콜 취약점 관련
ㅇ A : IV(Initialization Vector)
ㅇ B : RC4
3. TCP 3-Way Handshake 관련
(Client) ------ SYN(37892111) ------------> (Server)
(Client) <----- SYN(236548731), ACK(A) ---- (Server)
(Client) ------ SYN(B), ACK(C) ------------>(Server)
ㅇ A : 37892112
ㅇ B : 37892112
ㅇ C : 236548732
4. getresuid() / setuid(600) / getresuid() 관련
1) getresuid() 호출 시 ruid, euid(A), suid(A)
2) setuid(600) 이후 getresuid() 호출 시 ruid(B), euid(C), suid(C)
ㅇ A : 0 , B : 600, C : 600
5. DNS관련
ㅇ A : UDP, B : 캐시(Cache), C: TTL(Time To Live)
* UDP, TCP 모두 가능할 것으로 판단됩니다.
6. ISMS 인증관련 정보보호대책 13가지
ㅇ A : 정보보호조직, B : 외부자 보안, C : 접근통제
7. 프로세스 pid 관련 디렉토리
ㅇ proc 디렉토리
8. 개인정보 안전성 확보조치 기준 관련
ㅇ A : 고유식별정보, B : 1, C : 취약점
9. 정보보호목표 5가지 관련
ㅇ A : 가용성, B : 인증, C : 부인방지
10. 위험처리관련(순서는 다를 수 있습니다.))
ㅇ A : 위험수용(잠재적 손실비용을 감수하고 수행)
ㅇ B : 위험회피(위험이 존재하는 사업이나 프로세스 포기)
ㅇ C : 위험전가(제3자에게 잠재비용을 이전하거나 할당))
11. IPSec 관련
가. 전송모드의 경우 전송 계층 세그먼트와 ESP 트레일러(Trailer)를 암호화하고, 터널모드의 경우 원본 IP 패킷 전체와 ESP 트레일러(Trailer)를 암호화한다.
나. 두 구간에 사용되면 적절한 모드와 이유
1) (호스트)--(라우터)-------(라우터)--(호스트) : 터널게이트웨이 구간에 보안서비스를 제공하는 터널모드가 적절하다.
2)(호스트)----------(호스트) : 종단 노드간에 보안서비스를 제공하는 전송모드가 적절하다.
12. 파일업로드 관련
가. 확인방법 : 파일업로드가 가능한 입력 폼에 악성 스크립트 파일(웹셀) 업로드를 시도하여 업로드에 성공하면 취약한 것으로 판단한다.
나. 대응방법
1) 업로드 파일명 확장자에 대한 적절한 필터링(화이트 리스트 정책) 수행
2) 업로드 파일을 저장하기 위한 전용 디렉터리 생성 후 서버 사이드 스크립트 실행 설정을 제거
13. 포렌직 연계보관성 관련
ㅇ 증거가 최초 수집된 상태에서 지금까지 어떠한 변경도 발생하지 않았다는 것을 보증하기 위한 절차적인 방법을 연계보관성(chain of custody)이라 한다. 각 단계는 증거획득, 이송, 분석 보관, 법정제출로 이루어져 있다.
14. 하드블리드 취약점 관련
가. 취약점명 : openssl heardbleed(heartbeat) 취약점
나. 대응방법
1) openssl 버전을 취약하지 않은 최신 버전으로 업데이트
2) 서버측 비밀키/개인키가 이미 유출되었을 가능성이 있으므로 서버인증서를 재발급한다.
15. crontab 사용관련
가. 리스트 보기 : crontab -l
나. sis계정의 crontab 펹집 : (Linux)crontab -u sis -e, (Unx)crontab -e sis
다. 명령어 등록 :
- 문제가 /home디렉토리를 포함해서 모든 파일을 삭제하라면 : 0 3 * * 0 rm -rf /home 1>/dev/null 2>&1
- 문제가 /home디렉토리 하위의 모든 파일을 삭제하라면 : 0 3 * * 0 rm -rf /home/* 1>/dev/null 2>&1
16. ISMS 정보보호정책 공표 및 승인 관련
ㅇ 정보보호정책의 승인은 이해관련자의 검토와 최고경영자의 승인을 받아야하며, 정책의 공표는 정보보호정책 문서를 모든 임직원 및 관련자에게 이해하기 쉬운 형태로 전달하여야 한다.
