Vol.06 June CONTENTS 2 page 1. 월간동향요약 월보안이슈 주요보안권고 침해사고통계분석요약 침해사고위협분석요약 4 5 page 2. 침해사고통계분석 2-1. 악성코드피해신고통계분석 5

Size: px
Start display at page:

Download "Vol.06 June CONTENTS 2 page 1. 월간동향요약 월보안이슈 주요보안권고 침해사고통계분석요약 침해사고위협분석요약 4 5 page 2. 침해사고통계분석 2-1. 악성코드피해신고통계분석 5"

Transcription

1

2 6 212 Vol.6 June CONTENTS 2 page 1. 월간동향요약 월보안이슈 주요보안권고 침해사고통계분석요약 침해사고위협분석요약 4 5 page 2. 침해사고통계분석 2-1. 악성코드피해신고통계분석 해킹사고접수처리통계분석 7 15 page 3. 침해사고위협분석 3-1. 악성코드은닉사이트 허니넷유입악성코드 허니넷유입유해트래픽 국내인터넷망트래픽 24 26page 26 page 월간특집 인터넷연동구간 DDoS 공격현황및대응방안 38 page 부록 : 용어정리

3 1-1 6 월보안이슈 6 월에는대형언론사의홈페이지가해킹을당해홈페이지변조및악성코드유포에이용되는사고발생 - 한대형언론사의舊홈페이지초기화면이변조되고, 내부전산정보및직원정보등유출된데이터가인터넷사이트에공개되어이슈가됨 해당홈페이지는舊홈페이지주소로접속하는이용자들을변경된신규홈페이지로연결시켜주는역할을하고있었음 - 한편, 또다른대형언론사의홈페이지도악성코드유포경유지로악용되어보안이취약한 PC 이용자는메인화면에만접속해도악성코드를유포하는사이트에서악성코드가다운로드되어감염되므로, 보안강화가요구됨 국내에이용자가많은프로그램의제로데이취약점을이용한악성코드유포사례가발견되고있어보안업데이트실시등이용자들의주의가요구됨 - 한글 프로그램제로데이취약점악용사례 : 212 년통일정책토론회 ( 통일정책실주관 ) 이라는제목의이메일에조작된 HWP 첨부파일을송부하여취약한버전에서열어볼경우악성코드에감염 - MS 제로데이취약점악용사례 : 국내대형언론사, 연예기획사홈페이지에해당취약점을악용하는악성스크립트파일을은닉시켜놓아영향받는버전의윈도우이용자가홈페이지방문시악성코드에감염 1-2 주요보안권고 MS 의정기보안업데이트와 XML 취약점을비롯해, 한글프로그램, BIND, Oracle Java 등의취약점과관련한보안업데이트를인터넷침해대응센터홈페이지를통해권고 ( 총 11 종 ) 구분영향받는대상취약점내용및대책 Microsoft 한글 PHP 기반의국내공개웹게시판 BIND - Windows XP, Vista, 7 - Windows Server 23, 28 등 - MS-Office 23, 27, 21, Mac 용 28, MS Lync 21 등 상세버전홈페이지참조 - Windows XP, Vista, 7 - Windows Server 23, 28 등 - MS-Office 23, 27 등 상세버전홈페이지참조 한글 22, 24, 25, 27, 21 그누보드 및이전버전 비비샵 및이전버전 9..x, 9.4-ESV, 9.6-ESV, 9.7., 9.8., 9.9. MS 정기보안업데이트 : [MS12-36]~[MS12-43] 총 8 종 ( 긴급 3, 중요 5) - 원격데스크톱에서발생하는취약점으로인한원격코드실행및관리자권한획득문제 - Internet Explorer 에서발생하는원격코드실행가능한취약점들누적패치 -.NET Framework 에서발생하는취약점으로인한원격코드실행및관리자권한획득문제등 영향받는버전의경우최신 MS 보안업데이트필요 XML Core Services(3.~6.) 에서발생하는취약점으로인한원격코드실행이나서비스 거부공격문제 영향받는버전의경우 MS 홈페이지에서 Fix it 5897 다운로드및설치또는 7월정기보안업데이트적용필요 특수하게조작된문서를열어볼경우코드실행취약점으로인해악성코드감염가능 영향받는버전의경우최신버전으로업데이트필요 자동업데이트 : 시작 모든프로그램 한글과컴퓨터 한컴자동업데이트 XSS(Cross Site Scripting) 취약점으로인한홈페이지관리자계정탈취가능 영향받는버전의경우최신버전으로업데이트필요 파일업로드취약점으로인해웹쉘을이용한웹서버해킹발생가능 영향받는버전의경우비비샵최신버전으로업그레이드후 htmlarea 디렉토리삭제 디렉토리위치 : [ 비비샵설치디렉토리 ]/admin/htmlarea DNS resource records 처리시발생되는취약점으로인해 DNS 서버가서비스거부를일으키거나일부메모리내용을노출시킬수있는문제 영향받는버전의경우운영되는서버버전에맞게업그레이드필요 자세한내용은인터넷침해대응센터홈페이지 ( 보안정보 보안공지 ) 참조

4 1-3 침해사고통계분석요약 월별침해사고접수처리통계 구분 211 년총계 212 년 합계 악성코드피해신고 21,751 1,443 1,186 1,685 2,164 2,138 2,394 11,1 해킹사고접수처리 11,69 1,51 1,21 1,72 1,419 1,534 2,174 9,549 스팸릴레이 3, ,21 피싱경유지 단순침입시도 365 2, ,251 기타해킹 2, ,754 홈페이지변조 1, ,113 악성봇 (Bot) 감염율.52%.6%.6%.6%.7%.7%.7%.65% 전월대비증감추이 이달의악성코드피해신고건수는총 2,394 건으로전월 (2,138 건 ) 대비 12.% 증가하였으며, 주요악성코드로는이달에도게임계정탈취목적의 OnlineGameHack(33.8%) 이가장많은비율을보임 이달의해킹사고접수처리건수는총 2,174 건으로전월 (1,534 건 ) 대비 41.7% 증가하였으며, 유형별로는홈페이지변조 (22.%) 와단순침입시도 (94.3%) 등이큰폭으로증가하면서전체건수증가에영향을미침 구분 금월 전월대비증감추이 악성코드피해신고 2,394 건 전월 2,138건대비 12.% 증가 해킹사고접수처리 2,174 건 전월 1,534건대비 41.7% 증가 스팸릴레이 598 건 전월 693건대비 13.7% 감소 피싱경유지 34 건 전월 37건대비 8.1% 감소 단순침입시도 394 건 전월 26건대비 91.3% 증가 기타해킹 796 건 전월 488건대비 63.1% 감소 홈페이지변조 352 건 전월 11건대비 22.% 증가 악성봇 (Bot) 감염율.7% 전월 (.7%) 과동일 악성봇감염율 : 전세계악성봇감염추정 IP대비국내감염추정 IP의비율 3,5 3, 212 년 211 년 2,5 2, 212 년 211 년 2,5 2, 1,5 1,5 1, 1, 5 5 1월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월 1월 2월 3월 4월 5월 6월 7월 8월 9월 1월 < 악성코드피해신고접수건수 > < 해킹사고접수처리건수 > [ 그림 1 ] 월별침해사고전체통계그래프 11 월 12 월

5 1-4 침해사고위협분석요약 악성코드은닉사이트 이달에탐지조치한악성코드은닉사이트는총 1,678 건으로, 전월 (436 건 ) 대비 284.9%(1,242 건 ) 증가함 - 악성코드가은닉된홈페이지를기관유형별로분류해보면기업이 1,356 건 (8.8%) 으로가장많았고, 웹서버유형별로는 MS IIS 가 945 건 (56.3%) 으로가장많은비중을차지함 구분 은닉사이트탐지조치건수 211 년총계 212 년 , ,678 4,53 합계 허니넷유입악성코드 KISA 허니넷으로유입된전체악성코드샘플은전월대비 23.% 증가하였고, 악성코드별로는 Starman 계열 (58.8%) 이가장많은비중을차지했고, Virut 계열 (15.3%), Allaple 계열 (5.6%) 등의순으로나타남 신규수집된악성코드의유포국가별로는미국 (28.2%) 이가장많은비중을차지했고, 대만 (7.3%), 아르헨티나 (5.4%), 일본 (4.6%), 중국 (4.5%) 등의순으로나타남 허니넷유입유해트래픽 KISA 허니넷에유입된전체유해트래픽은약 46 만건으로전월 (525 만건 ) 에비해 22.7% 감소하였고, 해외 IP 로부터유발된트래픽이 91.9% 로대부분을차지함 - 해외로부터 KISA 허니넷에유입된유해트래픽은중국에서유발된 TCP/1433 포트스캔이가장많은비중을차지함 국내인터넷망트래픽 국내 ISP 일부구간에서수집된포트별트래픽양은전월에비해소폭감소했고, TCP/8 을제외하면 UDP/53, TCP/443 포트등에서상대적으로많은트래픽이발생한것으로나타남 국내 ISP 일부구간에서수집된공격유형별트래픽추이를살펴보면, 전월까지많이수집되던 ACK Port Scan 은크게감소한반면 DoS 공격트래픽인 Open Tear 트래픽이상대적으로많이발생한것으로나타남

6 2-1 악성코드피해신고통계분석 악성코드피해신고현황 6 월한달간국내주요백신업체로접수된악성코드피해신고건수는총 2,394 건으로전월 (2,138 건 ) 대비 256 건 (12.%) 증가한것으로나타났다. - 올상반기월평균피해신고건수는 1,835 건으로전년도 (1,812 건 ) 와비슷한수준을보임 구분 212년 211년 [ 표 1 ] 월별국내악성코드피해신고건수 1월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월 합계 1,443 1,186 1,685 2,164 2,138 2,394 11,1 2,92 1,847 1,566 2,335 1,786 1,763 1,912 1,695 1,724 1,99 1,263 1,841 21,751 악성코드피해신고건수는국내주요백신업체로신고접수된건수임 3,5 3, 2, 년 211 년 2,5 2, 1,5 1,443 2,335 2,394 2,164 2,138 1,847 1,786 1,685 1,566 1,763 1,912 1,695 1,724 1,263 1,841 1, 1,186 1, 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 1 월 11 월 12 월 [ 그림 2 ] 국내악성코드피해신고추이 주요악성코드 신고된주요악성코드를살펴보면, 이달에도게임계정탈취목적의 OnlineGameHack(89 건 ) 으로가장많았고, DDoS 공격등에이용되는 Agent(29 건 ) 가그뒤를이었다. - 전월에는상위에없던 Hupe(76 건 ), Downloader(51 건 ), Flamer(28 건 ) 등이신규로등장하여추이를지켜볼필요가있을것으로보임 한편, 키보드입력값을유출하기위한트로이목마나키로거유형의악성코드 (CSON, Jorik, HUPE 등 ) 및백신을강제종료시키는악성코드 (AVKiller 유형 ) 가지속적으로상위에올라개인 PC 이용자들의주의가요구된다.

7 피해신고된악성코드의비율을살펴보면, OnlineGameHack(33.8%), Agent(8.7%), HUPE(3.2%), AVKiller (3.1%), Banker(2.2%) 등의순으로나타나상위 5 개악성코드가 51.% 를차지했다. - OnlineGameHack 은전월 (42.2%) 보다 8.4% 감소하였고, Agent 도전월 (9.5%) 보다.8% 감소하였으나, 그밖에다양한악성코드들이소규모로많이신고접수되면서기타유형이증가함 순위 합계 명칭 OnlineGameHack Agent HUPE AVKiller Banker Downloader CSON Jorik FakeAV Flamer 기타 건수 , % OnlineGameHack Agent HUPE AVKiller Banker 기타 3.2% 2.2% 3.1% 8.7% 33.8% [ 그림 3 ] 피해신고된주요악성코드별비율 최근 6 개월간주요악성코드의증감추이를살펴보면, OnlineGameHack 유형은년초에비해신고건수가크게증가해상반기가장많은신고건을차지했고, Agent 유형은전반적으로소폭의증가추세가지속되면서뒤를이었다. - 그밖에 Rootkit, AVKiller, Downloader 등도많은신고건수를차지했으나상대적으로건수의증감이적어비슷한수준을유지함 1, OnlineGameHack Agent AVKiller DownLoader CSON 1 월 2 월 3 월 4 월 5 월 6 월 [ 그림 4 ] 최근 6 개월간주요악성코드신고건추이

8 2-2 해킹사고접수처리통계분석 해킹사고접수 처리현황 6 월한달간접수 처리한해킹사고건수는총 2,174 건으로, 전월 (1,534 건 ) 대비 64 건 (41.7%) 증가한것으로나타났다. - 올상반기월평균피해신고건수는 1,592 건으로전년도월평균 (974 건 ) 보다 63.4% 증가함 구분 212년 211년 표 2 월별해킹사고접수 처리현황 1월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월 합계 1,51 1,21 1,72 1,419 1,534 2,174 9,549 1, , , , ,91 11,69 2,5 212 년 211 년 2,174 2, 1,72 1,5 1,51 1,21 1,419 1,534 1, 5 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 1 월 11 월 12 월 [ 그림 5 ] 해킹사고접수 처리증감추이 해킹사고를유형별로분류해보면, 기타해킹 (796 건 ) 이가장많은건수를차지했고, 스팸릴레이 (598 건 ), 단순침입시도 (394 건 ) 등의순으로나타났다. - 전월대비단순침입시도 (91.3%), 기타해킹 (63.1%), 홈페이지변조 (22.%) 등은증가했고, 스팸릴레이 (13.7%), 피싱경유지 (8.1%) 등은감소함 [ 표 3 ] 해킹사고유형별접수 처리현황 구분 211 년총계 212년 합계 스팸릴레이 3, ,21 피싱경유지 단순침입시도 2, ,251 기타해킹 2, ,754 홈페이지변조 1, ,113 합계 11,69 1,51 1,21 1,72 1,419 1,534 2,174 9,549 피싱경유지 : KISA가국외의침해사고대응기관이나사칭대상이된기관, 일반사용자로부터신고받아접수 처리한건수로써실제피싱사고건수가아니라보안이취약한국내시스템이경유지로악용된건수 단순침입시도 : KISA에서접수 처리한해킹신고중악성코드등으로유발된스캔 ( 침입시도 ) 을신고한건수 기타해킹 : KISA에서접수 처리한해킹사고중스팸릴레이, 피싱경유지, 단순침입시도를제외한나머지건수

