본문 바로가기

분류 전체보기

분산 서비스 거부 공격(DDOS)과 스푸핑(Spoofing) DDOS여러 대의 컴퓨터를 일제히 동작하게 하여 특정 타겟을 공격하는 방법 Hacker 가 Master에게 명령을 내려 Zombie들을 조작하여 Victim을 공격한다. (대표적인 Master는 BotNet이 있다.) 1. 스팸메일 (Spam Mail)메일 서버가 각 사용자에게 일정한 양의 디스크 공간을 제공하는데대량의 메일로 공간을 모두 소비할 경우 서비스 이용이 불가능하다. 2. 버퍼 오버플로(Buffer Overflow)응용프로그램이 실행 중에 버퍼(RAM의 영역)에 정보를 임시로 저장한다.입력된 데이터가 할당된 버퍼보다 크다면 또 다른 메모리 세그먼트로 흘러 넘친다.프로그램의 복귀 주소를 조작하여 해커가 원하는 코드를 실행하게 하는 방법이다. 3. 패스워드 크래커(Password Cracker)(.. 더보기
서비스 거부 공격 (DOS)의 원리 및 종류 DOS(Denial of service)시스템에 과도한 부하를 일으켜 정보 시스템의 사용을 방해하는 공격 방식 1. TCP Syn 공격 원리 1) 해커가 패킷 내부의 IP를 사용하지 않는 값으로 변경해 수 천개를 서버로 보낸다.2) 서버는 Ack로 응답하고 Syn으로 확인하기 위해 다시 보내지만 Ack를 받지 못한다.3) 서버는 Ack를 받을때까지 백로그큐(Backlog Queue)에 Syn 신호를 남겨둔다.4) 계속 쌓이는 Syn으로 인해 서버가 다운된다. 대응책- 접속 타임아웃 타이머 시간을 짧게 한다.- 큐 사이즈를 증가시킨다.- IDS(침입탐지 시스템)을 설치하여동일한 형태의 패킷을 차단한 후 ISP에 차단요청- 방화벽에서 서버에 RST(reset)패킷을 보내 TCP 세션을 없앤다. 2. SMUR.. 더보기
접근통제 접근통제(Access Control)는주체: 외부에서 접근하는 사람, 시스템 등객체: 시스템주체가 객체에 접근할 때 보안상의 노출, 위협, 변조 등과 같은 위험으로부터보호하기 위한 보안 대책이다. 주요 용어 설 명 주체(Subject)=행위자 객체나 객체 내의 데이터에 대한 접근을 요청하는 능동적인 개체 객제(Object)=제공자 접근 대상이 수동적인 객체, 행위가 일어날 아이템 접근(Access) 읽고 만들고 삭제하거나 수정하는 등의 행위를 하는 주체의 활동 제 1단계: 식별(Identification)인증 서비스에 스스로를 확인시키기위해 정보를 공급하는 주체의 활동- 접근 매체사용자명, 계정번호, 메모리카드 제 2단계: 인증(Anthentication)1. 주체의 신원을 검증하기 위한 사용 증명 활동.. 더보기
위험관리 위험은예상되는 위협에 의하여 자산에 발생할 가능성이 있는 손실의 기대치로서자산의 가치 및 취약성과 위협 요소의 능력, 보호 대책의 효과에 영향을 받는다. [그림 1] 위험관리 흐름도 위험평가 - 자산에 대한 취약점 평가 후 자산에 대한 위협을 평가- 위협의 발생 가능성, 위협에 대한 노출의 영향 평가- 보안대책 평가, 잔여위험 평가 데이터 분류정보자산을 그룹화하여 적절한 등급으로 분류하는 것 데이터 분류 기준정형화 계층화 시키며 데이터의 가치와 유용성에 따라 분류한다.Lifetime은 일정 기간이 지나면 자동으로 데이터의 분류를 해제한다.Usefulness은 기존 데이터 대신 새 데이터가 만들어지면 분류를 해제한다. 1. 대다수 기업과 조직의 데이터 분류- Public : 보호 없음- Internal U.. 더보기
정보보안의 원칙 기밀성(confidentiality)- 인가된 사람/프로세스/시스템만이 알 필요성(need-to-know)에 근거하여 접근- 정보 자산 분류, 식별, 인증, 권한부여, 암호화, 모니터링 등- 위협요소는 도청과 사회공학(Social Engineering) 이 있다.- 인가된 객체에 의한 시스템의 접근 무결성(Integrity)- 고의적인, 비인가된, 우연한 변경으로 부터 정보가 보호되어야함.- 직무분리, 형상관리, 프로그램 테스트, 트랜잭션(컴퓨터 내부에서 완료되어야는 처리), 업데이트 기능 제한, 접근통제, 인증 등- 위협요소는 트로이목마, 바이러스, 해커 등이 있다.- 데이터 무결성과 시스템 무결성을 의미 가용성(Availability)- 사용자가 필요로 할때 접근이 가능해야한다.- 바이러스/웜 통제,.. 더보기