===
9회
1. DNS 관련 문제
답) hosts 파일
1. 맥, 리눅스, 유닉스,윈도우등 운영체제 별로 디렉터리 경로는 다르지만 DNS의 정보를 담고 있는 파일이며, 윈도우7이상 버전에서는 관리자 외에 수정이 불가능 한 파일의 이름은 무엇인가? - hosts
2. 스머프 공격 관련 문제
답) A : Echo Request, B : Echo Reply, C : Directed Broadcast
2. smurf 문제, 공격자가 희생자의 IP 로 위조하여 ICMP (A)Echo request 를 Broadcast 한다.
희생자들은 (B)Echo reply 한다. (C) Broadcast 방법
3. (A)스택 영역에 할당된 버퍼의 크기를 초과하는 데이터나 실행가능 코드를 넣어 특정 변수나 복귀주소를 변경하여 임의의 코드를 실행하는 것이다. (B)힙 영역에서 버퍼를 초과
3. 버퍼 오버플로우 관련 문제
답) A : 스택(Stack), B : 힙(Heap)
4. trustwave 사의 아파치웹서버 iis에서 사용가능 한 공개용 웹서버 방화벽은 무엇인가? - modsecurity
4. 웹방화벽 관련 문제
답) ModSecurity
5. (IP패킷 단편화 관련 tcpdump 문제)단편화된 tcpdump의 패킷이다 각 숫자가 의미하는것은?
(A)fragment id (B)size (C)offset
frag95 : 1480 @ 2920+
답) frag 95:1480@2920+
A : 95 : Fragment ID(Identification)가 95
B : 1480 : Fragment Size가 1480 바이트
C : 2920 : Fragment Offset이 2920
6. (정보통신망법 주민등록번호의 사용 제한 관련 문제)제23조의2(주민등록번호의 사용 제한) ① 정보통신서비스 제공자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 이용자의 주민등록번호를 수집·이용할 수 없다.
1. 제23조의3에 따라 _____a____으로 지정받은 경우
2. 법령에서 이용자의 주민등록번호 수집·이용을 허용하는 경우
3. 영업상 목적을 위하여 이용자의 주민등록번호 수집·이용이 불가피한 정보통신서비스 제공자로서 방송통신위원회가 고시하는 경우
② 제1항제2호 또는 제3호에 따라 주민등록번호를 수집·이용할 수 있는 경우에도 이용자의 주민등록번호를 사용하지 아니하고 본인을 확인하는 방법(이하 "___b__"이라 한다)을 제공하여야 한다.
a. 본인확인기관
b. 대체수단
7. ( SSL/TLS의 Record 프로토콜 관련 문제 )SSL/TLS 레코드 프로토콜이 메시지 암호화 하여 통신을 수행하는 부분이다.
레코드 프로토콜은 상위계층 메시지를 A,B,C,D 와 같은 처리과정을 거쳐 헤더를 붙인 후 하위계층으로 전달한다.
A : 단편화(Fragmentation), B : 압축(Compression), C : MAC(Message Authentication Code) 추가 D : 암호화(Encryption)
8. 시스템에 관한 전문적인 지식을 가진 전문가의 집단을 구성하고, 정보시스템이 직면한 다양한 위협과 취약성을 토론을 통해 분석하는 방법 - 델파이법
9. 정보보호시스템 공통평가기준에 있는 내용이다.
답) A : 보호프로파일(PP), B : 보안목표명세서(ST), C : 평가보증등급(EAL)
A 요구에 부합하는 구현에 독립적인 보안요구사항의 집합을 말한다.
B ~~
C ~~패키지
“보호프로파일”이라 함은 평가대상 범주를 위한 특정 소비자의 요구에 부합하는 구현에 독립적인 보안요구사항의 집합을 말한다.
“보안목표명세서”라 함은 식별된 평가대상의 평가를 위한 근거로 사용되는 보안요구사항과 구현 명세의 집합을 말한다.