9 유형별비율을살펴보면, 기타해킹 (36.6%) 이가장많은비중을차지했고, 스팸릴레이 (27.5%), 단순침입시도 (18.1%) 등이뒤를이었다. - 전월가장많은비중을차지했던스팸릴레이는감소 (45.2% 27.5%) 했고, 기타해킹, 단순침입시도유형및홈페이지변조유형은증가함 16.2% 구분스팸릴레이피싱경유지단순침입시도기타해킹홈페이지변조합계 건수 , % 스팸릴레이피싱경유지단순침입시도기타해킹홈페이지변조 27.5% 18.1% 1.6% [ 그림 7 ] 해킹사고유형별비율 유형별증감추이를살펴보면, 연초부터스팸릴레이와기타해킹유형의증가추세가이어지고있으며, 홈페이지변조유형은큰폭의증감을반복해오고있다. - 올상반기에는전년도하반기에비해단순침입시도를제외한대부분의유형에서신고건수가증가함 월 8월 9월 1월 11월 12월 12년 1월 2월 스팸릴레이피싱경유지단순침입시도기타해킹홈페이지변조 3 월 4 월 5 월 6 월 [ 그림 6 ] 해킹사고유형별증감추이

10 피해기관별분류 피해기관유형별로분류해보면이달에도개인유형이 1,555 건으로가장많았으며전월 (1,37 건 ) 대비 5.% 증가했고, 기업유형은 59 건으로전월 (487 건 ) 대비 21.1% 증가하였다. - 그밖에비영리, 대학, 연구소등의유형도전월대비증가하였으나신고건수가미미한수준에그침 [ 표 4 ] 해킹사고피해기관별분류 구분 211년총계 212년 1월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월 합계 개인 7, ,37 1,555 5,776 기업 3, ,48 대학 비영리 연구소 네트워크 합계 11,69 1,51 1,21 1,72 1,419 1,534 2,174 9,549 기관분류기준 : 침해사고관련도메인이나 IP를기준으로기업 (co,com), 대학 (ac), 비영리 (or,org), 연구소 (re), 네트워크 (net), 개인 (pe 또는 ISP에서제공하는유동 IP 사용자 ) 으로분류 피해기관유형별비율을살펴보면, 개인유형이 71.5% 를차지했고, 기업유형은 27.1% 을차지해신고건수의대부분 (98.6%) 을차지했다. 1.1%.2%.1% 구분개인기업대학비영리연구소합계 건수 1, , % 개인기업대학비영리연구소 71.5% [ 그림 8 ] 해킹사고피해기관유형별비율

11 운영체제별분류 접수처리한해킹사고관련시스템들의운영체제를분류해보면, 이달에도윈도우운영체제가 952 건으로가장많았고전월 (859 건 ) 대비 1.8% 증가하였고, 리눅스운영체제도 527 건으로전월 (191 건 ) 대비 175.9% 증가한것으로나타났다. [ 표 5 ] 해킹사고피해시스템의운영체제별분류 구분 211년 212년총계 1월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월 Windows Linux Unix 기타합계 7,731 1, ,315 11, , , , , , ,174 운영체제별분류자료는각운영체제의안전성과는상관관계가없으며, 단지신고에따른분석자료임 합계 4,826 1,98 6 2,89 9,549 운영체제별비율을살펴보면, 윈도우운영체제는 43.8% 로전월대비 12.2% 감소한반면리눅스운영체제는 24.2% 로전월대비 11.7% 증가한것으로집계되었다. 구분 Windows Linux Unix 기타합계 건수 , % Windows Linux Unix 기타 43.8% 24.2% [ 그림 9 ] 해킹사고피해시스템운영체제별비율 1

12 피싱경유지접수처리현황 6 월한달간접수된피싱경유지신고건수는총 34 건으로, 전월대비 3 건 (1.1%) 감소한것으로나타났다. - 올상반기월평균신고건수는 36.8 건으로전년도월평균 (3.4 건 ) 보다 21.1% 증가함 구분 피싱경유지접수처리건수 [ 표 6 ] 피싱경유지접수처리건수 211년 212년 총계 1월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월 합계 221 피싱 (Phishing) 경유지접수처리건수는보안이취약한국내시스템이해킹을당하여, 해외유명기관등을사칭한홈페이지로 악용된사고를 KISA 가신고받아조치한건수임 년 211 년 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 1 월 11 월 12 월 [ 그림 1 ] 피싱경유지접수처리건수추이 피싱대상기관유형별로분류해보면, 금융기관 27 건 (79.4%) 로가장많았고, 기타 6 건 (17.6%), 전자상거래 1 건 (2.9%) 으로나타났다. 17.6% 기관유형금융기관기타전자상거래합계 건수 % 금융기타전자상거래 79.4% [ 그림 11 ] 피상대상기관유형별비율 11

13 피싱대상기관별로살펴보면금융기관유형에는 PayPal, WellsFargo, ABSA Bank 등이등이해당되었고, 전자상거래기관유형에는 ebay, 기타에는검색포털 Yahoo, TAM Airlines 등이포함된것으로나타났다. 피싱대상기관및신고건수를국가별로분류한결과, 총 11 개국 23 개기관으로집계되었고, 미국 (8 개기관, 16 건 ), 스페인 (2 개기관, 4 건 ), 영국 (3 개기관, 3 건 ) 등이대부분을차지했다. - 그밖에브라질과호주가각각 2 개기관 2 건씩, 기타에는이탈리아, 남아프리카공화국, 덴마크, 중국, 캐나다, 포르투칼등이해당되었음 3 미국브라질영국스페인이탈리아 국가 기관수 신고건수 25 미국 스페인영국 브라질호주 기타 합계 월 8 월 9 월 1 월 11 월 12 월 12 년 1 월 2월 3월 4월 5월 6월 [ 그림 12 ] 피싱대상기관소속주요국가별추이 피싱경유지로이용된국내사이트들을기관유형별로분류해보면, 기업이 19 건 (55.9%), 교육 3 건 (8.8%), 비영리 3 건 (8.8%), 개인 / 기타 2 건 (5.9%) 순으로집계되었고, 홈페이지가없거나 Whois 정보에 ISP 관리대역만조회되는경우인 ISP 서비스이용자 유형은 7 건 (2.6%) 으로나타났다. 2.6% 구분기업교육비영리개인 / 기타 건수 % 8.8% 기업교육비영리개인 / 기타 ISP 서비스이용자 55.9% ISP 서비스이용자 7 합계 % [ 그림 13 ] 피상대상기관유형별비율 12

14 홈페이지변조사고처리현황 이달에는총 352 개의홈페이지에서변조사고가발생하여전월 (11 개 ) 대비 22.% 증가한것으로나타났고, 피해시스템은총 39 개로전월 (28 개 ) 보다 39.3% 증가하였다. 구분 피해홈페이지피해시스템 211년총계 1, 피해시스템수는피해 IP 수를기준으로산정한것으로단일시스템에수십 ~ 수백개의홈페이지를운영하는경우도있으므로피해 홈페이지수는피해시스템수보다많음 [ 표 7 ] 홈페이지변조사고처리현황 212년 1월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월 합계 2, 올상반기에는연초 (1 월,3 월 ) 에발생한대량홈페이지변조사고가다수발생하면서크게증가해월평균 건으로전년도월평균 (154.5 건 ) 대비 127.8% 증가함 년 211 년 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 1 월 11 월 12 월 [ 그림 14 ] 홈페이지변조사고추이 피해시스템의운영체제를분류해보면, Linux 유형과 Win23 유형이각각 16 건 (41.%) 을차지했고, Win2 유형은 7 건 (17.9%) 로집계되었다. 운영체제 Linux Win 2 Win 23 건수 % Linux Win 2 Win % 합계 % [ 그림 15 ] 피해시스템운영체제별비율 운영체제의안정성과는상관관계가없으며, 홈페이지변조사고건의처리결과따른통계수치임 13

15 악성봇 (Bot) 현황 6 월한달간전세계악성봇감염추정 PC 중국내봇감염 PC 비율은약.7% 로전월과동일하게나타났다. [ 표 8 ] 국내악성봇 (Bot) 감염률 211년 212년구분총계 1월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월국내비율.5%.6%.6%.6%.7%.7%.7% 전세계악성봇감염추정 IP 중국내악성봇감염 IP가차지하는비율이며웹사이트를통한전파는제외됨 평균.65% 6 월평균국내악성봇감염 IP 수는전월대비 3.% 증가하였으나최근 3 개월동안소폭의감소추세가이어지고있다. - 악성봇전파를위해스캔한주요포트를살펴보면, TCP/8 포트 (8.2%) 가대부분을차지했고, TCP/1433 포트 (11.1%), TCP/445(4.4%) 등의순으로나타남 6, 국내월평균 3.% 1.3% 4.4% 5, 11.1% 4, 3, 2, 기타 1, 8.2% 7 월 8 월 9 월 1 월 11 월 12 월 12 년 1 월 2 월 3 월 4 월 5 월 6 월 [ 그림 16 ] 국내악성봇감염 IP 추이및포트별비율 6 월평균국외악성봇감염 IP 수는전월대비 4.5% 감소하였고, 국외의경우에도국내와유사한추이를보이고있다. - 악성봇전파를위해스캔한주요포트를살펴보면, TCP/1433 포트 (58.6%) 가가장많은비중을차지했고, TCP/445(23.2%), TCP/8(5.3%) 등의순으로나타남 8, 7, 6, 국외월평균 4.7% 5.3% 8.2% 5, 4, 3, 23.2% 기타 58.6% 2, 1, 7 월 8 월 9 월 1 월 11 월 12 월 12 년 1 월 2 월 3 월 4 월 5 월 6 월 [ 그림 17 ] 국외악성봇감염 IP 추이및포트별비율 14

16 3-1 악성코드은닉사이트 악성코드은닉사이트탐지 조치현황 6 월한달동안탐지하여대응한악성코드은닉사이트는총 1,678 건으로, 전월 (436 건 ) 대비 284.9%(1,242 건 ) 증가하였다. - 악성코드유포사이트수는전월대비 117.6%(85 건 185 건 ) 증가하였고, 경유사이트수는전월대비 325.4%(351 건 1,493 건 ) 증가한것으로나타남 [ 표 9 ] 악성코드은닉사이트탐지 조치현황 구분 211년총계 212년 1월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월 합계 유포지 1, 경유지 1, ,493 3,354 합계 11, ,678 4,53 유포지 : 악성코드를유포하는웹사이트 경유지 : 방문시유포지로연결시키는웹사이트 악성코드은닉사이트 : 악성코드유포지와경유지를통칭 악성코드은닉사이트의월별추이를살펴보면, 5 월에감소추세를보이다가, 6 월에는급격한증가추세를보이고있다. 2,5 212 년 211 년 2, 1,5 1, 5 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 1 월 11 월 12 월 [ 그림 18 ] 악성코드유포지 / 경유지추이 - 악성코드유포에악용되는웹사이트가증가하고있는만큼각기관 ( 기업 ) 의웹서버관리자는보안강화를위해사전점검및보안도구 ( 휘슬, 캐슬등 ) 적용등적절한보안관리가요구됨 참고사이트 홈페이지개발자 / 관리자를위한보안도구사이트 : - 휘슬 (WHISTL) : 웹쉘및악성코드은닉사이트탐지프로그램 - 캐슬 (CASTLE) : 홈페이지의보안성을강화하는웹방화벽프로그램 정보보호시스템관리를위한안내서. 해설서 자료실 관계법령 안내서. 해설서 정보보호시스템관리 ( 웹서버구축보안점검안내서, 웹어플리케이션보안안내서, 홈페이지개발보안안내서등제공 ) 15

17 기관유형 웹서버별분류 피해사이트를기관유형별로분류해보면, 기업 (1,356 건 ) 이가장많았고, 기타 (29 건 ), 비영리 (82 건 ), 네트워크 (24 건 ), 연구소 (6 건 ), 대학 (1 건 ) 등의순으로나타났다. - 기관유형별비율로는이달에도기업 (8.8%) 이가장많은비중을차지했고, 기타 (12.5%), 비영리 (4.9%), 네트워크 (1.4%), 연구소 (.4%), 대학 (.1%) 등의순으로나타남 기관분류기준 : 기업 (co,com), 대학 (ac), 비영리 (or,org), 연구소 (re), 네트워크 (ne,net), 기타 (pe, 국외유포지등 ) 구분기업대학비영리연구소네트워크기타합계 건수 1, , %.4% 4.9%.1% 12.5% 기업대학비영리연구소네트워크기타 8.8% [ 그림 19 ] 악성코드유포지 / 경유지피해사이트기관별분류 악성코드유포및경유지로악용된사이트를웹서버별로분류해본결과, MS IIS 웹서버가 945 건 (56.3%), Apache 웹서버가 45 건 (26.8%), 그밖에기타유형이 283 건 (16.9%) 으로집계되었다. 16.9% 구분 MS IIS Apache 기타합계 건수 , % MS IIS Apache 기타 56.3% [ 그림 2 ] 악성코드유포지 / 경유지웹서버별분류 웹서버별구분자료는각운영체제 / 웹서버의안전성과는상관관계가없으며, 단지탐지에따른분석자료임 악성코드유포지 / 경유지사이트가이미폐쇄되어웹서버를파악하기어려운경우도기타에포함시켰음 16

18 3-2 허니넷유입악성코드 허니넷유입악성코드추이및유형별분류 6 월한달간 KISA 허니넷으로유입된전체악성코드샘플수는전월대비 23.% 증가했고, 지난해 9 월이후증감을반복하는추세가지속되고있다. - 전월대비 Allaple 악성코드유형이크게증가했고, Starman, IRC Bot 등전체적으로증가함 8, 7, 월별전체수집 월별신규수집 6, 5, 4, 3, 2, 1, 7 월 8 월 9 월 1 월 11 월 12 월 12 년 1 월 2 월 3 월 4 월 5 월 6 월 [ 그림 21 ] 월별수집샘플증감추이 수집된악성코드샘플은윈도우보안취약점을통해네트워크로자동전파되는유형으로, 이메일이나웹사이트를통해전파되는 악성코드의추이와는다를수있음 악성코드별비율을살펴보면, Starman 계열 (58.8%) 이가장많은비중을차지했고, Virut 계열 (15.3%), Allaple 계열 (5.6%), IRCBot(.8%) 등의순으로나타났다..8% 15.3% 19.5% 5.6% Starman Allaple Virut IRCBot other [ 그림 22 ] 신규수집된악성코드비율 58.8% Virut : 윈도우실행파일을감염시키며변종의경우네트워크의트래픽을유발시키는악성코드 Starman : 사용자정보유출등악의적인기능을수행할수있으며네트워크의트래픽을유발시키는악성코드 Allaple : 시스템내의 *.HTM, *.HTML 파일을감염시키고, 백도어역할수행으로공격자가원격제어할수있는악성코드 IRCBot : 특정 IRC채널에접속시도하며트로이목마를다운받고, 네트워크트래픽과부하, 속도저하를유발시키는악성코드 17

