222

네임서버가 관리하는 Zone은 (Binddns경우에) 설정 -> named.conf에 존을 설정 Zone 파일에는 관리 도메인에 대한 설정 정보를 담고 있음 (Resource Record 정보 =도메인에서 관리하는 서브도메인 = Host 정보)를 관리하고 있음 NS 네임서버 MX 메일 서버 A Address Transaction ID, 내가 질의 한 응답이 맞는지? 확인하기 위해 사용 QR = 0이면 질의 1이면 응답 Opcode AA = Authoritative Answer 이면 1로 설정 Truncated : DNS 질의가 필요할 때는 TCP도 이용함 응답데이터가 512바이트를 초과했을때 Zone Transfer를 이용할때 이 플래그를 설정해서 응답 그래서 응답받고 TCP로 다시 질의함 RD(Recu..

DNS를 분산 데이터 베이스 시스템이라 하는 것은 도메인 각 계층별로 네임서버를 두고 분산해서 도메인 정보를 관리하기때문이다. w forward dns lookup revers dns lookup DNS 서버 질의 순서 1.로컬 DNS 캐시 검색 :사용자가 DNS 서버에 질의하고 응답온 정보를 저장하는것 2.Host 파일 검색 (IP와 도메인에 대한 매핑 정보, 파밍 공격에 많이 활용) host.ics -> 윈도우즈에서 제공하는 기능 ,인터넷 커넥션 셰어링 , windows OS를 가지고 인터넷 공유기처럼 사용, 얘또한 IP와 도메인에 대한 매핑정보를 가질 수 있음, 근데 우선순위가 host 파일보다 높음 만약 얘가 있다면 hosts.ics-> host 파일 순으로 검색함 3.System에 설정된 DNS..

1.AH MAC(메시지 인증 코드)를 이용하여 인증(무결성)과 송신처 인증을 제공해주는 프로토콜 기밀성(암호화)는 제공하지 않는다. 송신측에서 MAC 알고리즘과 인증키를 통해 인증데이터(MAC값)을 계산가여 전송하고 수신측에서 이를 검증 인증 데이터 계산에는 IP헤더의 변경 가능한 필드(Mutable Field)를 제외한 IP패킷 전체를 대상으로 한다. IP헤더의 변경 가능한 필드(Mutable Field)- TTL(Time to Live = hop count) , Header Checksum(무결성 검증을 위한 값), NAT 환경에서의 Source IP ------------------------------------------------------------------------------------..

netstat 명령은 옵션 부분을 기억해야함!!!![여기서는 Linux를 기본으로...] 시스템의 네트워크 관련 다양한 상태정보를 관리할 수 있는 명령어 옵션 없음: 모든 연결된(ESTABLISHED) 소켓 상태 정보 -a: 모든 소켓 상태정보( 연결안된것도... ) -i: 네트워크 인터페이스 정보 -r: 시스템 라우팅 테이블 정보 -s: 각 프로토콜별(TCP,UDP,ICMP, IP 등) 통계정보(시스템이 부팅된 이후부터 현재까지 누적된 프로토콜 통계정보) -t: TCP 소켓을 출력하라는 옵션 -p: 해당 소켓을 열고 있는 process,어떤 프로세스가 이 소켓을 사용하는거야..? p 옵션을 쓰면 processid 와 process 명을 출력한다. 해당 TCP 소켓을 열고 있는 pid/프로세스명 을 알려..

디스크 브라우징 증거 분석의 일차 목표는 자료를 검색하여 사건의 단서를 찾는 것입니다. 저장 매체 또는 하드 디스크 이미지의 내부 구조와 파일 시스템을 확인하고, 내부에 존재하는 파일들에 대응되는 응용 프로그램의 구동 없이 쉽고 빠르게 분석할수 있는 기법 데이터 뷰잉 디지털 증거를 효율적으로 분석하기 위해서는 데이터를 가시적으로 확인 할 수 있어야 합니다. 이와 같이 포맷이 있는 디지털 데이터의 구조를 파악해서 가시적으로 출력하는 것을 데이터 뷰잉이라고 합니다. 타임라인 분석 디지털 데이터에서 시간은 범죄 사실을 규명하기 위해 매우 중요한 정보입니다. 파일 시스템 상에 저장되는 파일을 시간 정보, 파일 내부의 메타데이터에 저장되는 시간 정보 등 다양한 곳에 저장되어 있는 시간 정보를 이용해 타임라인을 구..

두 명령어의 동작 원리는 동일하다. 종단노드 사이의 중계 구간(라우터/l3장비)의 네트워크 상태를 확인하고 관리 하기 위한 명령어이다. TTL(IP헤더에 있는)이라는 값을 조작해서 그 구간의 상태 정보를 확인하기 위한 명령어이다. 동작원리는 동일한데 구현방식에 차이가 있다. 얼마나 많은 중계노드를 거쳐 가는가? 중게구간의 IP주소, 응답시간등을 파악 할 수 있다. traceroute - linux UDP 방식 이용 tracert - window

Ping 1. 종단 노드 간에 네트워크 상태를 관리하기 위한 명령어 2. Target 시스템에 대한 접근성, 해당 구간에 대한 네트워크 속도 및 품질(손실률)을 검사하기 위한 명령어 3.내부적으로 사용하는게 ICMP Echo Request(Type:8)/ Reply(Type:0) 메시지를 이용 ICMP는 타입과 코드로 이루어져 있음 WINDOWS ping -n 5 -l 5 ip주소 -n 패킷 전송횟수 default :4 -l 패킷 크기(bytes) 설정 default :32 TTL 값으로 상대방OS를 추측 할 수 있다. os fingerprint로 활용 가능 RTT(Round trip times): 요청에 대한 왕복시간 리눅스는 옵션이 다름 ping -c 5 -s 128 ip주소 -c count 패킷 전..

fragrouter //ip 포워드 기능을 해주는 도구, 툴 fragrouter -B1 //앞으로 페도라 리눅스 서버는 라우터 처럼 패킷 중계를 해줌 아이피 포워드 기능 활성화 한것 arpspoof -i eth2 -t 192.168.197.129 192.168.197.156 타겟에 있는 156 정보를 공격자 BACKTRACK의 맥주소로 바꾸겠다 그럼 192.168.197.156 is-at 0:c:29:ba:2:17 //156 의 맥주소(백트랙의 맥주소)는 이거야 라고 arp reply를 계속 날림 시험에 나오는것 ★ arp -a 에서 고유한 맥주소가 두개임 계속 arp reply가 날아가기 때문에 계속 유지가 되는 것임 icmp echo reply가 나갈텐데 arpspoof -i -t 192.168.19..

file system check의 약자로 리눅스 파일시스템에서 파일을 체크하고 수리하는 명령어이다. 도스의 chkdsk나 scandisk 명령과 유사하다.

전자적 증거의 진정성 - 원본성, 동일성, 신뢰성 특성 - 매체 독립성, 비가시성/비가독성, 변경/삭제의 용이성, 대용량성, 전문성, N/W 관련성