841 ~ 960

841. 드라이브 바이 다운로드는 실뢰할 수 없는 사이트에서 사용하는 기법이다.

842. 공급망 공격은 공급망에  침투하여 소프트웨어나 하드웨어를 변조하는 공격방식이다.

843. 보기는 저장소에 대한 설명이다.

844. 정찰, 무기화, 전달, 취약점 악용, 설치, 명령 및 제어, 목표실행

845. spectre는 빠른 수행을 위해 개발된 캐싱 및 추측 실행 기능을 악용하는 공격이다.

846. 파일리스 악성코드는 이메일의 첨부파일, PDF, JPEG 등에 삽입되어 배포된다.

847. CDR은 파일에 숨겨진 악성코드만 골라 막는 콘텐츠 보안 솔루션이다.

848. 사용하지 않는 PDF 소프트웨어를 제거하는 건 하드닝 활동과 거리가 멀다.

849. SMTP는 25번 포트를 사용하고 TCP 프로토콜을 사용한다.

850. 1500바이트 안에 헤더가 20바이트가 들어있어서 1480바이트가 실제적인 데이터다. 3980 -(1480*2)+20=1040

    (1480*2)/8=370이다.

 

851. 서브넷 마스크가 255.255.255.240이므로 16개씩 나누면 10.1.1.191은 브로드캐스트 주소로 Host에게 설정할 수 없다.

852. ARP는 브로드캐스트를 이용해서 보내는 프로토콜이다.

853. Black Nurse는 ICMP 프로토콜을 이용한 공격이다.

854. Multi-casting 제어는 IGMP 프로토콜과 관련이 있다.

855. ICMP Redirection은 데이터를 보내는 호스트에게 목적 IP 주소에 대한 좀 더 적합한 경로가 있음을 알리기 위해 라우터가 보내는 메시지다.

856. 특별한 주소를 가진 데이터그램에 대해서 오류메시지가 생성되지 않고, 각 단편에 대해서는 오류메시지가 생성되지 않는다. ICMP 오류메시지에 대해서도 ICMP 오류 메시지가 생성될 수 없다.

857. (가) : Echo Request (나) : 0 (다) : Redirect (라) : 3

858. 보통은 BGP가 주로 사용된다.

859. 1의 Sep가 98이므로 2의 ACK는 99가 되고 3의 Sep는 2와 같은 10을 사용한다. 4의 ACK는 10에서 1 증가한 11을 사용한다.

860. ACK를 전달하지 않으면 순서 번호를 소비하지 않는다.

 

861. PVC는 데이터가 전송되지 않을 때에도 논리적인 연결이 통신의 양단간에 성립하며, 삭제를 반복하지 않고, 서비스 제공자는 자신에게 등록된 고객에게 지속적으로 가상회선을 제공한다.

862. 링크 상태 라우팅은 딕스트라 알고리즘을 사용한다.

863. SNMP의 community 문자열은 private나 public을 사용하지 말아야 한다.

864. 보기는 Null Routing에 대한 설명이다.

865. 출발지와 목적지가 동일한 경우를 막는 것으로 Land attack을 방어하는 설정이다.

866. 목적지는 다르기 때문에 허용된다.

867. 보기를 보면 eth1로 보내진다.

868. 원격 접속 후 아무런 입력 없이 10분 30초가 지나면 접속이 종료된다.

869. 보기는 트리누 공격에 대한 방어 설정이다.

870. 스위치에는 CAM 테이블이 있다.

 

871. 특정한 노드는 항상 동일한 해시 값을 가지기 때문에 동일한 클라이언트의 요청은 동일한 서버에서 응답을 받도록 하고자 할 때 사용한다.

872. 호스트의 MAC주소를 등록해야 해서 빈번하게 사용하지 않는다.

873. SSID는 수동으로 접근할 수 있다.

874. 무선망에서의 트래픽은 기존의 유선망과 다른 구조의 패킷 프레임으로 구성되어 있다.

875. EAP는 WPA, WPA2에서 이 프로토콜을 채택하고 있다.

876. WEP, TKIP는 무선 구간에서 전송되는 MAC 프레임들을 RC4스트림 암호 방식을 사용하여 암호화한다.

877. SSID 브로드캐스팅은 KRACK공격을 통해 영향을 받지 않는다.

878. 보기는 버퍼 오버플로우 공격에 대한 설명이다.