“평가보증등급”이라 함은 공통평가기준에서 미리 정의된 보증수준을 가지는 보증 컴포넌트로 이루어진 패키지를 말한다.
10. (위험 구성요소 관련 문제)위험은 비정상적인 일이 발생할 수 있는 가능성을 말하며, 위험분석은 위험을 분석하고 해석하는 과정이다. 위험을 구성하는 4가지 기본요소를 쓰시오. - 자산, 취약성, 위협, 정보보호대책
10.
답) 자산, 위협, 취약성, 정보보호대책
11. 전자서명법에 따라 공인인증기관이 발급한 공인인증서의 효력이 소멸하는 4가지 사유를 쓰시오.
1. 공인인증서의 유효기간이 경과한 경우
2. 제12조제1항의 규정에 의하여 공인인증기관의 지정이 취소된 경우
3. 제17조의 규정에 의하여 공인인증서의 효력이 정지된 경우
4. 제18조의 규정에 의하여 공인인증서가 폐지된 경우
12. xinetd.conf 설정값이다. 각 설정값들의 의미를 쓰시오.
(가) cps = 10 5
(나) instances = 50
(다) per_source = 10
(가) 들어오는 접속수를 제한할때 첫번째숫자가 한계가 되었을때
두 번째 인수로 제공되는 주어진 시간(초) 동안 서비스가 비활성화된다.
(나) 동시에 서비스를 실행할 수 있는 서버의 최대 개수
(다) 동시에 접속 가능한 수
A : cps=10 5 : 초당 연결 갯수를 10개로 제한하고 10개 초과시 5초간 서비스를 제한한다.
B : instances=50 : 동시에 실행할 수 있는 서비스의 수를 최대 50개로 제한한다.
C : per_source=10 : 동일한 호스트(source)에서 해당 서비스로 동시 접속할 수 있는 수를 최대 10개로 제한한다.
13. 유닉스 Kernel 보안 세팅. ndd 명령어에 대한 질문.
ndd -set /dev/ip ip_forward_directed_broadcasts 0
-- 공격명: Smurf Attack
-- 설명: IP Forwarding 을 하지 않는다.? broadcasts 허용하지 않는다?
ndd -set /dev/tcp tcp_conn_req_max_q0 512
-- 공격명: TCP SYN Flooding
-- 설명: TCP 연결을 제한한다.
1) ndd -set /dev/ip ip_forward_directed_broadcasts 0
: directed broadcast ip 패킷이 포워드되는 것을 차단하는 명령으로 Smurf 공격에 대응한다.
2) ndd -set /dev/tcp tcp_conn_req_max_q0 512
: TCP 연결요청대기큐(Backlog Queue)의 크기를 512로 설정하는 명령으로 TCP Syn Flooding 공격에 대응한다.
14. FTP Active Mode 동작 그림.
1. 다음 FTP동작 모드는 무엇인가. - Active Mode
2. 서버의 20, 21포트의 역할은 무엇인가?. - 21번 포트로 초기 접속 후 클라이언트가 사용할 포트를 서버측에 알려준다. 서버측 20번 포트가 클라이언트의 포트에 접속한다.
3. 클라이언트에서 서버의 파일이 보이지 않는 이유는 무엇인가? 서버측 20번 포트와의 통신이 차단되어서 파일리스트를 볼 수 없다.
4. 3번과 같은 경우 클라이언트 단에서 해주어야 할 조치는 무엇인가?
FTP서버(20/tcp)가 FTP클라이언트(1024/tcp)로 데이터채널을 생성하기 위한 연결을 허용하거나(방화벽 허용 등) 수동모드(Passive Mode)로 FTP 연결을 생성한다.
1) Active Mode
2) 21/tcp 포트는 제어(Control)용 포트이고 20/tcp 포트는 데이터(Data)를 송수신 하기 위한 포트이다.
3) 능동모드(Active Mode)로 접속한 FTP 클라이언트가 파일 리스트를 받기 위해서는 FTP서버(20/tcp)의 FTP클라이언트
(1024/tcp 이상) 접속이 가능해야한다. 따라서 FTP 클라이언트로 FTP서버의 접근이 허용되지 않은 것으로 판단된다.
