2/28

MAC주소

ARP 캐쉬테이블

로컬공격 vs 원격 공격

NIS,NFS

심볼릭링크 vs 하드링크

제로데이 어택

망연계 솔루션 : 내외부 출입 패킷제어

ESM

-통합 솔루션 시스템

-모니터링/경보/분석/정채고간리

-다른 기종의 보안장비 통합관리

-네트워크 자원현황 모니터링

-DBMS기반

-안랩의 세피니티

-이글루시큐리티의 spiderTM

-단기 이벤트성 위주

SIEM, SEIM

-빅데이터 기반

-장시간 심층분석 인덱싱 기반

-HP사의 아크사이트

-IBM사의 큐레이더

IDS(instruction detection system)

-침입 탐지 시스템

-시스템에 대한 원치 않는 조작 탐지

-네트워크 트래픽, 컴퓨터 사용 탐지

-센서,콘솔,엔진

-패턴기반에 대응

false positive

false negative

기능적 vs 비기능적

white list VS black list

nids위치

firewall vs ids vs ips

-차이점

IPS(instruction prevention systems)

-네트워크 패킷 제어

-차단

-침입 이전의 방지

WIPS(wireless ips)

-무선네트워크 방어

-

APT탐지

-apt : 특정 대상을 공격

UTM

-다중 위협에 대해 보호기능 제공

-방화벽, 안티바이러스 s/w

-콘텐츠 필터링

-통합 패키지

OWASP 10 : 가장 많은 웹취약점 10가지

프록시(proxy) : 우회서버

DRS(disk dev recovery system)

-mirro : 다른 disk에 복사

-hot : active stanby( 서비스하면서 복구 )

-warm : 일부 기능 정지후 복구

-cold : 모든 기능 정지후 복구

BCP(Business cotinue plan)

BIA(Business impact plan)

RPO(recovery point object)

RTO(recovery time object)

VPN

ip+tcp+data : 기본 패킷

ip + ip sec + tcp +data : 가상망 패킷(전송모드), 라우터 와 라우터 사이

ip + ip sec + ip header + tcp header + data : 가상망 패킷 (터널모드), 전 구간

ssl vpn

-ssl 프로토콜과 프록시 기술접목

-ssl 핸드쉐이크

허니팟,꿀단지 : cyber trap

CHAP( challange authentication protocol )

-지속적인 보안인증

PAP( password authentication protocol )

-한번만 보안인증

CAR( committed access rate )

-트래픽양을 초과한 패킷을 제한

NBAR

-분류기능

-동적으로 어플 분류

-http 트래픽 분류

-URL, HOst, MIME Type

DOS vs DDOS vs DRDOS vs PRDOS

DNS 증폭공격

-ip spoofing 기반

DNS 대응방안

NAC(network access control)

ISMS/PIMS/PIPL

티어드랍(tear drop) : 비정삭적인 패킷을 보내 단편화를 조합할때 버그가 난다.

랜드어택(land attack) : source ip와 destination ip가 같은 순환공격

스머프어택(smurf attack) : ping(icmp)을 브로드캐스트 전송, source ip는 공격할 ip로, ip spoofing

방화벽

screened subnet : 외부 네트워크 와 내부 네트워크 사이

screened host : screen router + dual homed host

dual homed host : 이중 네트워크 호스트, 두개의 라우터 사이 위치

bastion host : 패킷필터링

screened router : 라우터 스캔

C&C (command control)

trojan horse

botnet

backdoor

worm : 자생가능

virous : 숙주 프로그램 need

라우터 프로토콜

OSPF(open shortest path first) : 최단경로 우선 프로토콜 , 링크 스테이트 라우팅 알고리즘

RIP(routing information protocol) : udp/ip 상에서 동작

BGP(border gateway protocol) : tcp/ip 상에서 동작

EGP(external gateway protocol) :

IGRP(internal gateway protocol) :

AS(autonomus system)

공격기법

switch jamming :

icmp redirect :

arp redirect :

arp spoofing :

PDU(protocol data unit) : 프로토콜 데이터 단위

-1 bit

-2 frame

-3 packet

-4 segment --or 3,4packet

-5 msg

detection

-signature

-anomaly

-network behavior

-stateful

서브넷팅

-효율적 사용

-보안성 강화

-네트워크 주소 + 호스트 주소

네트워크 주소는 패킷이 해당 네트워크로 찾아가기 위한 주소로 인터넷 내에서 네트워크를 구분해준다.

예를들어 210.168.10.9에서 220.111.0.100 으로 패킷을 보내려면  패킷의 IP 헤더에 목적지인 220.111.0.100을 

적어서 210.168.10.1의 게이트웨이로 보낸다. 그러면 게이트웨이는 IP헤더에 있는 목적지 주소에서

네트워크주소 220.111.0을 검사해 자신의 라우팅 테이블에서 최적의 경로를 산출해서 다음 라우터로 

패킷을 보낸다.

패킷의 목적지, 즉 220.111.0.1의 게이트웨이는 도착한 패킷이 자신의 네트워크 내에 있으면 이제

호스트 주소, 100을 통해 해당 컴퓨터로 패킷을 전달한다.

SIEM의 어플

SPLUNK

QRadar

Arcsight

EnCase : 포렌식 도구

ICMP메시지 유형

-source quench

-echo request

-echo reply

-destination unreachable

ipsec AH프로토콜

IKE

CIDR(classless inter domain routing) : 서브네팅의 반대 개념

오류복구 방식

-start wait

-selective

오류제어

FEC(forward error control) : 무결성 페리티, CRC코드

BEC(backward error control)

-  stop & wait : 3way개념

-  go-back-N :

-  selective

datalink 계층 : 에러제어, 흐름제어, 데이터 전송

get flooding

slow http post

slow http dos

해시충돌

HULK DOS(http unbearable load king) : 웹서버 최대 클라이언트 수를 초과하는 공격

udp/icmp flooding 공격방어 : ACL기반의 프로토콜 차단, 방화벽 임계치 설정,

syn flooding : 큐를 늘리거나 PPS임계치 단계적 조정

first SYN drop : 일부러 첫번째 syn을 드랍하여 응답이 오는지 확인