879. WSP, WTP, WTLS, WDP

880. WTP는 트랜잭션 기반의 경량 프로토콜이다.

 

881. 네트워크 및 시스템 사용권을 허가된 디바이스로 제한하기 위함

882. MAC 주소 값 인증은 아이디/패스워드 기반 인증이 아니다.

883. 디바이스 인증기술은 보안성, 경제성, 상호연동성의 장점을 가지고 있다.

884. 시도-응답 인증 방식은 일회성 해시값을 생성하여 사용자를 인증하는 방식이다.

885. 884번 참조

886. 보기는 모바일 가상화에 대한 설명이다.

887. 보기는 컨테이너화에 대한 설명이다.

888. 읽기 전용, 읽고 쓰기, 쓰기 전용, 접근불가 등이 있다.

889. SNMP는 UDP 161, 162를 사용한다.

890. SNMP는 UDP를 사용하며 MIB라는 정보를 주고받기 위해 일종의 비밀번호라 할 수 있는 community string이 사용된다. read-only 접근의 경우 디폴트 community string으로 Public, read-write 접근의 경우 Private로 설정되어 있다.

 

891. request : 8 replay : 0

892. TTL값을 비교하면 exam이 더 가깝다.

893. 우연히 도달하는 것을 방지하기 위하여 3번 시도하였음을 보여준다.

894. 경로를 최대 5홉까지만 추적한다.

895. 192.169.0.1은 가장 먼저 경유하는 네트워크 주소다.

896. 이더넷 통신을 표시해 주는 명령어는 -e를 사용한다.

897. ㉠ : CLOSE_WAIT ㉡ : TIME_WAIT ㉢ : ACK

898. ICMP를 이용한 공격은 스머프 공격이 있다.

899. 공격자는 ICMP echo request 메시지를 여러 대의 컴퓨터가 수신할 수 있도록 출발지 주소를 브로드캐스트 주소로 설정하여 전송한다.

900. 에이전트가 있는 네트워크를 이용하여 희생자에게 스머프 공격을 하는것이다.

 

901. 보기는 Land Attack에 대한 설명이고 출발지 IP와 목적지 IP가 동일하면 차단한다.

902. Teardrop 공격은 Dos 공격과 관련이 있다.

903. ICMP unreachable 패킷 응답 메시지를 막는 것은 Ping of Death 공격에 대응하기 위한 방법이다.

904. ping에 의한 응답을 하지 않게 설정을 바꿔야 한다.

905. 보기는 boink 공격에 대한 설명이다.

906. 모니터링, 공격탐지, 초동조치, 상세분석, 차단조치

907. L7 자원소진 공격의 공격 대상은 웹 서버, 정보보호 장비 등이 있다.

908. GET Flooding 공격은 TCP 3-way handshaking을 이용한 공격이다.

909. Delayed Binding 공격은 연결을 지연시키는 방법이다.

910. OSI 7 Layer의 최상위 계층에서 수행되는 공격기법은 Slowloris 공격이다.

 

911. DRDoS는 단순 Flooding 공격만 가능하다.

912. 좀비와 같은 감염된 반사체 시스템을 통한 트래픽 중복 기법을 이용하는 것은 DDoS 공격이다.

913. NTP Amplification Attack은 monlist를 요청하고 대량의 응답 트래픽을 유발한다.

914. 배너 그래빙은 원격 접속을 이용하므로 Telnet을 사용한다.

915. SYN 스캔은 Open 스캔의 한 종류다.

916. 가 : TCP Open Scan 나 : Stealth Scan 다 : UDP Open Scan

917. Null 스캔은 포트가 열려 있을 경우는 응답이 없고, 닫혀 있을 경우에는 RST 패킷이 되돌아온다.

    Stealth 스캔은 포트가 열려 있을 경우, 서버로부터 SYN/ACK 패킷을 받은 후, RST 패킷을 보내어 연결을 끊는다. 포트가 닫혀있을 경우에는 Open 스캔의 경우와 같아, TCP Half Open 스캔이라고 한다.

    포트가 닫혀있을 경우 ICMP Unreachable 패킷을 받는다.

918. TCP FIN/NULL/XMAS 스캔은 응답이 없다.

919. UDP 스캔은 스텔스 스캔이 아니다.

920. TCP ACT 스캔은 방화벽의 필터링 정책을 테스트하는 스캔이다.

 

921. TCP 스캐닝은 스캔 대상 시스템과의 완전한 연결을 수행하지 않는다.

922. UDP 스캔은 TCP 스캔보다 느리다.

923. TCP Open 스캔은 SYN+ACK가 돌아온다.

924. nmap -oX 명령어는 스캔 결과를 XML 형식 파일로 저장하는 명령이다.