19 수집된주요악성코드별증감추이를살펴보면, 최근 12 개월간 Starman 계열이전체적으로가장많이수집되고있으며, Virut 계열도주기적으로증감을반복하는추이를보이고있다. - 그밖에 IRCBot 계열과 MyDoom 계열은증감의변화가거의없이유사한수준에서수집되고있음 4, Starman Allaple Viruit IRCBot MyDoom 35, 3, 25, 2, 15, 1, 5, 7 월 8 월 9 월 1 월 11 월 12 월 12 년 1 월 [ 그림 23 ] 악성코드신규건수집추이 2 월 3 월 4 월 5 월 6 월 이달에신규수집된악성코드의유포국가별비율을살펴보면, 전월에이어미국 (28.2%), 대만 (7.3%) 등이지속적으로상위권을유지했다. - 그밖에는아르헨티나 (5.4%), 일본 (4.6%), 중국 (4.5%) 등의순서로나타났고, 다양한국가들로부터소규모로수집된악성코드가다수를차지하면서기타비율이높아짐 5.% 미국대만아르헨티나일본중국기타 28.2% 7.3% 5.4% 4.6% 4.5% [ 그림 24 ] 신규악성코드유포국가별비율 18

20 3-3 허니넷유입유해트래픽 허니넷유입유해트래픽추이 6 월한달동안 KISC 허니넷에유입된전체유해트래픽은약 46 만건으로전월 (525 만건 ) 에비하여 22.7% 감소하였다. ( 단위 : 만건 ) 9 전체해외국내 월 8 월 9 월 1 월 11 월 12 월 12 년 1 월 [ 그림 25 ] 허니넷유입유해트래픽추이 2 월 3 월 4 월 5 월 6 월 KISA 허니넷에유입되는트래픽은악성코드, 악성봇등에의한감염시도트래픽 ( 취약점스캔 ) 이가장많음 트래픽유발 IP 의해외 / 국내소재별로분류한결과, 해외소재 IP 로부터의트래픽은약 91.9% 로전월대비.1% 감소 (92.% 91.9%) 한것으로나타났다. 8.1% 국내 IP 유발국외 IP 유발 91.9% [ 그림 26 ] 유해트래픽유발 IP 의국내외비율 19

21 주요국가별공격유형 해외로부터 KISA 허니넷에유입된트래픽을근원지 IP 소재국가별로분석한결과중국으로부터유입된트래픽이 5.6% 로가장많았으며다음으로미국 (21.6%), 대만 (3.%) 순이었다. - 중국으로부터의트래픽은 TCP/1433, TCP/3389 포트에대한서비스스캔이가장많은비중을차지한것으로나타났다. China U.S.A Taiwan [ 그림 27 ] 허니넷유입트래픽 TOP3 국가별공격유형 6.8% 25.4% 7.8% 중국 China 1.3% 18.% TCP/ tcp service scan 49.7% 4.5% 미국 U.S.A 6.5% 8.8% 6.2% Ping Sweep 32.6% 11.6% 7.% 27.5% 7.% 8.4% 1.9% 대만 Taiwan 17.7% 14.8% TCP/445 - tcp service scan 39.4% TCP/ tcp service scan TCP/445 - tcp service scan TCP/23 - tcp service scan TCP/336 - tcp service scan TCP/ tcp service scan TCP/25 - tcp service scan TCP/22 - tcp service scan TCP/22 - tcp service scan TCP/18 - tcp service scan 기타 기타 기타 2

22 해외로부터 KISA 허니넷으로유입된트래픽의근원지 IP 의국가를살펴보면, 중국 (5.6%) 로가장많은비중을차지했으나전월대비 1.2% 감소하였고, 미국 (21.6%) 은전월대비 1.% 증가한것으로분석되었다. - 그밖에국가로는대만 (3.%), 브라질 (2.6%), 루마니아 (2.3%) 등의순이며, 기타에는일본, 캐나다, 러시아, 브라질등이해당됨 19.9% 순위 국가명중국미국대만브라질루마니아기타합계 비율 5.6% 21.6% 3.% 2.6% 2.3% 19.9% 1% 2.3% 2.6% 3.% 21.6% 중국미국대만브라질루마니아기타 5.6% [ 그림 28 ] 허니넷에유입된유해트래픽의국가별비율 주요국가별추이를살펴보면, 중국이차지하는비율은지난달에비해소폭감소한반면, 미국은소폭증가하였으며, 그밖의다른국가들은상대적으로증감의변화없이비슷한수준을보이고있다. 8% 중국미국대만러시아일본 7% 6% 5% 4% 3% 2% 1% % 7 월 8 월 9 월 1 월 11 월 12 월 12 년 1 월 2 월 3 월 4 월 5 월 6 월 [ 그림 29 ] 허니넷에유입된유해트래픽의국가별추이 21

23 해외 국내 이달에해외로부터 KISC 허니넷에유입된트래픽을국가구분없이포트 / 공격 ( 스캔 ) 유형별로분석한결과, TCP/1433 포트에대한서비스스캔이 27.2% 로가장많았고, ICMP(15.%), TCP/445(1.8%) 등의순으로나타났다. 순위 포트 TCP/1433 ICMP TCP/445 TCP/22 TCP/3389 기타합계 비율 27.2% 15.% 1.8% 7.5% 7.1% 32.4% % 7.1% TCP/ tcp service scan ICMP TCP/445- tcp service scan TCP/22 - tcp service scan TCP/3389- tcp service scan 기타 27.2% 15.% 7.5% 1.8% [ 그림 3 ] 해외 국내 ( 허니넷 ) 공격유형별비율 공격유형별추이를살펴보면, 가장많은비중을차지하는 TCP/1433 포트에대한서비스스캔을비롯해주요유형에서모두소폭의증가추세를보였다. - 전월대비 TCP/1433(.2%), ICMP(.6%), TCP/445(1.7%), TCP/22(2.3%),TCP/3389(.4%) 증가함 45% TCP/ tcp service scan ICMP PingSweep TCP/445- tcp service scan TCP/22 - tcp service scan TCP/3389 tcp service scan 4% 35% 3% 25% 2% 15% 1% 5% % 7 월 8 월 9 월 1 월 11 월 12 월 12 년 1 월 2 월 3 월 4 월 5 월 6 월 [ 그림 31 ] 해외 국내 ( 허니넷 ) 공격유형별증감추이 - MS-SQL(TCP/1433), SSH(TCP/22) 포트에대한서비스스캔이많은비율을차지하고있으므로, 데이터베이스, 원격접속등에대한접근제어설정, 보안업데이트적용등보안조치가필요함 22

24 국내 국내 국내에서 KISC 허니넷에유입된트래픽을포트 / 공격 ( 스캔 ) 유형별로분석한결과, TCP/8 를통한서비스스캔이 45.7% 로가장많았고, ICMP(2.3%), TCP/139(13.7%) 등의순으로나타났다. 순위 국가명 TCP/8 ICMP TCP/139 TCP/1433 TCP/3389 기타합계 비율 45.7% 2.3% 13.7% 6.3% 3.9% 1.1% 1 6.3% 13.7% 3.9% 1.1% TCP/8 - tcp service scan ICMP TCP/139 - tcp service scan TCP/ tcp service scan TCP/ tcp service scan 기타 45.7% 2.3% [ 그림 32 ] 국내 국내 ( 허니넷 ) 공격유형별비율 주요포트별증감추이를살펴보면, TCP/8 포트에대한스캔공격은큰폭으로증가하였고, ICMP, TCP/139 포트와 TCP/1433 포트는감소하였다. - 주요포트별증감추이를살펴보면 TCP/8 포트는 44.6% 증가, ICMP Ping Sweep 은 5.3% 감소, TCP/139 포트는 9.1% 감소하였음 5% 45% TCP/8-tcp service scan ICMP-Ping Sweep TCP/139-tcp service scan TCP/1433-tcp service scan TCP/3389-tcp service scan 4% 35% 3% 25% 2% 15% 1% 5% % 7 월 8 월 9 월 1 월 11 월 12 월 12 년 1 월 2 월 3 월 4 월 5 월 6 월 [ 그림 33 ] 국내 국내 ( 허니넷 ) 공격유형별증감추이 23

25 3-4 국내인터넷망트래픽분석 프로토콜및포트추이분석 국내 ISP 의일부구간 ( 국내인터넷망 ) 에서수집된트래픽의포트별추이를파악한결과, TCP/8(HTTP) 트래픽이가장많았고, UDP/53, TCP/443 등이주로관찰되었다. 6,, 5,, 4,, 3,, 2,, 1,, [ 그림 34 ] 국내인터넷망에유입된포트별트래픽일자별추이 TCP/8 UDP/53 TCP/443 UDP/22 TCP/88 수집된트래픽중 TCP/8 을제외한나머지트래픽에대한 3 개월간포트별추이를살펴보면, 꾸준히증가추세를보이던 UDP/22 포트가 6 월중순이후크게감소한반면, UDP/53 포트는 5 월부터간헐적으로큰폭의증감을반복하고있으며 TCP/443 도소폭의증가추세를보였다. 1,6, UDP/53 1,4, TCP/88 TCP/443 1,2, TCP/51 UDP/22 1,, 8, 6, 4, 2, [ 그림 35 ] 국내인터넷망에유입된포트별트래픽 3 개월추이 24

26 공격유형및추이분석 이번달국내 ISP 의일부구간에서수집된공격트래픽을분석한결과, DDoS 공격트래픽인 Open Tear 유형과 TCP ACK Flooding 유형의트래픽이자주수집되었다. - 전월까지상대적으로많은트래픽이수집되었던 ACK Port Scan 유형이크게감소한반면, 순위에없던 Ping Flooding 유형이상위에올라추이를지켜볼필요가있음 12, TCP ACK Flooding Open Tear 1, 8, UDP Tear Drop Ping Flooding TCP DR DOS Attack 6, 4, 2, [ 그림 36 ] 국내인터넷망에유입된공격유형일자별추이 최근 3 개월간공격트래픽추이를살펴보면, 5 월중순까지 ACK Port Scan 트래픽이자주수집되었으나 5 월말이후크게감소한반면, OpenTear 공격트래픽을비롯해 UDP Tear Drop, TCP ACK Flooding 유형등은소폭증가하였다. 14, ACK Port Scan(F/W Scan) 12, UDP Tear Drop TCP ACK Flooding 1, Open Tear TCP Connect DOS 8, 6, 4, 2, [ 그림 37 ] 국내인터넷망에유입된공격유형 3 개월추이 25

27 인터넷연동구간 DDoS 공격현황및대응방안 DDoS 공격은공격자가악성코드에감염된다수의좀비 PC 를이용하여대량의유해트래픽을특정시스템에전송하여정상적인서비스를방해하는공격이다. 최근금전적이익을목적으로협박성 DDoS 가꾸준히발생하고있으며, 9 년 7.7 DDoS, 11 년 3.4 DDoS 및중앙선관위 DDoS 공격처럼국가의주요홈페이지를공격하여사회적, 정치적혼란을야기하는형태등으로변화를보이고있다. 이처럼 DDoS 공격으로인한위협이지속적으로증가하고있는가운데 DDoS 대응체계강화를위한방안으로 ISP 사이를연결하는인터넷연동구간에 DDoS 대응시스템을구축 운영해오고있다. 본문서에서는인터넷연동구간에서발생하는 DDoS 공격현황을분석하고, 이를바탕으로주요 DDoS 공격방법과효과적인대응방안을살펴보고자한다. 1 인터넷연동구간 DDoS 대응시스템현황 DDoS 공격은다수의 ISP 망에서복합적으로관계되어발생하는경우가많다. 예를들어 A ISP 에서발생한 DDoS 공격트래픽이 B ISP 로유입되거나, B ISP 에서발생한공격트래픽이 A ISP 로유입될수있다. 이경우 A ISP 와 B ISP 는자사망을보호하기위해서가아니라상호타사망을보호하기위하여공격트래픽을차단해주어야하는상황이발생한다. 그러나각 ISP 는자사망에대한보호가우선이므로타 ISP 망을보호하기위한대책은미온적일수밖에없다. 이처럼 ISP 상호간에인터넷트래픽을교환하는노드인인터넷연동구간 (IX) 은보안의사각지대가될수있다. 따라서인터넷연동구간일부에 DDoS 대응시스템을정부주도로구축 운영함으로써각 ISP 상호간에발생하는 DDoS 공격트래픽에대해서효과적으로대응하고있다. [ 그림 1] 인터넷연동구간 DDoS 대응시스템구축배경 인터넷연동구간 DDoS 대응시스템은평시에는설치된연동구간의 DDoS 공격을상시모니터링을하고, 공격이발생하면 DDoS 대응시스템으로공격트래픽을우회및차단하여정상트래픽만연동구간으로재전송하는형태로운영된다. 26

28 인터넷연동구간 DDoS 공격현황및대응방안 [ 그림 2] 인터넷연동구간 DDoS 대응시스템운영도 DDoS 대응시스템은 8 년 ~ 11 년까지 12 개의주요 ISP/SO 연동구간에총 16 식이구축되었으며, 올해도 LG U+ 와티브로드의인터넷연동구간에 2 식이추가구축될예정이다. 가. 인터넷연동구간 DDoS 대응시스템탐지및대응현황 인터넷연동구간에구축된 DDoS 대응시스템은정부, 공공, 금융, 정당, 언론및포털등분야별주요사이트를상시모니터링하고있으며, 어나니머스루트 DNS 공격이나 212 여수세계박람회등사회적이슈관련사이트를해당기간동안집중모니터링하고있다. 이와같은지속적모니터링의성과로 7.7 DDoS, 3.4 DDoS, 1.26 중앙선관위 DDoS 공격등을포함하여총 75 건 ( 9. 7 ~ 기준 ) 의 DDoS 공격을탐지하였으며, 공격 IP 목록을확보하여악성코드치료유도및 ISP 및사이트운영자에게즉각적인대응조치를요청하였다. 단위 ( 건 ) 년 (7월 ~ ) 21년 211년 212년 ( ~6월 ) [ 그림 3] 인터넷연동구간 DDoS 대응시스템탐지 대응현황 27

