DNS , 포트스캐닝, 스니핑, telnet/ssh 정리

DNS ( Domain Name System )

- 도메인에 대한 IP주소를 리턴

- 쿼리

- 순환쿼리 : 클라이언트가 DNS 서버에 쿼리 전송 ( DNS Request )

- 반복쿼리 : DNS 캐시 테이블에 해당 도메인 정보가 없거나, Zone 파일에 해당 도메인이 없는 경우, 외부 DNS에 쿼리를 요청

- DNS 이름해석 순서

- DNS 캐시테이블 확인

ipconfig /displaydns

- windows\system32\drivers\etc\hosts.ics

- windows\system32\drivers\etc\hosts

- DNS 서버 쿼리 ( 53번 포트 )

- /etc/hosts

- DNS 캐시테이블 확인 및 zone 파일

- 반복쿼리

- DNS 구조

- 마스터와 슬레이브

- Zone Transfer : Master DNS의 zone파일을 Slave DNS에 전송, 단방향

Slave DNS에 Master DNS를 named.conf에 등록 

- DNS 공격

- 파밍 : 가짜사이트

- DNS Spoofing : DNS 캐시테이블을 변조하여 가짜 IP주소를 전송하게함

- DNS 증폭공격 : DNS의 Record Type 을 ANY 로 요청 1개의 요청에 5개의 응답 ( A, AAAA, SOA, MX, CNAME )

- DNSSEC

- root DNS에 대해서 인증과 전자서명을 수행한다.

- 공개키 암호화 기법 사용

- keygen으로 개인키 생성

- 인증기관 ( CA ) 에 인증을 의뢰

- DNS Spoofing 공격

- dnsspoof -i eth0 zone.dns 

- fragrouter -B1 : normal IP 포워딩

- 스니핑 : 수동적 공격, 정보획득

- tshark , tcpdump : 특정 인터페이스 패킷을 모니터링하는 도구

- tcpdump -i eth0 -w a.cap -c 10 : eth0 의 패킷 10개를 a.cap 파일에 쓰기

- 응용계층에서 데이터링크계층의 헤더까지

- telnet 및 ssh : 원격 접속

- vi /etc/xinetd.d/telnet 설정 변경 ( disable = no )

  service xinetd restart

- telnet www.naver.com 80

  Trying -> Connected -> 배너정보

- 포트스캐닝

- 알려진 포트를 확인한다.

  20 : FTP 데이터 [액티브모드 일 때], 

  21 : FTP 명령, 

  69 : tFTP ( UDP , 인증없이, secuMode 사용 ),

  22 : SSH,

  23 : TELNET,

  

  80 : HTTP,

443 : HTTPS,

110 : POP3,

143 : IMAP,

135/139 : SMB

445 : MS_DS ( 공유폴더 )

- 알려진 서비스, 프로토콜, 쉘 정보

/etc/services

/etc/protocols

/etc/shells

- 열려진 포트를 전부 확인한다.

nmap -sS : TCP half-open 스캔 ( 스텔스 스캔 )

   -sT : TCP open 스캔

   -sF : FIN 스캔

   -sX : XMAS 스캔

   -sN : Null 스캔