925. -T0이 제일 느린 스캐닝이다.

926. 보기에 해당하는 옵션은 -sS다.

927. ARP 테이블에 조작된 IP주소, MAC주소를 추가해서 공격자가 스니핑 하도록 한다.

928. 공격 대상 시스템의 MAC 주소를 공격 시스템의 MAC주소로 변경한다.

929. ARP 스푸핑과 패킷 변조를 위한 프로그램의 프로세스 동작은 ARP Spoofing 공격 발생 시 피해 시스템에서 나타나는 현상과 거리가 멀다.

930. 공격자 시스템은 공격대상 시스템을 공격하여 외부와 통신이 불가능한 상태로 만든다.

 

931. Slow FTTP Read Dos 공격은 데이터 처리율을 감소시키고 서버가 정상 상태로 회복될 때까지 대기 상태에 빠지게 한다.

932. IP Spoofing과 Session hijacking에서 신뢰 관계에 있는 두 시스템 찾기는 공통으로 사용하는 기법이다.

933. 세션 하이재킹은 프로토콜의 취약점을 이용한 네트워크 공격이다.

934. 사후감사 추적에 의한 분석기술, 실시간 패킷분석기술, 실시간 행위 감시 및 분석기술

935. 모든 호스트를 탐지 영역으로 하는 것은 NIDS의 특징이다.

936. 알려진 취약점을 기반으로 탐지 규칙을 작성하여 침입행위를 판단하는 것은 오용 탐지다.

937. 알려지지 않은 새로운 방식의 트로이목마 형 악성코드는 안티바이러스 프로그램에 의한 패턴 기반 탐지는 적합하지 않다.

938. 보기는 시그니처 기반 탐지에 대한 설명이다.

939. 시스템에 대한 침입행위 패턴은 관련이 없다.

940. 오용 탐지 기반 침입탐지시스템은 False Positive 비율은 낮지만 False Negative 비율이 높다.

 

941. 비정상행위기반 침입탐지 방법은 사전에 구축된 정상행위 프로파일과 현재 수집된 트래픽 정보의 특징을 비교하여 침입여부를 판정한다.

942. 보기는 이상금융거래탐지시스템에 대한 설명이다.

943. 보안 솔루션의 효율적 관리와 장애 복구 기술은 이상 거래 탐지를 위한 요소 기술과 거리가 멀다.

944. snort로 사전 공격은 탐지할 수 없다.

945. ㉠ : Packet decoder ㉡ : Detection engine ㉢ : Logger ㉣ : Alerter

946. 패킷에 대해 경보를 발생시키는 게 아닌 payload 내부를 검색하는 문자열이다.

947. Snort 헤더에 Meta-Data는 포함되지 않는다.

948. TTL은 Snort를 옵션에 없다.

949. 보기는 threshold에 대한 설명이다.

950. 침입탐지시스템과 달리 정상 네트워크 접속 요구에 대한 공격패턴으로 오탐 가능성이 없는 것은 IPS 출현배경과 거리가 멀다.

 

951. 보기는 Failover에 대한 설명이다.

952. NAT는 4 계층 프로토콜로 단정 짓기는 어렵다.

953. 공인 IP 주소가 1개뿐이고 사설 IP를 사용해 할당하면 PAT 방법이 적절하다.

954. 폴리시 NAT은 패킷의 출발지와 목적지 모두를 반영하여 주소 변환을 수행한다.

955. 규칙 A에 의해서 거부가 된다.

956. 512바이트 보다 클 경우에도 허용한다.

957. 애플리케이션 게이트웨이 방식 방화벽은 일부 서비스에 대해 투명성을 제공하기 어렵다.

958. 보기는 애플리케이션 게이트웨이 방화벽을 사용하는 게 가장 적절하다.

959. 스크린 호스트 게이트웨이는 듀얼홈드 게이트웨이와 스크린 라우터라는 분리된 라우터를 혼합하여 사용하는 시스템이다.

960. 보기는 정보 지향적 공격을 방어할 수 없고 네트워크 계층과 응용 계층에서 방어하기 때문에 공격이 어렵다.