Download: https://github.com/Security-Onion-Solutions/security-onion/blob/master/Verify_ISO.md Install Guide (vmware): https://github.com/Security-Onion-Solutions/security-onion/wiki/VMWare-Walkthrough SGUIL을 통해서 Snort 룰에 탐지된 이벤트 내역을 볼 수 있음 (syn flood) icmp flood를 쏴보니까 탐지가 안돼서 테스트도 해볼겸 간단히 룰을 추가해보기로 결정 icmp 패킷 내용. 룰 파일 경로: /etc/nsm/rules/local.rules alert ip $EXTERNAL_NET any -> $HOME_NET any (m..

- 헤더alert tcp $EXTERNAL_NET any -> $HOME_NET 21 헤더값내용alertalert, log, pass, dynamic, activate출력 포맷을 의미한다. 이 출력 포맷은 연결리스트 트리 헤더의 맨 상위 부분과 비교된다.tcpTCP, UDP, IP,ICMP사용되는 프로토콜을 의미하며 연결리스트의 상위 부분과 비교된다.$EXTERNAL_NET·출발지 IP 주소를 가리킨다. (기본 설정은 any)anyany, 포트 번호출발지 포트를 의미한다.->·패킷의 방향을 가리킨다.$HOME_NET·Snort 규칙에서는 $Variables를 이용한다. 변수는 snort.conf파일의 맨 앞부분에서 정의되며 나머지 부분에서 그 변수를 사용한다. Snort가 실행될 때 Snort 규칙 파서..

http://suninatas.com 11: 디버거 String 찾기 활용16: wireshark로 패킷 까봄, hid/hpw 확인20: pwnable.kr - simple login 문제 참고24/25: apk 파일의 class.dex -> jadx로 확인27: 메시지가 곧 명령어코드

스푸핑(Spoofing)의 사전적 의미는 '속이다'이다. 네트워크에서 스푸핑 대상은 MAC 주소, IP주소, 포트 등 네트워크 통신과 관련된 모든 것이 될 수 있고, 스푸핑은 속임을 이용한 공격을 총칭한다. ARP 및 RARP 프로토콜 특징- L3에서 논리적인 주소(IP)와 물리적인 주소(MAC) 사이의 변환을 담당하는 프로토콜 ARP: IP -> MAC / RARP: MAC -> IP- 시스템은 ARP Cache Table을 가지고 있고 Cache에 IP에 대한 MAC 주소 저장 arp -a(캐시 확인), arp -s (static 설정), arp -d (캐시 삭제) ARP Spoofing (ARP Cache Poisoning)동일한 네트워크 안에서 공격자 C가 희생자 A, B의 MAC 주소를 공격자 ..