4) FTP서버(20/tcp)가 FTP클라이언트(1024/tcp)로 데이터채널을 생성하기 위한 연결을 허용하거나(방화벽 허용 등) 수동모드
(Passive Mode)로 FTP 연결을 생성한다.
15. 헬스클럽 가입신청서와 수집양식을 보고 법률 위반사항 두가지를 쓰고 개선방안을 작성하시오.
가입신청서
<필수 항목 수집.이용 동의>
수집목적 : 회원관리..?
수집항목 : 이름, 성별, 생년월일, 전화번호
보유기간 : 회원 탈퇴시 까지 (단, 법령에 따라 보관하여야 하는 경우에는 법령에 정한 기간까지 보관, 자세한 사항은 홈페이지 참고)
거부할수있고, 거부시 불이익.
동의합니다 ■ 동의하지 않습니다 □
<선택 항목 수집.이용 동의>
수집목적 : 최신 정보 제공(이메일), 맞춤형 헬스 케어(?)
수집항목 : 이메일, 질병, 키, 몸무게
보유기간 : 탈퇴시까지 (위에 필수 수집에 써있는거랑 비슷함)
거부할수있고 거부시 불이익
동의합니다 ■ 동의하지않습니다 □
1. 민감정보, 질병 여부 수집 개인의 민감정보는 원칙적으로 수집을 금지하고 있으며 이를 처리하기 위해서는 다른 개인정보의 처리와 분리하여 정보주체의 별도 동의를 구한다.
2. 법정 대리인의 동의 없이 만 14세 미만 아동의 개인정보 수집
만 14세 미만 아동의 개인정보 수집시에는 법정대리인의 동의를 구한다.
1) 위반사항 : 개인의 질병(건강)과 같은 민감정보의 수집
개선방안 : 개인의 민감정보는 원칙적으로 수집을 금지하고 있으며 이를 처리하기 위해서는 다른 개인정보의 처리와 분리하여
정보주체의 별도 동의를 구한다.
2) 위반사항 : 법정 대리인의 동의 없이 만 14세 미만 아동의 개인정보 수집
개선방안 : 만 14세 미만 아동의 개인정보 수집시에는 법정대리인의 동의를 구한다.
16. Syn flooding 문제
다수 소스아이피에서 단일 목적지IP : 80포트로 syn 전송(와이어샤크? 패킷 캡쳐 포함)
1번 해당 공격 이름은 무엇인가? - TCP SYN Flooding
2번 서버에서 발생할수 있는 상황은? 서버의 백로그 큐가 가득 차서 서비스 지연이나 거부 발생
3번 아이피테이블 설정 1초에 10회 발생시 차단
빈칸에 iptables 방화벽의 옵션을 채우세요.
iptables -A Input -p tcp
(가) -m limit (나) (다) Drop
(가) --dport 80 (나) --limit 10/s (다) -j
1) TCP Syn Flooding 공격
2) 서버의 연결자원(연결요청대기큐(Backlog Queue))이 모두 소진되어 외부로부터의 추가 연결 요청을 받을 수 없는 상태,
즉 서비스 거부 상태가 된다.
3) iptables -A INPUT -p tcp ( A ) --syn -m limit ( B ) ( C ) DROP
A : --dport 80
B : --limit 10/second(또는 10/s)
C: -j
===
10회
1. TCP 포트가 닫혀 있을 때 응답이 오는 스텔스 스캔 3가지
NULL Scan, FIN Scan, Xmas Scan
2. FTP 동작 방식에 대한 지문에 대한 빈칸 채우기
FTP는 ( A ) 모드와 수동(passive)모드가 있다.
( A )는 통신 제어를 위한 ( B ) 포트와 데이터 전송을 위한 ( C ) 포트를 사용한다.
수동모드에서는 데이터 전송을 위해 서버에서 ( D ) 포트 이상을 사용한다.
A: Active
B: 21
C: 20
D: 1024
3. 오픈 소스 도구인 PacketFense와 같이 네트워크 통제(이외에도 기다란 설명이 있음) 등을 수행하는 보안솔루션은?