29 인터넷연동구간 DDoS 공격현황및대응방안 나. 탐지된공격유형분석 인터넷연동구간에서탐지된 DDoS 공격을공격유형측면에서살펴보자면, 총 75 건 ( 9. 7 ~ 12.6 기준 ) 중네트워크트래픽과부하를유발해대역폭을소진시키는네트워크공격이 623 건으로전체공격의 83% 를차지했다. 그리고서버에과도한접속연결또는서비스부하로서버의 CPU 자원을소모시키는어플리케이션공격이 41 건으로전체공격형태의 5.5% 를차지했다. 최근 DDoS 공격은여러공격유형을복합적으로사용하는공격형태가두드러지는경향이있으며, 인터넷연동구간에서도복합적공격유형이탐지된전체공격형태의 1% 를차지했다. 단위 ( 건 ) ETC 14% IP 8% TCP 9% ICMP 11% UDP 58% 1 네트워크공격의프로토콜분석 네트워크공격어플리케이션공격복합적공격기타 [ 그림 4] 인터넷연동구간에서탐지된 DDoS 공격현황 2 DDoS 공격유형과대응방안 1. 네트워크공격 인터넷연동구간에서주로탐지된네트워크공격기법인 UDP Flooding 의공격트래픽생성, 탐지및차단방법에대해살펴보고자한다. UDP Flooding 공격은공격자가다량의 UDP 패킷을서버로전송하여서버가보유한네트워크대역폭을가득채워다른정상적인클라이언트의접속을원활하지못하도록유발시키는공격방법이다. 이공격은 UDP 프로토콜을이용하기때문에상대적으로 TCP 프로토콜을이용한공격보다공격트래픽생성및변조가용이하며, 높은 pps 공격이가능하다. 가. 공격트래픽생성 UDP Flooding 공격의경우공격자가다량의패킷을발생시켜공격대상의네트워크대역폭을잠식시켜야하므로다수의좀비 PC 를이용하여공격을수행하는것이효과적이다. 이절에서는명령제어서버를통해좀비 PC 에게명령을내려 DDoS 공격을수행하는대표적인공격도구를이용하여, 서버를대상으로 UDP Flooding 공격트래픽을생성해보았다. 28

30 인터넷연동구간 DDoS 공격현황및대응방안 [ 그림 5] 공격도구로 UDP Flooding 공격트래픽생성사례 나. 공격트래픽탐지 1 Wireshark 이용 네트워크패킷수집및분석도구인 Wireshark 을이용하여웹서버앞단에서공격트래픽을탐지한결과를살펴보자. 실제공격도구에서설정한대로, 탐지된공격트래픽의목적지는 이고, 공격목적지포트는 8 인 http 이며, 프로토콜의종류는 UDP 임을확인할수있다. [ 그림 6] Wireshark 으로공격트래픽탐지 2 PRTG 이용 네트워크대역폭사용률을모니터링하는윈도우기반의간편한소프트웨어인 PRTG 를통해서도공격 29

31 인터넷연동구간 DDoS 공격현황및대응방안 트래픽을탐지할수있다. 실제 SNMP 1) 를통해웹서버앞에설치된라우터로유입되는공격트래픽을살펴보았을때공격도구로좀비 PC 1 여대를이용하여 UDP Flooding 공격을실행할경우약 4 ~ 5Gbyte 의공격트래픽이발생하는것을탐지할수있다. 참고로발생하는공격트래픽의양은좀비 PC 의성능과네트워크상태에따라가변적이다. 3 DDoS 대응시스템이용 [ 그림 7] PRTG 로공격트래픽탐지 DDoS 대응시스템을이용한 UDP Flooding 공격탐지설정방안을살펴보도록하자. DDoS 대응시스템에서는다음 [ 그림 8] 과같이탐지정책설정메뉴에서 UDP Flooding 공격에대해 4 초간 512 회의공격이발생하면 DDoS 공격이라고탐지하겠다고설정가능하다. [ 그림 8] DDoS 대응시스템탐지정책설정 실제 설정된탐지정책에따라탐지된 UDP Flooding 공격은탐지내역메뉴에서확인가능하다. 탐지 내역에서는공격명, 공격자와공격대상자의 IP 주소및포트정보, 공격데이터크기및시도횟수등의 정보도알수있다. [ 그림 9] DDoS 대응시스템탐지내역 1) SNMP(Simple Network Management Protocol): IP 기반의네트워크에서각호스트들의정보를정기적으로수집하여네트워크를 관리하기위한프로토콜. PRTG 에서대역폭과네트워크사용률관련데이터를수집하기위한방법의일환으로사용. 3

32 인터넷연동구간 DDoS 공격현황및대응방안 다. 공격트래픽대응 이절에서는 UDP Flooding 공격에대응하기위해라우터, DDoS 대응시스템등네트워크장비별대응방안에대해살펴보고자한다. 1 라우터를활용한대응방안 ( 방안 1) ACL 적용 ACL(Access Control List) 은접근제어목록을뜻하는것으로, Cisco 라우터에서는 Standard ACL 과 Extended ACL 등여러종류의 ACL 기능을제공하고있다. Standard ACL 은공격 Source IP 주소기반으로의차단이적용가능하며, Extended ACL 은공격 Soruce IP 주소, Destination IP 주소, Protocol 기반으로의차단이적용가능하다. UDP Flooding 공격의경우다수의좀비 PC 를이용하여여러 Source IP 주소대역에서공격트래픽이유입되므로, Source IP 주소기반으로접근제어를적용하는 Standard ACL 로는공격트래픽차단에어려움이있을수있다. 따라서웹서버에서 UDP 프로토콜관련서비스를제공하지않는다면프로토콜기반으로접근제어를적용하는 Extended ACL 을사용하여공격트래픽을차단하는것이효과적이다. [ 표 1] ACL 적용방법 (CISCO 라우터기준 ) 목적명령어문법 access-list number 범위예제예제결과목적명령어문법 access-list number 범위예제예제결과 Standard ACL Source IP 주소를이용한허용 / 거부목록생성 access-list access-list-number {permit deny} {host source source-wildcard any} 1~99, 13~1999(Cisco IOS Software Release 12..1부터적용 ) router#conf t router(config)#access-list 1 deny router(config)#interface f/1 router(config-if)#ip access-group 1 in /24에서유입되는패킷차단 Extended ACL Source, Destination IP 주소, protocol, option을이용한허용 / 거부목록생성 access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny permit} protocol source source-wildcard destination destination-wildcard [precedence precedence] [tos tos] [log log-input] [time-range time-range-name] 11~199, 2~2699(Cisco IOS Software Release 12..1부터적용 ) router#conf t router(config)#access-list 11 deny udp any any router(config)#access-list 11 permit ip any any router(config)#interface f/1 router(config-if)#ip access-group 11 in 라우터로유입되는전체 UDP protocol 패킷차단 출처 : - TechNotes(Configuring IP Access Lists) 31

33 인터넷연동구간 DDoS 공격현황및대응방안 ( 방안 2) Rate-limit 적용 ACL 은공격이유발되는네트워크대역이나프로토콜을차단하는반면, Rate-limit 는일정수준의트래픽만허용하고나머지는차단하는방법이다. 즉, 서버가감당할수있는트래픽의임계치를설정하는방법이다. Rate-limit 방법은네트워크관리자가내부로유입되는트래픽의양을결정할수있는장점이있으며, 지속적인 DoS 공격으로부터네트워크자원을보호할수있기때문에대부분의서버에서많이사용되고있는방법이다. Cisco 라우터에서는 CAR(Committed Access Rate) 이름의 Rate-limit 방법을제공하고있다. [ 표 2] Rate-limit 적용방법 (CISCO 라우터기준 ) 목적명령어문법예제예제결과 CAL(Committed Access Rate) 임계치를설정하여트래픽양제한 rate-limit {input output} [access-group [rate-limit] acl-index] bps burst-normal burst-max conform-action action exceed-action action router#conf t router(config)#interface f/1 router(config)#rate-limit input conform-action transit exceed-action drop 서버가감당할수있는트래픽의임계치는 8Mbps로, burst normal은 16byte로, burst maximum은 24byte로지정네트워크트래픽이해당조건을만족하면전송되고, 만족하지못한경우는 drop 되도록지정 출처 : - TechNotes(Configuring IP Access Lists) ( 방안 3) ACL, Rate-limit 동시적용 ACL 의경우공격자의트래픽만차단하는것이아니라, 공격자와같은네트워크내의정상사용자의트래픽도차단하는문제점이있다. Rate-limit 의경우임계치를설정하여트래픽양을제한하므로공격자의트래픽도서버에도달하는문제점이있다. 따라서공격트래픽의접근을막고정상트래픽의접근을허용하기위해 ACL 과 Rate-limit 를동시에적용하는것이바람직하다. 2 DDoS 대응시스템을활용한대응방안 DDoS 공격트래픽대응을위해라우터상에서는 Rate-limit 방법을명령어로입력하였으나, DDoS 대응시스템에서는간단한차단임계치설정으로동일한효과를이끌어낼수있다. 다음그림과같이 UDP Flooding 공격에대해탐지및방어를선택하면, 4 초간 512 회의공격이발생하였을때공격으로탐지및차단이가능하다. [ 그림 1] DDoS 대응시스템공격대응 32

34 인터넷연동구간 DDoS 공격현황및대응방안 2. 네트워크공격 이절에서는어플리케이션공격중 11 년 12 월 Chaos Communication Congress 에서발표되어최근이슈가된공격기법인 HashDoS 의공격트래픽생성, 탐지및차단방법에대해살펴보고자한다. 웹서버는 HTTP Request 요청시 GET, POST 방식으로전송되는변수를해시테이블을이용하여관리한다. HashDoS 공격은 HTTP POST 메시지에다수의변수를전달하여웹서버해시테이블의인덱스정보가중복되게하여, 기저장된정보조회시많은 CPU 자원을소모하도록유도하는공격방법이다. 가. 공격트래픽생성 이절에서는공격도구를이용하여, 서버를대상으로 HashDoS 공격트래픽을생성해보았다. 공격도구는다음그림과같이명령어쉘기반의 UI 를가지며, Target 부분에웹서버의 URL 만입력해주면공격실행이가능하다. [ 그림 11] DDoS 대응시스템공격대응 나. 공격트래픽탐지 1 Wireshark 이용 웹서버앞단에서 Wireshark 을이용하여공격트래픽을탐지한결과를살펴보자. 실제공격도구에서설정한대로, 탐지된공격트래픽의목적지는 이고, TCP SYN 패킷을보내 TCP 세션연결을맺은후, HTTP POST 요청을보내는것을확인할수있다. 33

35 인터넷연동구간 DDoS 공격현황및대응방안 [ 그림 12] Wireshark 으로공격트래픽탐지 Wireshark 의 Follow TCP Stream 기능을이용하여 HashDoS 공격패킷의내용을살펴보면다음 [ 그림 13] 과같이 HTTP POST 요청에다수의매개변수를전송하고있는것을확인할수있다. [ 그림 13] HashDoS 공격트래픽분석 34

36 인터넷연동구간 DDoS 공격현황및대응방안 2 DDoS 대응시스템이용 DDoS 대응시스템을이용한 HashDoS 공격탐지설정방안을살펴보도록하자. HashDoS 의경우 HTTP POST 요청을보내기위해, TCP SYN 패킷을먼저보내므로 DDoS 대응시스템에서 TCP SYN 패킷에대한임계치를설정함으로써 TCP SYN Flooding 공격유형으로 HashDoS 공격을탐지가능하다. [ 그림 14] DDoS 대응시스템탐지정책설정 실제 설정된탐지정책에따라탐지된 TCP SYN Flooding 공격은탐지내역메뉴에서확인가능하다. 탐지 내역에서는공격명, 공격자와공격대상자의 IP 주소및포트정보, 공격데이터크기등의정보도알수 있다. [ 그림 15] DDoS 대응시스템탐지내역 다. 공격트래픽대응 HashDoS 공격에대응하는방법으로 DDoS 대응시스템을이용여공격트래픽을차단하는방법과웹서버를이용하여공격트래픽에대응하는방법에대해살펴보고자한다. 1 DDoS 대응시스템을활용한대응방안 이절에서는 DDoS 대응시스템을활용하여 HashDoS 공격에이용가능한여러가지방어기제를살펴고자한다. 어플리케이션공격유형의경우네트워크공격유형과달리특정공격지주소나프로토콜에의한차단뿐아니라, 별도의인증과정이나패킷의컨텐츠를검사하여공격트래픽을차단할수있다. 35

37 인터넷연동구간 DDoS 공격현황및대응방안 ( 방안 1) Rate-limit 적용 HashDoS 공격의경우 HTTP POST 요청을보내기전에, 다수의 TCP 세션을연결하기때문에 DDoS 대응시스템의 Zombie Removal 기능을사용하여임계치를설정하여공격트래픽을차단할수있다. Zombie Removal 은사용자가 pps 나 bps 임계치를설정하여특정호스트에서임계치를초과하는트래픽이 1 분이상발생되면, 해당호스트를블랙리스트에등록하여트래픽을차단하는기능이다. 그리고트래픽발생량이임계치이하로내려간상태로 1 분이상지속되면자동으로차단이해제된다. 아래그림에서와같이 Zombie Removal 기능은모든호스트에대해적용할수도있지만, Zombie Filter 옵션으로특정호스트나포트등에국한하여적용할수도있다. [ 그림 16] DDoS 대응시스템공격대응 ( 방안 2) TCP SYN/HTTP 인증 TCP SYN 인증기능은 DDoS 대응시스템에서 TCP SYN 패킷에대해서특정 sequence number 로 SYN-ACK 로응답하여호스트가 sequence number +1 로 ACK 응답을하는지확인하여공격패킷인지검증하는기능이다. HTTP 인증기능은 HTTP GET 이나 HEAD 요청패킷에대해 DDoS 대응시스템에서수정된 URI 로 HTTP Redirection 로응답하여해당호스트에서수정된 URI 로재접속으로하는지확인하여공격패킷인지검증하는기능이다. 공격도구는 PC 상의웹브라우저처럼 TCP SYN 인증이나 HTTP Redirection 에적절히대응할수없으므로공격패킷으로판단되어차단된다. ( 방안 3) 컨텐츠필터링 DDoS 대응시스템에서는패킷의컨텐츠를검사하여특정문자열이있는경우트래픽을차단할수있는 Payload Regular Expression 기능을제공하고있다. 따라서 HashDoS 처럼특정문자열의반복이많은경우 Payload 기능을이용하여공격트래픽을차단할수있다. 2 웹서버단의대응방법 Tomcat, PHP, Rudy 등최신버전에서는 HTTP POST 변수의개수를제한할수있는기능이추가되었으므로버전업데이트를통하여 HashDoS 공격에대응할수있다. Tomcat 의경우 - ( 변수개수제한 ) TOMCAT_HOME/conf/server.xml 의 Connector 부분을다음과같이설정 <Connector port= 89 protocol= AJP/1.3 maxparametercount= xxx./> 적용가능버전 : Tomcat , 6..35,