정보보안 관리 정보보안 관리(Information Security Management)정보(information): 기업이나 공공기관의 중요한 자산, 보호되어야 할 대상 - 정보 자산은 관리적, 기술적, 물리적 통제 활동으로 보호해야한다. - 정보 자산을 보호하지 못하면 기업과 조직에 생산성, 명성, 금전적 손실이 발생 - 적절한 조직의 정책(policy), 절차(procedure), 표준(standard), 지침(guideline) 개발 - 정보보안 관리를 수행하기 위해 고려해야 할 사항들수용 가능한 위험(Acceptable Level of Risk)비즈니스 관점에서 효익비용 - 비용 대비 구현 효과에 대한 가치 검증이 필요하다. 정보보안 전문가는 조언자(Risk Advisor)일 뿐이다. - 잔여위험(Residua.. 더보기
HTML 5 배우기. HEAD의 Title 과 Meta 처음에 하나를 빼먹었네요. 맨 앞의 은 브라우저를 위한 태그입니다.html 4 전까지만 해도 DOCTYPE은 엄청 길게 썼습니다..이제 html 5 시대가 들어서 브라우저가 자동으로 DOCTYPE을 인식하도록길게 쓰지 않기로 약속하였습니다.이런 것을 꼭 쓰지 않아도 됩니다.그러나 윈도XP 같이 이전 버젼 브라우저를 쓰는 컴퓨터와 호환이 되려면 써야겠지요? 이제 태그에 대해 알아볼까 합니다. 태그는 없어도 되는 태그이지만텍스트에 영어가 아닌 다른 언어가 포함될 경우 꼭 있어야하는 태그입니다. 메타 태그에 utf-8 을 입력시켰을 경우 출력되는 화면 메타 태그를 쓰지 않을 경우 출력되는 화면 UTF-8에 대해서는 위키백과를 참조하시면 됩니다. [http://ko.wikipedia.org/wiki/UTF-8].. 더보기
Webmatrix 웹매트릭스 설치방법 웹페이지를 만들기 위해서는그에 맞는 멋진 도구가 있어야합니다.그래서 저는마이크로소프트 웹 매트릭스를 쓰려고 합니다. 검색창에 webmatrix 라고 쓰고 검색해주세요. 바로 마이크로소프트 webmatrix가 뜹니다.찾기 귀찮은 분들은 http://www.microsoft.com/web/webmatrix/ 으로 접속해주세요~ 아래의 Free Download를 클릭하면 다운로드가 됩니다. 웹매트릭스 응용프로그램을 실행해주세요. 기다려주세요^^ 기다려주세요^^ 옵션을 딱히 설정하지 않으셔도 괜찮습니다.이상한 프로그램은 안 깔리니까요.설치 버튼을 눌러주세요. 위의 몇몇 Microsoft 소프트웨어에서는 ~ 더보기
HTML의 기초 HTML 과 CSS 는 웹페이지를 만들기 위해 사용하는 언어이다.웹 서버가 HTML 과 CSS로 만든 웹페이지를 저장하고 서비스를 제공한다.브라우저들은 그 페이지를 받고 HTML 과 CSS를 기초로 콘텐츠를 표현한다. HTML(HyperText Markup Language): 웹페이지를 구조화CSS(Cascading Style Sheets): HTML의 프레젠테이션 제어 엘리먼트(element): 시작태그, 콘텐츠, 종료태그종료태그: 왼쪽 각진 괄호와 태그 이름 사이에 / 가 붙는다. 간단한 웹페이지 구조(아래) 더보기
05. 하드웨어 [그림 1] : 컴퓨터시스템의 하드웨어 1. 중앙처리장치(central processing unit, CPU)컴퓨터에서 프로그램을 실행하고 데이터를 처리하는 중추적인 역할CPU = Processor 2. 기억장치 = 메모리(memory)CPU가 실행해야 할 프로그램 코드나 데이터를 기록 - 메인메모리(main memory)CPU에 가까운 곳에 위치, 프로그램이 실행중일 때 주로 사용, 반도체 - 보조기억장치데이터를 저장할 때 사용, 각종 드라이브 3. 입출력장치 = I/O장치(input/output device)컴퓨터와 사용자간 인터페이스로 입출력 데이터를 전송하는 것 마이크로컴퓨터의 하드웨어 구성 요소마이크로컴퓨터(microcomputer)마이크로프로세서를 CPU로 사용하는 소형 컴퓨터① CPU부: C.. 더보기

티스토리툴바