NAC
4. VLAN의 목적에 대한 질문.
VLAN은 네트워크 자원 사용을 제한함으로써 ( A ) 를 높이고, 이용하는 도메인의 ( B )를 제한하여 네트워크 서비스의 ( C )를 향상시킨다.
A: 보안
B: 크기
C: 성능
5. 위험처리방법에는 위험감소, 위험수용, 위험회피, 위험( A )가 있다. ( A )는 보험이나 외주가 있다. A는무엇인가?
A: 전가
6. 제3장 주요정보통신기반시설의 지정 및 취약점 분석
제8조(주요정보통신기반시설의 지정 등) ①중앙행정기관의 장은 소관분야의 정보통신기반시설중 다음 각호의 사항을 고려하여 전자적 침해행위로부터의 보호가 필요하다고 인정되는 정보통신기반시설을 주요정보통신기반시설로 지정할 수 있다.
1. 당해 정보통신기반시설을 관리하는 기관이 수행하는 업무의 국가사회적 중요성
2. 기관이 수행하는 업무의 정보통신기반시설에 대한 (A)
3. 다른 정보통신기반시설과의 (B)
4. 침해사고가 발생할 경우 국가안전보장과 경제사회에 미치는 피해규모 및 범위
5. 침해사고의 발생가능성 또는 그 복구의 ( C)
A: 의존도
B: 상호연계성
C: 용이성
7. 각 항목에 알맞는 재난복구서비스를 찾으시오
(A) : 백업장치나 테이프와 같은 것만 구비한다. 중요성이 높은 정보 기술 자원만 부분적으로 사이트에 보유한다.
(B) : 주 센터와 동일한 수준의 정보 기술 자원을 사이트에 보유하면서, 데이터를 최신으로 유지한다.
(C) : 컴퓨터실과 같은 장소만 확보하고 정보자원은 확보하지 않은 상태에서, 재해시 정보자원을 가지고 온다.
A: 웜 사이트
B: 핫 사이트
C: 콜드 사이트
8. 개인정보 안전성 확보조치 기준 관련 문제
A: 개인정보처리시스템
B: 비밀번호
C: 내부망
9. 정보통신망 이용촉진 및 보호에 관 법률 제25조(개인정보의 위탁처리)에 대한 내용으로
1. 개인정보 처리위탁을 받는 자
2. 개인정보 처리위탁을 하는 ( A )
A: 업무의 내용
10. 빈칸에 알맞는 단어는?
A: 취약성
B: 감소
C: 보유
11. 서술형. 버퍼 오버 플로에 관한문제
(1) 스택 버퍼 오버 플로 시 카나리아 단어(canaria word) 기법에 동작방식을 설명하고
(2) 원리를 설명하시오
(3) ASLR(Address Space Layout Randomization) 기법에 동작방식을 설명하고
(4) 원리를 설명하시오
1) 카나리 단어 기법 동작방식 : 스택가드(Stack Guard) 라고도 함, 메모리 상에서 프로그램의 복귀 주소(Return Address)와 변수/버퍼 사이에 특정 값(Canary)을 저장해두는 기법을 말한다.
2) 카나리 단어 기법 공격 차단 원리 : 버퍼오버플로우 발생 시 특정 값(Canary)의 변조가 발생하므로 이를 탐지하여 차단한다.
3) ASLR 기법 동작방식 : 메모리 공격을 방어하기 위해 주소 공간 배치를 난수화하는 기법을 말한다.
4) ASLR 기법 공격 차단 원리 : 실행 시 마다 메모리 주소를 변경시켜 버퍼 오법플로우를 통한 특정 주소 호출을 방지한다.
12. 서술형 12번.기업담당자는 정보보호에 관한법률에 의거하여 연1회 이용자들에게 메일을 통보해야한다. 메일에 들어가야할 정보를 나열하시오.
1) 개인정보의 수집.이용 및 수집한 개인정보의 항목
2) 개인정보를 제공받는 자와 그 제공 목적 및 제공한 개인정보의 항목
3) 개인정보 처리위탁을 받은 자 및 그 처리위탁을 하는 업무의 내용
13. 서술형13번 iptables에서 -j옵션중에 drop과 reject가있다
각각을설명하고 보안관점에서 어떤걸 써야하는지 고르고 그 이유를 설명하시오.