38 인터넷연동구간 DDoS 공격현황및대응방안 - (POST 메시지크기제한 ) 사이즈를제한하는것이서비스에문제가없는경우적용하며, TOMCAT_ HOME/conf/server.xml 의 Connector 부분을다음과같이설정 <Connector port= 89 protocol= AJP/1.3 maxpostsize= xxx./> PHP 의경우 - PHP 5.4. RC4 로업데이트한후, php.ini 파일에서 max_input_var 에서최대 HTTP POST Parameter 개수를설정 - PHP 5.4. RC4 이하인경우, PHP Source 에서소스변경부분을수동으로설정하고 viewvc?view=revision&revision=3213 에서수정된소스를다운받아재빌드하여적용 소스 : PHP_5_4/main/main.c, PHP_5_4/main/php_globas.h, PHP_5_4/main/php_variables.c - 소스빌드가어려운경우, php.ini 에서 max_input_time 을이용하여스레드당최대동작시간을지정 RUDY 의경우 - ruby p357 이상의최신버전으로업데이트 출처 : Denial of service attack was found for Ruby s Hash algorithm (CVE ) Microsoft IIS 의경우 - Microsoft Security Bulletin MS11-1 로패치 출처 : 3 결론 지금까지인터넷연동구간에서발생하는주요 DDoS 공격유형과대응방안을살펴보았다. DDoS 공격의특징은좀비 PC 를통한과도한접속으로네트워크대역폭이나어플리케이션자원을소모시켜사용자가정상적인서비스의이용을불가능하게한다는점이다. 과거 DDoS 공격의대응방안은네트워크대역폭을늘리거나네트워크장비의성능을고도화거나 DDoS 공격발생시공격하는 IP 를상위네트워크에서차단시키는등네트워크측면에서의방어기법이대부분이었다. 그러나 7.7 DDoS, 3.4 DDoS 공격에서도나타났듯이공격방법이기존 DDoS 공격과달리명령 제어서버가존재하지않고악성코드를업데이트하는서버만존재하였으며공격방법도명령 제어서버를통한실시간공격제어를통하지않고스케줄링을통한순차적공격을시도하였다. 때문에기존의네트워크중심의대응아닌사용자중심의대응방법을통해서겨우그공격을멈출수있었다. 즉감염된 PC 를백신으로치료하여악성코드를제거함으로써 DDoS 공격을멈추게하였다. 그러므로 DDoS 공격대응을위해앞서살펴본라우터, DDoS 대응시스템등의네트워크장비단이나웹서버등의어플리케이션단의단계별적절한공격대응및일반사용자의 PC 보안강화가요구된다. 무엇보다중요한것은파급효과는크지만보안의취약지대인 ISP 사이를연결하는인터넷연동구간에정부주도로 DDoS 대응체계를구축하여 DDoS 공격이집중되기전연동구간에서공격을차단하여 1 차방어의역할을하는것이다. DDoS 공격은언제어디서발생할지예측불가능하다. 이런잠재적 DDoS 공격위협에대비하여인터넷연동구간에 DDoS 대응체계를구축하였기때문에 3.4 DDoS, 1.26 중앙선관위 DDoS 공격당시신속하게 DDoS 공격을탐지및차단하여효과적으로대응할수있었다. 따라서인터넷연동구간 DDoS 대응체계확대구축을통해시간이경과될수록파급효과가커지는 DDoS 공격의피해범위를최소화해야할것이다. 37

39 취약점정보수집공격 침입시도 트로이잔 (Trojan) 피싱 (Phishing) 스팸릴레이 (SpamRelay) 허니넷 버퍼오버플로우 (Buffer Overflow) 봇 (Bot) 봇넷 (Botnet) 권한상승 분산서비스거부공격 (DDoS:DistributedDoS) 서비스거부공격 (DoS:Denial of Service) 제로데이공격 (Zeroday Attack) 스캔 (Scan) 웹쉘 (WebShell) SQL 인젝션 (SQL Injection) 대상시스템의운영체제, 설정등을알아보기위하여스캔하는등의행위로주로해킹의사전단계로이용됨 시스템에침입하려고시도하거나, 취약점정보의수집을위해스캔하는등의행위 자기복제능력은없으나정상기능의프로그램으로가장하여프로그램내에숨어있는코드조각으로의도하지않은기능을수행하는컴퓨터프로그램또는실행가능한코드 정상적인웹서버를해킹하여위장사이트를개설한후, 인터넷이용자들의금융정보등을빼내는신종사기수법으로 Bank Fraud, Scam 이라고도함 스팸메일발신자추적을어렵게하기위하여타시스템을스팸메일발송에악용 KISA 인터넷침해대응센터내에설치된시험네트워크로스캔정보를비롯한공격행위, 악성코드등을수집 메모리에할당된버퍼의크기보다더큰데이터를덮어씀으로써호출프로그램으로의복귀오류등을일으켜정상적인프로그램의실행을방해하는대표적인공격기법 운영체제취약점, 비밀번호의취약성, 악성코드의백도어등을이용하여전파되며, 해킹명령전달사이트와의백도어연결등을통하여스팸메일전송이나 DDoS 공격에악용이가능한프로그램또는실행가능한코드 봇에감염된좀비PC 들을모아놓은네트워크 ( 그룹 ) 으로, 해커의명령제어서버 (C&C) 를중심으로다수의봇으로이루어진악성코드집합체를의미 시스템사용에있어제한없이자유자재로사용하기위해시스템에서허용하는권한을상승시키는행위를의미함 예를들면, 해커가일반사용자권한을획득한후 관리자권한 (Root) 을획득하여시스템사용권한을상승 DoS 용에이전트를여러개의시스템에설치하고, 이에이전트를제어하여 DoS 공격을함으로써보다강력한공격을시도할수있으며, 공격자에대한추적및공격트래픽의차단을어렵게만드는공격형태 특정네트워크에서허용하는대역폭을모두소모시키거나, 공격대상 (victim) 시스템의자원 (CPU, 메모리등 ) 을고갈시키거나, 시스템상에서동작하는응용프로그램의오류에대한공격으로서비스를못하도록만드는공격 새로운보안취약점이발견되었을때보안패치가발표되기전에해당취약점을이용한공격이발생하는것을의미하며, 이는취약점에대한공격의신속성이나대처방법이없다는위험성을표현하기도함 공격대상시스템의특성을파악하기위한행위로, 운영체제나서비스중인포트와버전정보등보안취약점을찾아내기위해주로이용 원격에서웹서버를제어할수있도록제작된웹서버공격에가장유용한공격도구로, 웹서버가가지고있는취약점을악용해웹쉘을업로드시켜웹서버를해킹하는데이용하거나, 해킹한웹서버를관리하기위한목적으로설치하기도함 다양한응용프로그램에 S/W 개발자가생각지못한입력및조작으로인해발생하는오류로써, 해커는이를악용하여인증우회, 정보유출, 시스템장애등의다양한공격가능 사례 : 웹프로그램제작시입력값에대한 ( 아이디, 비밀번호등 ) SQL 명령문삽입체크기능을구현하지않은경우, 공격자가임의의악성명령을삽입하여공격성공가능 38

40 Teardrop Attack Open Tear Attack TCP DRDOS Attack UDP Flooding ICMP Flooding Attack GET Flooding CC Attack (Cache-Control Attack) TCP Syn Flooding 데이터를송수신하기위해서는단편화및재조합과정을거치게되는데, 공격자가데이터를과도하게여러조각으로나누거나헤더의필드에비정상적인값을입력하여전송함으로써공격대상시스템이재조합과정에서오류를발생시키도록하는서비스거부공격 단편화 (fragmentation) : 데이터의크기가커서한번에전송할수없을경우패킷을여러개로나누어전송하는것을의미함 재조합 (reassembly) : 데이터를수신한시스템에서단편화 (fragmentation) 된패킷을순서에맞게원래모양대로조합하는것을의미함 일반적인 Teardrop 공격과달리패킷을전송할때데이터가단편화되어있다는신호만보내고실제데이터는전송하지않음으로써공격대상시스템이재조합과정에서오류를발생시키도록하는서비스거부공격 공격자는출발지 IP를공격대상의 IP로위조하여 syn 패킷을다수의반사서버로전송하고, 이들반사서버에서응답하는 syn-ack 패킷이공격대상서버로몰려서비스가거부상태가되는공격 DRDoS : Distributed Reflection Denial of Service 반사서버 (reflection server): DRDoS 에이용되는라우터또는서버 ( 주로웹, DNS 등 ) icmp 프로토콜의 echo request 와 response 를이용하여동일한형태의공격도가능함 UDP 프로토콜을이용하는패킷을대량으로전송하여웹서버의네트워크대역폭을고갈시키는 DDoS 공격 UDP(User Datagram Protocol) : 인터넷상의컴퓨터들사이에서데이터를메시지의형태로보내기위해사용되는프로토콜로, 데이터가목적지로정확히전달되었는지보장하지않음 ICMP 프로토콜을이용하는패킷을대량으로전송하여웹서버의네트워크대역폭을고갈시키는 DDoS 공격 ICMP(Internet Control Message Protocol) : 호스트와서버사이에서메시지를제어하고에러발생을알려주는프로토콜 HTTP 프로토콜의 GET method 를대량으로전송하여웹서버자원을고갈시키는 DDoS 공격 GET method : 특정홈페이지에접속할때화면을접속자의웹브라우저에보여주기위해필요한파일을웹서버로부터받아오기위해사용하는 HTTP 지시자 서버에과부하를일으켜시스템을다운시키는형태의공격으로, HTTP 의 user-agent 속성에 cache-control 부분을임의로수정하여서버로부터받은데이터를 client cache 에저장하지않고계속적으로요청하여웹서버와 DB 등에부하를주는공격 cache-control : 웹브라우저나웹서버캐시의동작을조종하는 HTTP 헤더항목 9 년 7.7 DDoS 가대표적인사례, 좀비PC 1대가초당 6~1 여회요청해과부하발생 TCP 연결특성을이용한 DoS 공격의일종으로 Unreachable 한주소로 IP 를위조하여 Syn 을 보내서대상시스템이더이상의연결요청을받아들일수없도록만드는공격 39

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코 월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3.

More information

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B 월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2012. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 10

More information

*****

***** Korea Internet & Security Agency 21 2 본 보고서 내용의 전부나 일부를 인용하는 경우에는 반드시 출처 [자료:한국인터넷진흥원 인터넷침해대응센터]를 명시하여 주시기 바랍니다. CONTENTS 1 2 2 2 3 3 4 5 5 6 6 7 9 1 12 12 13 13 14 16 18 2 21 22 22 34 37 38 1 212 Bot

More information

*

* Korea Internet & Security Agency 29 12 CONTENTS 1 3 4 5 6 6 7 9 1 13 14 16 18 23 56 59 61 Windows XP SP1 Windows 2 SP4 1 2912 Bot 326 49 2.3 73 73 239 215 11.2% 256 199 28.6% 25 115 117.4% Bot 8,469 46

More information

ÀÎÅÍ³Ý ÁøÈï¿ø 5¿ù

ÀÎÅÍ³Ý ÁøÈï¿ø 5¿ù 21 5 Korea Internet & Security Agency CONTENTS 2 3 3 3 4 4 5 6 6 7 7 8 11 12 14 14 15 15 16 18 2 22 23 24 24 32 35 36 2 215 Bot 1,7511,315 33.2% 1,621,468 27.7% 285 431 33.9% 295 12 6.9% 44 396 2.% 132

More information

UDP Flooding Attack 공격과 방어

UDP Flooding Attack 공격과 방어 황 교 국 (fullc0de@gmail.com) SK Infosec Co., Inc MSS Biz. Security Center Table of Contents 1. 소개...3 2. 공격 관련 Protocols Overview...3 2.1. UDP Protocol...3 2.2. ICMP Protocol...4 3. UDP Flood Test Environment...5

More information

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770> 웹하드서비스를통해생성된 Botnet 을이용한 DDoS 공격피해사례 2009. 12. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국인터넷침해대응센터 (KrCERT)] 를명시하여주시기바랍니다. - 1 - 1. 개요 최근발생하고있는 DDoS 사례들을분석해보면그방식들이점점지능화되고조직화되고있다는것을확인할수있다. 또한 DDoS 공격의목적도과거자기과시또는정치적인이유의단순한목적에서벗어나금전적이득을취하거나경쟁업체의영업을방해하기위한목적으로점차기업화되고있기도하다.

More information

1-1 5 월보안이슈 국내금융기관 ( 은행 ) 웹사이트의파밍 (Pharming) 사례가발생하여이용자들의주의가요구됨 - PC 의 hosts 파일이변조되어정상적인은행홈페이지주소를입력해도해커가만든피싱사이트로접속되고, 보안승급신청화면을가장해주민등록번호, 이체비밀번호, 보안카드

1-1 5 월보안이슈 국내금융기관 ( 은행 ) 웹사이트의파밍 (Pharming) 사례가발생하여이용자들의주의가요구됨 - PC 의 hosts 파일이변조되어정상적인은행홈페이지주소를입력해도해커가만든피싱사이트로접속되고, 보안승급신청화면을가장해주민등록번호, 이체비밀번호, 보안카드 5 212 Vol.5 May CONTENTS 2 page 1. 월간동향요약 1-1. 5월보안이슈 2 1-2. 주요보안권고 2 1-3. 침해사고통계분석요약 3 1-4. 침해사고위협분석요약 4 5 page 2. 침해사고통계분석 2-1. 악성코드피해신고통계분석 5 2-2. 해킹사고접수처리통계분석 7 15 page 3. 침해사고위협분석 3-1. 악성코드은닉사이트 15

More information

< F5320B4EBC0C0C0E5BAF1BFA120B4EBC7D120BAB8BEC8B1E2B4C920B0A1C0CCB5E528C3D6C1BE292E687770>

< F5320B4EBC0C0C0E5BAF1BFA120B4EBC7D120BAB8BEC8B1E2B4C920B0A1C0CCB5E528C3D6C1BE292E687770> DDoS 대응장비보안기능요구사항 2010. 1 IT 보안인증사무국 목차 1. 소개 1 1.1 참고 1 1.2 목적및범위 1 1.3 문서구조 2 2. DDoS 공격유형및대응기술 3 2.1 DDoS 공격유형 3 2.2 DDoS 대응장비구성방식 6 3. DDoS 공격대응을위한보안기능 7 4. DDoS 대응장비시험방법 8 1. 1.1 소개 참조 본요구사항의식별정보는다음과같다.