(1) drop
(2) reject
(3) 둘중에 어떤걸 쓰는게 보안관점에서 좋은지 설명
drop은 무응답, reject는 상대에게 RST패킷을 보낸다. reject 했을 경우 OS에서 그 포트가 닫혀있음을 ICMP 메세지로 응답해준다.
(시스템 리소스를 더 잡아먹기도 함)
보안 관점에서는 ICMP 응답 메세지에 많은 정보가 포함되어 있기 때문에 drop을 쓰는 것이 좋다.
실무형
14. TCP FLAG는 URG, ACK, PSH, RST, SYN, FIN를 순서대로 설정합니다. 아래에서 TCP 연결설정 및 연결해제 과정에서TCP FLAG 비트와 순서번호가 순서에 맞도록 빈칸을 채우시오.(아래의 SEQ num은 임의로 기재함, 파란 글씨는 정답)
(1) TCP 연결설정 과정
[Client->Server] , TCP Flag[000010] , SEQ(123) , ACK(0)
[Server->Client] , TCP Flag[010010] , SEQ(789) , ACK(124)
[Client->Server] , TCP Flag[010000] , SEQ(124) , ACK(790)
(2) TCP 연결종료 과정
[Client->Server] , TCP Flag[010001] , SEQ(1234) , ACK(6789)
[Server->Client] , TCP Flag[010000] , SEQ(6789) , ACK(1235)
[Server->Client] , TCP Flag[010001] , SEQ(6789) , ACK(1235)
[Client->Server] , TCP Flag[010000] , SEQ(1235) , ACK(6790)
1) Syn(000010)
2) 344
3) syn+ack(010010)
4) 677
5) ack(010000)
6) fin+ack(010001)
참고 : 4Way handshake 종료플래그 : FIN+ACK / ACK / FIN+ACK / ACK
15. 하나의 발신지에서 브로드캐스트로 ICMP echo Request 요청을 보내는 패킷 캡쳐 화면
해당 공격명, 원리, 대응방법에 대한 설명을 쓰시오.
A. Smurf 공격
B. 한 클라이언트에서 서버로 ICMP_echo_request를 보내면 서버에서 클라이언트로 ICMP_echo_reply를 보내는데 ICMP_echo_request 패킷이 네트워크의 Broadcast로 보내지는 경우 네트워크상의 모든 호스트가 echo_reply를 보내게 되어 네트워크 트래픽을 증가시켜 정상적인 서비스가 이루어지지 않도록 하는 공격 기법이다.
C. 공격받는 쪽에서는 echo reply message의 rate-limit을 설정하여 한꺼번에 reply message가 들어오는 것을 막음.
증폭 네트워크가 되는 것을 막기 위해서는 IP Broadcast 패킷에 응답하지 않도록 설정. ( no ip redirects 명령어 등으로 라우터에서 direct broadcast 를 차단 )
16.
CENT OS 6.5에서 무차별 모드(PROMISCUOS MODE)로 동작하고 있는 인터페이스 정보를 보여주고
1. 예상되는 공격명 및 이유를 쓰시오.
2. 위 문제를 해결하기 위한 명령어 완성하시오
ifconfig eth0 ( )
3. (1)상태의 발생 시점을 찾기 위한 로그의 정확한 경로(파일명 포함)을 쓰시오
1) 스니핑 공격
2) -promisc
3) /var/log/messages
=====
10
산업기사
1.ftp
1) ftp 서비스를 이용하지 않으려고한다. 서비스를 중지하고 재부팅시에도 서비스가 실행되지 않게 하는방법
kill -9 PID 명령어로 ftp 프로세스 중지 , inetd 설정 파일에서 ftp 관련줄 주석처리 또는 chkconfig 명령어 이용하여 off
2) telnetd 서비스를 사용하려고 한다 inted.conf 파일에 어떤 내용을 추가해야하는가.