More information

ìœ€íŁ´IP( _0219).xlsx

ìœ€íŁ´IP( _0219).xlsx 차단 IP 국적 공격유형 목적지포트 IPS 룰 180.97.215.45 중국 서비스취약점공격 TCP/5555 (0001)SYN Port Scan 222.186.42.248 중국 서비스취약점공격 TCP/80 (0001)SYN Port Scan 104.236.178.166 미국 웹해킹 TCP/80 (5010)HEAD / HTTP (Http server buffer

More information

354-437-4..

354-437-4.. 357 358 4.3% 5.1% 8.2% 6.2% 5.6% 6% 5% 5.3% 96.1% 85.2% 39.6% 50.8% 82.7% 86.7% 28.2% 8.0% 60.0% 60.4% 18,287 16,601 (%) 100 90 80 70 60 50 40 86.6% 80.0% 77.8% 57.6% 89.7% 78.4% 82.1% 59.0% 91.7% 91.4%

More information

ÀÎÅÍ³Ý ÁøÈï¿ø 3¿ù ÀúÇØ»ó

ÀÎÅÍ³Ý ÁøÈï¿ø 3¿ù ÀúÇØ»ó Korea Internet & Security Agency 21 3 CONTENTS 1 2 2 2 3 3 4 5 5 6 6 7 9 1 12 12 13 13 14 16 18 2 21 22 22 31 34 35 1 213 Bot 1,85 1,32 16.7 1,53 1,76 12.1 222 317 3. 116 16 9.4% 345 23 5.% 267 233 14.6%

More information

untitled

untitled Oracle DBMS 로그인의접근제어우회 취약점분석 2006. 2. 9 인터넷침해사고대응지원센터 (KISC) 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 룰명시하여주시기바랍니다. 개요 o 2005년이후 Oracle Critical Patch Update(CPU) 는 Oracle사제품대상으로다수의보안패치및보안패치와관련된일반패치를발표하는주요수단임

More information

본보고서내용의전부나일부를인용하는경우에는반드시출처 [ 자료 : 한국인터넷진흥원인터넷침해대응센터 ] 를명시하여주시기바랍니다.

본보고서내용의전부나일부를인용하는경우에는반드시출처 [ 자료 : 한국인터넷진흥원인터넷침해대응센터 ] 를명시하여주시기바랍니다. 211 Vol.7 7 본보고서내용의전부나일부를인용하는경우에는반드시출처 [ 자료 : 한국인터넷진흥원인터넷침해대응센터 ] 를명시하여주시기바랍니다. Contents 월간동향요약 : 핫이슈, 주요보안권고, 통계요약 2 1. 침해사고통계분석 3 1-1. 침해사고증감추이 3 1-2. 침해사고통계요약 3 1-3. 악성코드통계현황 4 악성코드신고건수추이 주요악성코드현황 1-4.

More information

제20회_해킹방지워크샵_(이재석)

제20회_해킹방지워크샵_(이재석) IoT DDoS DNS (jaeseog@sherpain.net) (www.sherpain.net) DDoS DNS DDoS / DDoS(Distributed DoS)? B Asia Broadband B Bots connect to a C&C to create an overlay network (botnet) C&C Provider JP Corp. Bye Bye!

More information

시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 /

시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 / 시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 / 팀장나병윤!dewymoon@pgpnet.com 주요내용 시스템모니터링! 패킷크기와장비의 CPU 및 Memory 사용량! SNMP를장비의상태관찰 비정상적인트래픽모니터링! Packet 분석기의다양한트래픽모니터링도구를이용한비정상적인트래픽관찰!

More information

*2008년1월호진짜

*2008년1월호진짜 3. USB 이동식저장장치를이용하여전파되는악성코드분석 1. 개 요 최근 USB 이동식 저장장치를 통하여 전파되는 악성코드에 대한 감염피해가 증가하고 있어 주의가 필요하다. 이번에 확인된 ntion.exe 악성코드는 감염 시, 특정 사이트에 접속하여 추가 악성코드를 다운로드하는 Dropper 기능을 수행한다. 또한, 웹 서버가 감염될 경우는 웹 서버내의 웹 페이지가

More information

#WI DNS DDoS 공격악성코드분석

#WI DNS DDoS 공격악성코드분석 #WI-13-025 2013-07-19 내용요약 이보고서는 7 월 15 일 Fortinet 의 Kyle Yang 이작성한 6.25 DNS DDoS Attack In Korea 를참고하여작성된것임 공격대상이된 DNS 서버는 ns.gcc.go.kr 과 ns2.gcc.go.kr 로, 악성코드에 감염된좀비 PC 는 DNS 서버에대한도메인확인질의에대한응답을두 타깃으로보내지도록하는방법을이용하였음

More information

Microsoft Word - NAT_1_.doc

Microsoft Word - NAT_1_.doc NAT(Network Address Translation) 1. NAT 개요 1 패킷의 IP 헤더의수신지주소, 발신지주소또는그주소를다른주소로변경하는과정 2 NAT기능을갖는장치를 NAT-BOX라함 ( 시스코라우터, 유닉스시스템, 윈도우의호스트혹은몇개의다른시스템일수있기때문에이렇게지칭하기도함 ) 3 NAT 기능을갖는장치는일반적으로스텁도메인 (Stub-domain)

More information

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부 월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황

More information

<31305FBEC6C0CCC5DB2E687770>

<31305FBEC6C0CCC5DB2E687770> 1. 개요분산서비스거부공격 (Distribute Denial of Service) 은공격의대상이되는서버에서비스장애를 발생시킬뿐만아니라, 네트워크의안정성에도위협이되고있으므로각별한주의가필요하다. 최근, 실제로국내인터넷사용 PC가분산서비스거부공격 (DDoS) 을위한 Agent 로악용되어대량의트래픽을발생하여, 국내일부게임아이템거래사이트에서비스장애를유발시킨사고가발생하였다.

More information

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환 취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit 2012-07-19 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Simple Web Server 취약점... 2 2.1. Simple Web Server 취약점개요... 2 2.2. Simple

More information

인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 183.8

인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 183.8 차단 IP 국적 공격유형 목적지포트 IPS 룰 222.119.190.175 한국 서비스취약점공격 TCP/110 #14713(POP3 Login Brute Force Attempt-2/3(count 30 seconds 10)) 52.233.160.51 네덜란드 웹해킹 TCP/80 Apache Struts Jakarta Multipart Parser Remote

More information

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 월간악성코드은닉사이트탐지 동향보고서 5 월 침해사고대응단인터넷침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황

More information

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부 월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황

More information

유포지탐지동향

유포지탐지동향 월간악성코드은닉사이트탐지 동향보고서 (7 월 ) 2014. 08. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13 3. 악성코드은닉사례분석

More information

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10 (https://www.kisarbl.or.kr) < 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10 Ⅰ. 개요 실시간스팸차단리스트 (RBL) 는메일서버를운영하는누구나손쉽게효과적으로스팸수신을차단하는데이용할수있도록한국인터넷진흥원 (KISA)

More information

Cisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2

Cisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2 SDN DDoS (whchoi@cisco.com) Cisco Systems Korea 2008 Cisco Systems, Inc. All rights reserved. 1 Cisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2 Cisco SDN 3.0

More information

인터넷침해사고 동향및분석월보 2011 Vol.12 12

인터넷침해사고 동향및분석월보 2011 Vol.12 12 인터넷침해사고 동향및분석월보 211 Vol.12 12 본보고서내용의전부나일부를인용하는경우에는반드시출처 [ 자료 : 한국인터넷진흥원인터넷침해대응센터 ] 를명시하여주시기바랍니다. Contents 핫이슈, 주요보안권고, 통계요약 1-1. 침해사고증감추이 3 1-2. 침해사고통계요약 3 1-3. 악성코드통계현황 4 악성코드피해신고건수추이 주요악성코드피해신고현황 1-4.

More information

SMB_ICMP_UDP(huichang).PDF

SMB_ICMP_UDP(huichang).PDF SMB(Server Message Block) UDP(User Datagram Protocol) ICMP(Internet Control Message Protocol) SMB (Server Message Block) SMB? : Microsoft IBM, Intel,. Unix NFS. SMB client/server. Client server request

More information

<3035303432365FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

<3035303432365FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770> 개 요 홈페이지 해킹 현황 및 사례 홈페이지 개발시 보안 취약점 및 대책 주요 애플리케이션 보안 대책 결 론 참고자료 [부록1] 개발 언어별 로그인 인증 프로세스 예제 [부록2] 대규모 홈페이지 변조 예방을 위한 권고(안) [부록3] 개인정보의 기술적 관리적 보호조치 기준(안) [부록4] 웹 보안관련 주요 사이트 리스트 7000 6,478 6000 5000

More information

21 8 Korea Internet & Security Agency CONTENTS 2 3 3 3 4 4 5 6 6 7 7 8 11 12 14 14 15 15 16 18 2 22 23 24 24 33 36 37 2 218 Bot 1,45 1,69 12.7% 1,644 1,3 26.5% 666 556 19.8% 25 66 24.2% 423 44 4.7% 323

More information

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University Outline Network Network 구조 Source-to-Destination 간 packet 전달과정 Packet Capturing Packet Capture 의원리 Data Link Layer 의동작 Wired LAN Environment

More information

Microsoft PowerPoint - 4. 스캐닝-2.ppt [호환 모드]

Microsoft PowerPoint - 4. 스캐닝-2.ppt [호환 모드] 정보보호 Scanning 목차 Ⅳ. 스캐닝 (Scanning) 1. 활성화된호스트식별 ping 침투테스트범위에있는 IP주소만목록화 현재동작중인시스템확인 ping Echo request 메시지를강제종료전까지계속전송 Echo request 메시지를 4 개전송후, 자동으로종료 Ping - ICMP(Internet Control messaging Protocol)

More information

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2 월간악성코드은닉사이트탐지 동향보고서 (1 월 ) 2015. 02. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 3 2.1 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP10 4 - 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황

More information

The Pocket Guide to TCP/IP Sockets: C Version

The Pocket Guide to  TCP/IP Sockets: C Version 인터넷프로토콜 5 장 데이터송수신 (3) 1 파일전송메시지구성예제 ( 고정크기메시지 ) 전송방식 : 고정크기 ( 바이너리전송 ) 필요한전송정보 파일이름 ( 최대 255 자 => 255byte 의메모리공간필요 ) 파일크기 (4byte 의경우최대 4GB 크기의파일처리가능 ) 파일내용 ( 가변길이, 0~4GB 크기 ) 메시지구성 FileName (255bytes)

More information

index 1. DOS 1.1 Definition of DoS (Denial Of Services) 1.2 DoS attack in Network 1) ICMP Flooding 2) SYN Flooding (SYNF) 3) Land Attack 2. DDOS 2.1 D

index 1. DOS 1.1 Definition of DoS (Denial Of Services) 1.2 DoS attack in Network 1) ICMP Flooding 2) SYN Flooding (SYNF) 3) Land Attack 2. DDOS 2.1 D DoS, DDoS 1012 1705 사이버경찰학과 홍윤기 index 1. DOS 1.1 Definition of DoS (Denial Of Services) 1.2 DoS attack in Network 1) ICMP Flooding 2) SYN Flooding (SYNF) 3) Land Attack 2. DDOS 2.1 Definition of DDOS (Distribute

More information

Microsoft PowerPoint - 4.스캐닝-1(11.08) [호환 모드]

Microsoft PowerPoint - 4.스캐닝-1(11.08) [호환 모드] 정보보호 Scanning (1) 목차 Ⅳ. 스캐닝 (Scanning) 1. 활성화된호스트식별 ping 침투테스트범위에있는 IP 주소만목록화 현재동작중인시스템확인 Ping - ICMP(Internet Control messaging Protocol) 패킷을사용 - echo request, echo reply 패킷 - target 시스템이 off상태이거나, ICMP패킷을차단하는경우

More information

게시판 스팸 실시간 차단 시스템

게시판 스팸 실시간 차단 시스템 오픈 API 2014. 11-1 - 목 차 1. 스팸지수측정요청프로토콜 3 1.1 스팸지수측정요청프로토콜개요 3 1.2 스팸지수측정요청방법 3 2. 게시판스팸차단도구오픈 API 활용 5 2.1 PHP 5 2.1.1 차단도구오픈 API 적용방법 5 2.1.2 차단도구오픈 API 스팸지수측정요청 5 2.1.3 차단도구오픈 API 스팸지수측정결과값 5 2.2 JSP

More information

Windows 8에서 BioStar 1 설치하기

Windows 8에서 BioStar 1 설치하기 / 콘텐츠 테이블... PC에 BioStar 1 설치 방법... Microsoft SQL Server 2012 Express 설치하기... Running SQL 2012 Express Studio... DBSetup.exe 설정하기... BioStar 서버와 클라이언트 시작하기... 1 1 2 2 6 7 1/11 BioStar 1, Windows 8 BioStar

More information

*2월완결

*2월완결 8 November 월간특집 MS8-67을이용하여전파되는악성코드분석 인터넷침해사고동향및분석월보 본보고서내용의전부나일부를인용하는경우에는반드시출처 [ 자료 : 한국정보보호진흥원인터넷침해사고대응지원센터 ] 를명시하여주시기바랍니다. Contents Part Part Part 3 월간동향요약침해사고통계분석 -. 증감추이 ( 전년, 전월대비 ) -. 침해사고통계요약 -3.

More information

Secure Programming Lecture1 : Introduction

Secure Programming Lecture1 : Introduction Malware and Vulnerability Analysis Lecture4-1 Vulnerability Analysis #4-1 Agenda 웹취약점점검 웹사이트취약점점검 HTTP and Web Vulnerability HTTP Protocol 웹브라우저와웹서버사이에하이퍼텍스트 (Hyper Text) 문서송수신하는데사용하는프로토콜 Default Port

More information

< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770>

< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770> 악성코드유포지 경유지의공격코드와보안취약점 1. 개요 본고에서는인터넷침해사고대응지원센터에서자체개발 적용하고있는악성코드은닉사이트탐지프로그램에서 2006년 1월부터 3월까지탐지한사이트중 50개를대상으로공격코드및관련소프트웨어취약점을분석한다. 먼저 ( 그림 1) 에서악성코드유포와경유지를구분하고, 2005년이후게재되었던 인터넷침해사고동향및분석월보 관련기사를해당부분에적어보았다.

More information

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc 분석보고서 이동현 (dhclub20@naver.com) SK Infosec Co., Inc MSS 사업본부침해대응팀모의해킹파트 Table of Contents 1. 개요... 3 1.1. 배경... 3 1.2. 목적... 3 2. 공격분석... 4 2.1. Cookie Injection... 4 2.2. Cookie Injection의발생원인... 5 2.3.

More information

DoS 공격의유형분석및탐지방법 (Monitoring and Investigation of DoS Attack) 영산대학교 사이버경찰학과 이성진

DoS 공격의유형분석및탐지방법 (Monitoring and Investigation of DoS Attack) 영산대학교 사이버경찰학과 이성진 DoS 공격의유형분석및탐지방법 (Monitoring and Investigation of DoS Attack) 영산대학교 사이버경찰학과 이성진 목차 1. 증상 2. DoS 기술의방법과대응 - Ping of death - SYN Flooding - LAND Attack - SMURF Attack 3. DDoS 공격의예방과대응 서비스거부공격 (DoS, Denial

More information

untitled

untitled 웹쉘의현황및분석 2007. 2. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 를명시하여주시기바랍니다. 1. 개요 일반적으로웹서비스에는게시판이나자료실과같은파일을첨부하는기능을포함한다. 이때 txt, jpg, doc와같은데이터파일종류이외에악의적으로제작된스크립트파일인웹쉘을업로드하여해킹하는사고가빈번히발생하고있다. 이와같이서버명령을실행할수있는

More information

Microsoft PowerPoint - ch13.ppt

Microsoft PowerPoint - ch13.ppt chapter 13. 네트워크보안과 ACL 한빛미디어 -1- 학습목표 계층별네트워크보안이슈 시스코라우터의 ACL 시스코라우터의 ACL 설정 한빛미디어 -2- 계층별네트워크보안이슈 데이터링크계층보안 ARP 스푸핑 MAC 플러딩 한빛미디어 -3- 계층별네트워크보안이슈 방화벽 [ 그림 ] 방화벽구조 한빛미디어 -4- 계층별네트워크보안이슈 침입탐지시스템 (IDS)

More information

슬라이드 1

슬라이드 1 TCPdump 사용법 Neworks, Inc. (Tel) 070-7101-9382 (Fax) 02-2109-6675 ech@pumpkinne.com hp://www.pumpkinne.co.kr TCPDUMP Tcpdump 옵션 ARP 정보 ICMP 정보 ARP + ICMP 정보 IP 대역별정보 Source 및 Desinaion 대역별정보 Syn 과 syn-ack

More information

TGDPX white paper

TGDPX white paper White Paper DDoS 공격 대응의 새로운 패러다임 AhnLab TrusGuard DPX Revision Version: AhnLab TrusGuard DPX White Paper ver. 1.0 Release Date: April, 2010 AhnLab, Inc. 6th Fl., CCMM Bldg. 12 Yeouido-dong, Yeongdeungpo-gu,

More information

<C0CCC8ADC1F82E687770>

<C0CCC8ADC1F82E687770> 분석보고서 09. 11. 06. 작성 악성봇분석과예방 (Analysis Malicious Bot & Protection) 작성자 : 영남대학교 @Xpert 이화진 ghkwls0308@ynu.ac.kr - 1 - - 목차 - 1. About 봇... 3 1) 봇의정의 2) 봇의특징 3) 봇의동작원리 2. 악성 IRC봇... 4 1) 정의 2) 동작원리 3) 증상

More information

AhnLab_template

AhnLab_template 해킹과침해대응 웹해킹과대응 2013. 10. 17 ( 목 ) 안랩 ASEC 대응팀문영조 Contents 01 웹해킹과취약점 02 웹해킹기법에대한이해 03 웹해킹과침해대응 04 결론 01 웹해킹과취약점 개요 01. 웹해킹과취약점 < 출처 - IBM X-Force 2012 Annual Trend & Risk Report> 4 개요 01. 웹해킹과취약점 웹해킹 (Web

More information

PowerPoint Template

PowerPoint Template 설치및실행방법 Jaewoo Shim Jun. 4. 2018 Contents SQL 인젝션이란 WebGoat 설치방법 실습 과제 2 SQL 인젝션이란 데이터베이스와연동된웹서버에입력값을전달시악의적동작을수행하는쿼리문을삽입하여공격을수행 SELECT * FROM users WHERE id= $_POST[ id ] AND pw= $_POST[ pw ] Internet

More information

<3035313230325FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

<3035313230325FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770> 네트워크 장비의 디폴트 로그인 패스워드 취약점 및 대책 2005. 11. 30 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]룰 명시하여 주시기 바랍니다. - 1 - 1. 개요 패스워드 관리는 보안의 가장 기본적인 사항으로 유추하기 어려운 패스워드를 사용하고, 주기적 으로 패스워드를 변경하는 등 패스워드 관리에 신경을 많이 쓰고

More information

POSTECH DDoS 대응 매뉴얼

POSTECH DDoS 대응 매뉴얼 POSTECH DDoS 공격대응매뉴얼 학술정보처 정보기술팀 2 POSTECH DDoS 대응매뉴얼 POSTECH DDoS 대응매뉴얼 3 제 개정이력 연번일시제 개정비고 1 2015.12 제정 4 POSTECH DDoS 대응매뉴얼 POSTECH DDoS 대응매뉴얼 5 목차 Ⅰ. 개요... 7 1. 목적... 7 2. DDoS 공격정의... 7 Ⅱ. DDoS 공격대응체계...

More information

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환 취약점분석보고서 [Photodex ProShow Producer v5.0.3256] 2012-07-24 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Photodex ProShow Producer Buffer Overflow 취약점분석... 2 2.1. Photodex ProShow Producer Buffer

More information

5th-KOR-SANGFOR NGAF(CC)

5th-KOR-SANGFOR NGAF(CC) NGAF Firewall Platform 새로운 세상, 새로운 IT, 새로운 보안 SANGFOR 보안 개념 SAN GFO NGF W+ R NG AF WAF WAF 2010년대 IT산업이 급속하게 발전함에 따라 모든 애플리케이션과 서비스, 그리고 기기들은 BYOD, 사물인터넷(IoT), 클라우드 등과 같은 새로운 기술로 인터넷을 통해 연결되고 있습니다. 이는

More information

Microsoft Word - src.doc

Microsoft Word - src.doc IPTV 서비스탐색및콘텐츠가이드 RI 시스템운용매뉴얼 목차 1. 서버설정방법... 5 1.1. 서비스탐색서버설정... 5 1.2. 컨텐츠가이드서버설정... 6 2. 서버운용방법... 7 2.1. 서비스탐색서버운용... 7 2.1.1. 서비스가이드서버실행... 7 2.1.2. 서비스가이드정보확인... 8 2.1.3. 서비스가이드정보추가... 9 2.1.4. 서비스가이드정보삭제...

More information

*2월완결

*2월완결 34203 March 3 월간특집 도박게임 설치 프로그램을 악용한 악성코드 감염사례 분석 인터넷침해사고 동향및분석월보 본보고서내정부승인통계 ( 승인번호제 34203 호, 통계작성기관 : 한국정보보호진흥원 ) 는웜 바이러스피해신고, 해킹 ( 스팸릴레이, 피싱경유지, 단순침입시도, 기타해킹, 홈페이지변조 ) 에한하며, 침해사고동향분석에대한이해를돕기위하여기술된악성봇감염률,

More information

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론 이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론 2. 관련연구 2.1 MQTT 프로토콜 Fig. 1. Topic-based Publish/Subscribe Communication Model. Table 1. Delivery and Guarantee by MQTT QoS Level 2.1 MQTT-SN 프로토콜 Fig. 2. MQTT-SN

More information

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 년 6 월

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 년 6 월 메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 1.0 2016 년 6 월 목 차 I. 개요 1 1. SPF( 메일서버등록제) 란? 1 2. SPF 를이용한이메일인증절차 1 II. qmail, SPF 인증모듈설치

More information

<4D F736F F F696E74202D D203120C3D6B1D920C1A4BAB8BAB8C8A320C0A7C7F9B0FA20C4A7C7D8BBE7B0ED20B5BFC7E220B1E8C8ABBCAE202E707

<4D F736F F F696E74202D D203120C3D6B1D920C1A4BAB8BAB8C8A320C0A7C7F9B0FA20C4A7C7D8BBE7B0ED20B5BFC7E220B1E8C8ABBCAE202E707 최근정보보호위협과 침해사고동향 김홍석보안프로그램매니저고객지원부한국마이크로소프트 해킹으로부터안전하고 바이러스걱정도안하고 보안취약점염려도없이 컴퓨터를가장안전하게사용하는 방법은? 컴퓨터를네트워크에연결하지않고 CD, 디스켓, USB 메모리를사용하지않는다 한국정보보호진흥원 (KISA) 2006. 12. * 정보통신부 Dynamic u-korea 정보보호강화사업결과물

More information

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉 월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2014. 03. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 15 3. 악성코드은닉사례분석

More information

Oracle hacking 작성자 : 임동현 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용

Oracle hacking 작성자 : 임동현 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용 Oracle hacking 작성자 : 임동현 (ddongsbrk@naver.com) 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용 Skill List 1. Oracle For Pentest 1. Find TNS Listener (Default 1521 port) (with nmap or amap) 2. Get the

More information

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자 SQL Developer Connect to TimesTen 유니원아이앤씨 DB 팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 2010-07-28 작성자 김학준 최종수정일 2010-07-28 문서번호 20100728_01_khj 재개정이력 일자내용수정인버전

More information

2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1

2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1 악성코드은닉사이트탐지 동향보고서 17 년상반기 1 ` 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 4 2.1 악성코드유포지현황 4 - 유포지탐지현황 4 - 대량경유지가탐지된유포지 TOP10 5 - 악성코드취약점및취약한 S/W 악용현황 6 - 악성코드유형별비율 7 - 위협 IP 및도메인현황 8 2.2 악성코드경유지현황 9 - 경유지탐지 업종별비율

More information

<5BB5BFB8EDB4EB2D E4B5D C0A5BDA9C0C720BAD0BCAEB0FA20B4EBC0C020B9E6BEC82E687770>

<5BB5BFB8EDB4EB2D E4B5D C0A5BDA9C0C720BAD0BCAEB0FA20B4EBC0C020B9E6BEC82E687770> 기술문서 08. 10. 25. 작성 PHP 기반웹쉘의동작원리와공개웹쉘의기능분석및대응방안 작성자 : 동명대학교 THINK 정정홍 (zeratul621@naver.com) 1. 시작하면서 p. 2 2. 웹쉘의동작원리 p. 3 3. r57shell p. 5 4. kcwebtelnet p. 9 5. phpremoteview p. 10 6. 웹쉘대응방안 p. 12 동명대학교정보보호동아리

More information

Cloud Friendly System Architecture

Cloud Friendly System Architecture -Service Clients Administrator 1. -Service 구성도 : ( 좌측참고 ) LB(LoadBlancer) 2. -Service 개요 ucloud Virtual Router F/W Monitoring 개념 특징 적용가능분야 Server, WAS, DB 로구성되어 web service 를클라우드환경에서제공하기위한 service architecture

More information

Microsoft PowerPoint - 2.Catalyst Switch Intrastructure Protection_이충용_V1 0.ppt [호환 모드]

Microsoft PowerPoint - 2.Catalyst Switch Intrastructure Protection_이충용_V1 0.ppt [호환 모드] Catalyst Switch Infrastructure Protection Cisco Systems Korea SE 이충용 (choolee@cisco.com) Overview DoS (Denial of Service) 공격대상 - Server Resource - Network Resource - Network devices (Routers, Firewalls

More information

<4D6963726F736F667420576F7264202D2033BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

<4D6963726F736F667420576F7264202D2033BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378> 목차 Part Ⅰ. 2 월의 악성코드 통계 1. 악성코드 통계... 2 (1) 감염 악성코드 Top 15... 2 (2) 카테고리별 악성코드 유형... 3 (3) 카테고리별 악성코드 비율 전월 비교... 3 (4) 월별 피해 신고 추이... 4 (5) 월별 악성코드 DB 등록 추이... 4 2. 악성코드 이슈 분석 악성코드 종합 선물셋트 Bredolab Worm...

More information

*2월완결

*2월완결 2 May 27 5 인터넷침해사고동향및분석월보 본보고서내정부승인통계는웜 바이러스피해신고건수, 해킹 ( 스팸릴레이, 피싱경유지, 단순침입시도, 기타해킹, 홈페이지변조건수 ) 에한하며, 침해사고동향분석에대한이해를돕기위하여기술된악성봇감염률, PC 생존시간, 허니넷통계등은해당되지않습니다. 본보고서내용의전부나일부를인용하는경우에는반드시출처 [ 자료 : 한국정보보호진흥원인터넷침해사고대응지원센터

More information

Contents 월간동향요약 2. 침해사고통계분석 3 -. 증감추이 ( 전월대비 ) 3-2. 침해사고통계요약 3-3. 침해사고통계현황 4 웜 바이러스신고건수추이 주요웜 바이러스별현황 -4. 해킹 6 해킹사고접수처리건수추이 피해기관별분류 피해운영체제별분류 피싱경유지신고처

Contents 월간동향요약 2. 침해사고통계분석 3 -. 증감추이 ( 전월대비 ) 3-2. 침해사고통계요약 3-3. 침해사고통계현황 4 웜 바이러스신고건수추이 주요웜 바이러스별현황 -4. 해킹 6 해킹사고접수처리건수추이 피해기관별분류 피해운영체제별분류 피싱경유지신고처 Contents 월간동향요약 2. 침해사고통계분석 3 -. 증감추이 ( 전월대비 ) 3-2. 침해사고통계요약 3-3. 침해사고통계현황 4 웜 바이러스신고건수추이 주요웜 바이러스별현황 -4. 해킹 6 해킹사고접수처리건수추이 피해기관별분류 피해운영체제별분류 피싱경유지신고처리현황 홈페이지변조사고처리현황 악성봇 (Bot) 현황 2. 허니넷 / 트래픽분석 3 2-.

More information

Microsoft PowerPoint - L4-7Switch기본교육자료.ppt

Microsoft PowerPoint - L4-7Switch기본교육자료.ppt L4-7 Switch 기본교육자료 Pumpkin Networks. Inc. http://www.pumpkinnet.co.kr (Tel) 02-3280-9380 (Fax) 02-3280-9382 info@pumpkinnet.co.kr 기본개념 L4/L7 Switch 란? -2- 기본개념 - Switching & Routing Switching & Routing

More information

untitled

untitled 디렉토리리스팅취약점을이용한게임 DB 서버해킹사고 2006. 8. 3 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 를명시하여주시기바랍니다. 1. 개요중국발해킹의표적이온라인게임서버에까지이어지고있다. 특히중국에는현재수많은게임작업장이있으며, 이곳에서는많은중국인들이단순히게임을즐기는것이아니라아이템매매로인한금전적인이득을목적으로한범죄행위를하고있다.