telnet 부분 주석해제한다 없으면 아래부분 추가 후 저장
telnet stream tcp6 nowait root /usr/sbin/telnetd telnetd -a
2.vlan
1) vlan의 개념
2) vlan의 종류와 그 설명
3. CSRF / XSS 차이점
- 제 마지막 포스팅이 CSRF / XSS 차이점이였습니다. [관련글]
작업형
1. suid 설정관련
1) suid 설정 명령어 : chmod 4755 ./backdoor
2) suid 설정했을때 어떻게 변경되는지 : -rwsr-xr-x
3) suid 설정한파일을 실행했을때 : suid가 설정된 파일을 실행하면 실행중에는 소유자(root)의 권한을 가짐
2. TCP Wrapper 관련
hosts.deny는 전부 ALL : ALL 상태
hosts.allow 에 설정된값이다 설명 또는 설명의 설정값을 작성
1) ALL : 10.10.10.10 - 10.10.10.10 IP만 모든 서비스 허용
2) in.telnetd : 10.10.10.11 - 10.10.10.11 IP는 telnet 서비스만 허용
in.ftpd : 10.10.10.12 - 10.10.10.12 IP는 ftpd 서비스만 허용
3) 192.168.1. 으로 시작하는 모든 호스트 telnet 서비스 허용
in.telnetd : 192.168.1 또는 in.telnetd : 192.168.1.0/24
4) www.abc.com 호스트를 제외한 .com 모든 호스트는 ftpd 서비스 허용
in.ftpd : .com EXCEPT www.abc.com
5) ALL EXCEPT in.telnetd : ALL - telnetd 서비스를 제외한 모든 서비스 허용
3. find 관련
기사
서술형
1. 버퍼 오버플로우 관련문제
1) 스택 버퍼 오버 플로우시 카나리아 단어 기법에 동작방식 설명.
2) 원리 설명
3) ASLR 기법에 동작방식 설명
4) 원리 설명
2. 기업담당자는 정보보호의 관한법률에 의거하여 연1회 이용자들에게 메일을 통보해야한다. 메일에 포함되어야 하는 정보를 쓰시오.
3. iptables 옵션중 drop과 reject 각각설명하고 보안관점에서 어떤걸 써야하나.
1) drop : Packet을 받고 폐기
2) reject : Packet을 받고 되돌려줌
3) drop 사용
작업형
1. TCP FLAG는 URG/ACK/PSH/RST/SYN/FIN 순서대로 설정한다. TCP 연결설정/해제 과정에서 TCP FLAG 비트와 순서번호가 순서에 맞도록 작성
1) TCP 연결설정
A->B : ( ) : SEQ ( ) : ACK (0)
B->A : ( ) : SEQ ( ) : ACK (123)
A->B : ( ) : SEQ (123) : ACK (456)
2) TCP 연결 해제 설정
A->B: 010001 : SEQ(......) : ACK(----)
B->A: ( ) : SEQ(......) : ACK(----)
B->A: ( ) : SEQ(......) : ACK(----)
A->B: 010000 : SEQ(......) : ACK(----)
문제풀이 방법)
URG / ACK / PSH / RST / SYN / FIN
0 / 0 / 0 / 0 / 0 / 0
예) SYN+ACK 응답시(010010)
2. 하나의 발신지에서 브로드캐스트로 ICMP Echo Request 요청을 보내는 패킷캡쳐화면을 보여주고, 공격명 원리 대응방법
1) 스머프
2) 공격자가 공격대상 브로드캐스트 주소로 ICMP Echo Request 를 보내 네트워크상 모든 호스트가 공격대상에게 echo reply를 전송해 서비스 가용성에 문제가생김
3) 네트워크의 모든 host는 브로드캐스트 패킷에 대한 echo reply 응답을 하지 않게 설정하고, 라우터에서는 no ip directed-broadcast 설정
3. CentOS에서 promisc mode로 동작하고 있는 인터페이스 정보를 보여줌.
1) 예상되는 공격명 : 스니핑
2) 문제를 해결하기 위한 명령어를 완성하라 : ifconfig eth0 -promisc
3) 1)상태의 발생시점을 찾기위한 로그의 정확한 경로(파일명 포함)작성 : /var/log/messages , /var/log/secure , /var/log/account/pacct