More information

Microsoft PowerPoint - thesis_rone.ppt

Microsoft PowerPoint - thesis_rone.ppt 엔터프라이즈네트워크에서인터넷웜의실시간탐지방법 포항공과대학교정보통신대학원정보통신학과 분산시스템과네트워크관리연구실 2005 년 12 월 21 일 조룡권 rone@postech.ac.kr 목차 서론 연구의필요성과목표 관련연구 인터넷웜탐지알고리즘 웜트래픽발생툴 알고리즘의검증 네트워크에서의탐지결과분석 결론 (2) 서론 (1) 인터넷웜은전파속도가빠르고네트워크의마비를일으킴

More information

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for 메일서버등록제(SPF) 인증기능적용안내서 (Exchange 2003 - Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for Exchange 2016 년 6 월 - 1 - 목 차 I. 개요 1 1. SPF( 메일서버등록제)

More information

F O C U S 3 홈페이지를통한악성코드유포및대응방안 FOCUS 고민석 *, 김홍석 **, 이용준 ***, 박정환 **** 최근홈페이지, 웹하드등을해킹하여악성코드를은닉시킴으로써, 접속하는이용자PC를악성코드에감염시키는피해가증가하고있다. 홈페이지, 웹하드는이용자접속이많아

F O C U S 3 홈페이지를통한악성코드유포및대응방안 FOCUS 고민석 *, 김홍석 **, 이용준 ***, 박정환 **** 최근홈페이지, 웹하드등을해킹하여악성코드를은닉시킴으로써, 접속하는이용자PC를악성코드에감염시키는피해가증가하고있다. 홈페이지, 웹하드는이용자접속이많아 F O C U S 3 홈페이지를통한악성코드유포및대응방안 고민석 *, 김홍석 **, 이용준 ***, 박정환 **** 최근홈페이지, 웹하드등을해킹하여악성코드를은닉시킴으로써, 접속하는이용자PC를악성코드에감염시키는피해가증가하고있다. 홈페이지, 웹하드는이용자접속이많아악성코드유포가용이하다는점때문에해커는최대한많은접속자를악성코드에감염시켜금융정보를탈취하거나, APT공격의전단계로써정보수집을목적으로한다.

More information

NTP 서버보안가이드 침해사고분석단취약점점검팀 김정호선임연구원 ( ) 본보고서의전부나일부를인용시, 반드시 [ 자료 : 한국인터넷진흥원 (KISA)] 를명시하여주시기바랍니다

NTP 서버보안가이드 침해사고분석단취약점점검팀 김정호선임연구원 ( ) 본보고서의전부나일부를인용시, 반드시 [ 자료 : 한국인터넷진흥원 (KISA)] 를명시하여주시기바랍니다 NTP 서버보안가이드 침해사고분석단취약점점검팀 김정호선임연구원 ( jungho@kisa.or.kr ) 2015. 1. 본보고서의전부나일부를인용시, 반드시 [ 자료 : 한국인터넷진흥원 (KISA)] 를명시하여주시기바랍니다 제 1 장개요 1 제 2 장 NTP 취약점 4 1. NTP 분산서비스거부취약점 (CVE : 2013-5211) 5 1) NTP Amplification

More information

server name>/arcgis/rest/services server name>/<web adaptor name>/rest/services ArcGIS 10.1 for Server System requirements - 지

server name>/arcgis/rest/services  server name>/<web adaptor name>/rest/services ArcGIS 10.1 for Server System requirements - 지 ArcGIS for Server (Windows) 설치가이드 ArcGIS 10.2 for Server 설치변경사항 1 설치 간편해진설치 -.Net Framework나 Java Runtime 요구하지않음 - 웹서버 (IIS, WebSphere ) 와별도로분리되어순수하게웹서비스기반의 GIS 서버역할 - ArcGIS Server 계정을이용한서비스운영. 더이상 SOM,

More information

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W Research & Technique Apache Tomcat RCE 취약점 (CVE-2019-0232) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE-2019-0232 취약점은 Windows 시스템의 Apache Tomcat 서버에서 enablecmdlinearguments

More information

BEA_WebLogic.hwp

BEA_WebLogic.hwp BEA WebLogic Server SSL 설정방법 - Ver 1.0-2008. 6 개정이력 버전개정일개정내용 Ver 1.0 2008 년 6 월 BEA WebLogic Server SSL 설명서최초작성 본문서는정보통신부 한국정보보호진흥원의 보안서버구축가이드 를참고하여작성되었습니다. 본문서내용의무단도용및사용을금합니다. < 목차 > 1. 개인키및 CSR 생성방법

More information

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc NTAS and FRAME BUILDER Install Guide NTAS and FRAME BUILDER Version 2.5 Copyright 2003 Ari System, Inc. All Rights reserved. NTAS and FRAME BUILDER are trademarks or registered trademarks of Ari System,

More information

암호내지2010.1.8

암호내지2010.1.8 Contents 분류 안내서 해설서 해당팀명 발간년월 대상 수준 인터넷 진흥 인터넷 이용 활성화 정보보호 시스템 관리 한국인터넷진흥원(KISA) 안내서 해설서 시리즈 DNS 설정 안내서 시스템관리팀

More information

메일서버등록제(SPF) 인증기능적용안내서 (AIX - sendmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 AIX 5.3 sendmail spf-filter 년 6 월

메일서버등록제(SPF) 인증기능적용안내서 (AIX - sendmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 AIX 5.3 sendmail spf-filter 년 6 월 메일서버등록제(SPF) 인증기능적용안내서 (AIX - sendmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 AIX 5.3 sendmail 8.13.4 spf-filter 1.0 2016 년 6 월 목 차 I. 개요 1 1. SPF( 메일서버등록제) 란? 1 2. SPF 를이용한이메일인증절차 1 II. sendmail, SPF

More information

Microsoft Word - access-list.doc

Microsoft Word - access-list.doc 8. Access List Access List 란단어그자체에서의미하듯이라우터를경유하는트래픽에대한제어를할수있는것으로어떤트래픽을어떻게제어할것인지정의한다. 이 Access List 는일반적으로 Interface 에적용되거나 Routing Protocol 에적용되는데이때 Interface 에적용된것을 Access Group 이라고하고, Routing Protocol

More information

일반적인 네트워크의 구성은 다음과 같다

일반적인 네트워크의 구성은 다음과 같다 W5200 Errata Sheet Document History Ver 1.0.0 (Feb. 23, 2012) First release (erratum 1) Ver 1.0.1 (Mar. 28, 2012) Add a solution for erratum 1, 2 Ver 1.0.2 (Apr. 03, 2012) Add a solution for erratum 3

More information

2009년 상반기 사업계획

2009년 상반기 사업계획 네트워크계층프로토콜 쉽게배우는데이터통신과컴퓨터네트워크 학습목표 IPv6의필요성과헤더구조를이해한다. 이동 IP 프로토콜의터널링원리를이해한다. ARP/RARP의필요성을이해한다. ICMP의헤더와제어메시지를이해한다. IGMP의헤더와멀티캐스트그룹관리방식을이해한다. 2/27 1 절. IPv6 주소공간확장 IPv4의 32 비트에서 128 비트로확장 최대 2 128 개의호스트를지원

More information

EDB 분석보고서 (04.06) ~ Exploit-DB(http://exploit-db.com) 에공개된별로분류한정보입니다. Directory Traversal users-x.php 4.0 -support-x.php 4.0 time-

EDB 분석보고서 (04.06) ~ Exploit-DB(http://exploit-db.com) 에공개된별로분류한정보입니다. Directory Traversal users-x.php 4.0 -support-x.php 4.0 time- EDB 분석보고서 (04.06) 04.06.0~04.06.0 Exploit-DB(http://exploit-db.com) 에공개된별로분류한정보입니다. 분석내용정리 ( 작성 : 펜타시큐리티시스템보안성평가팀 ) 04년 06월에공개된 Exploit-DB의분석결과, SQL 공격에대한보고개수가가장많았습니다. 이와같은결과로부터여전히 SQL 이웹에서가장많이사용되는임을확인할수있습니다.

More information

제목 레이아웃

제목 레이아웃 웹해킹이라고무시하는것들보소 2017.07.10 RUBIYA805[AT]GMAIL[DOT]COM SQL Injection 끝나지않은위협 2017.07.10 RUBIYA805[AT]GMAIL[DOT]COM Who am I 정도원 aka rubiya Penetration tester Web application bughuter Pwned 20+ wargame @kr_rubiya

More information

Microsoft Word doc

Microsoft Word doc TCP/IP 구조 1. I.P 구조설명 2. ARP 구조설명 3. TCP 구조설명 4. UDT 구조설명 5. RIP 구조설명 6. BOOTP 구조설명 7. TFTP 구조설명 destination addr source addr type data CRC 6 6 2 46-1500 4 type 0X0800 IP datagram 2 46-1500 type 0X0806

More information

[Brochure] KOR_TunA

[Brochure] KOR_TunA LG CNS LG CNS APM (TunA) LG CNS APM (TunA) 어플리케이션의 성능 개선을 위한 직관적이고 심플한 APM 솔루션 APM 이란? Application Performance Management 란? 사용자 관점 그리고 비즈니스 관점에서 실제 서비스되고 있는 어플리케이션의 성능 관리 체계입니다. 이를 위해서는 신속한 장애 지점 파악 /

More information

[ 네트워크 1] 3 주차 1 차시. IPv4 주소클래스 3 주차 1 차시 IPv4 주소클래스 학습목표 1. IP 헤더필드의구성을파악하고요약하여설명할수있다. 2. Subnet ID 및 Subnet Mask 를설명할수있고, 각클래스의사용가능한호스트수와사설 IP 주소및네트

[ 네트워크 1] 3 주차 1 차시. IPv4 주소클래스 3 주차 1 차시 IPv4 주소클래스 학습목표 1. IP 헤더필드의구성을파악하고요약하여설명할수있다. 2. Subnet ID 및 Subnet Mask 를설명할수있고, 각클래스의사용가능한호스트수와사설 IP 주소및네트 3 주차 1 차시 IPv4 주소클래스 학습목표 1. IP 헤더필드의구성을파악하고요약하여설명할수있다. 2. Subnet ID 및 Subnet Mask 를설명할수있고, 각클래스의사용가능한호스트수와사설 IP 주소및네트워크주소와 브로드캐스트주소를설명할수있다. 학습내용 1 : IP 헤더필드구성 1. Network Layer Fields 2. IP 헤더필드의구성 1)

More information

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13 - 경유지

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13 - 경유지 월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2013. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13

More information

SK IoT IoT SK IoT onem2m OIC IoT onem2m LG IoT SK IoT KAIST NCSoft Yo Studio tidev kr 5 SK IoT DMB SK IoT A M LG SDS 6 OS API 7 ios API API BaaS Backend as a Service IoT IoT ThingPlug SK IoT SK M2M M2M

More information

6강.hwp

6강.hwp ----------------6강 정보통신과 인터넷(1)------------- **주요 키워드 ** (1) 인터넷 서비스 (2) 도메인네임, IP 주소 (3) 인터넷 익스플로러 (4) 정보검색 (5) 인터넷 용어 (1) 인터넷 서비스******************************* [08/4][08/2] 1. 다음 중 인터넷 서비스에 대한 설명으로

More information

DDoS 방어기술, 경험, 전문가의결합, AhnLab TrusGuard DPX 안철수연구소트러스가드 DPX (DDoS Prevention express) 는 DDoS 공격방어를위한보안기술과안철수연구소의인프라가결함된새로운 DDoS 공격방어전용제품입니다. 이제품은다단계필터

DDoS 방어기술, 경험, 전문가의결합, AhnLab TrusGuard DPX 안철수연구소트러스가드 DPX (DDoS Prevention express) 는 DDoS 공격방어를위한보안기술과안철수연구소의인프라가결함된새로운 DDoS 공격방어전용제품입니다. 이제품은다단계필터 DDoS 공격과방어의패러다임변화 DDoS(Distributed Denial f Service) 공격은기업의 IT 인프라를위협하는강력한공격수단이되고있습니다. 초기 DDoS 공격은자기과시를위해이루어졌으나점차금전적이익을노리는형태로변화하고있습니다. 공격목표또한중소규모의인터넷업체에서대형인터넷서비스업체, 금융기관, 포털, 게임업체등대상을가리지않고무차별적으로감행되고있습니다.

More information

TCP.IP.ppt

TCP.IP.ppt TCP/IP TCP/IP TCP/IP TCP/IP TCP/IP Internet Protocol _ IP Address Internet Protocol _ Subnet Mask Internet Protocol _ ARP(Address Resolution Protocol) Internet Protocol _ RARP(Reverse Address Resolution

More information

슬라이드 1

슬라이드 1 네트워크포렌식실습 ICMP 패킷분석과 Ping 공격 목 차 ICMP 헤더와동작 ICMP 와이어샤크분석 IP와 MAC 주소분석 Dos 공격유형과대응방법 DDos 공격과공격시연 2 ICMP 헤더와동작 1) ICMP 란? 2) ICMP 위치 3) ICMP 캡슐화 4) ICMP 동작과정및확인 5) ICMP 헤더구조 6) ICMP 메시지형식및종류 ICMP 프로토콜 ICMP

More information

Microsoft PowerPoint - 10Àå.ppt

Microsoft PowerPoint - 10Àå.ppt 10 장. DB 서버구축및운영 DBMS 의개념과용어를익힌다. 간단한 SQL 문법을학습한다. MySQL 서버를설치 / 운영한다. 관련용어 데이터 : 자료 테이블 : 데이터를표형식으로표현 레코드 : 테이블의행 필드또는컬럼 : 테이블의열 필드명 : 각필드의이름 데이터타입 : 각필드에입력할값의형식 학번이름주소연락처 관련용어 DB : 테이블의집합 DBMS : DB 들을관리하는소프트웨어

More information

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - postfix) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i postfix spf-filter 년 6 월

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - postfix) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i postfix spf-filter 년 6 월 메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - postfix) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i postfix 2.7.1 spf-filter 1.0 2016 년 6 월 목 차 I. 개요 1 1. SPF( 메일서버등록제) 란? 1 2. SPF 를이용한이메일인증절차 1 II. postfix,

More information

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응 MALWARE ANALYSIS REPORT WannaCry 랜섬웨어분석 #2 SMB 취약점분석 목차 1. 개요... 3 1.1 배경... 3 1.2 파일정보... 3 2. 상세분석... 4 2.1 SMB 취약점공격흐름... 4 2.2 특징적인행위... 11 3. 대응... 12-2 - 1. 개요 1.1 배경 2017년 5월 17일배포한 WannaCry 분석보고서에도언급되었듯이,

More information