Network 썸네일형 리스트형 패킷분해 #2 Ethernet Trailer 최근, Ethernet Trailer에 특정 데이터를 담아 보내는 악성코드가 있다는 사실을 알게 되어 이에 대해 조사를 해 보았다. 일단 Ethernet Trailer는 익숙하지 않다. 대부분 우리가 네트워크상에서 데이터를 다룰때 HTTP프로토콜이나 TCP/UDP 세그먼트, 패킷을 이용한다. 조금은 낯설지만 만약, Ethernet Trailer에 데이터를 담아 보내면 제대로 전달 될 수 있을까? 결론은 No, 하지만 설정에 따라 가능성은 있다. 일단 Ethernet 에 대한 기본 개념먼저 알아봐야겠다. 이전 포스팅에서 패킷의 크기 를 알아보면서 살짝 패킷의 전체 구조에 대해서 살펴 보았다. 이번에는 링크계층에 속하는 Ethernet을 기준으로 프레임구조와 이더넷 Encapsulation, Ethernet.. 더보기 네트워크와 빅데이터의 만남, Packetpig 빅 데이터가 IT 전반에 화두로 떠오르면서 각 분야에 적용되기 시작했다. 네트워크 보안 분야에는 어떻게 적용할 수 있을까? 대용량 데이터를 분석하는데 적합한 PIG 플랫폼은 이미 잘 알 고 있을것이다. 하위 프로젝트로 유명한 hadoop 이 있다. Packetpig는 오픈 소스 빅 데이터 보안 분석 솔루션이다. Packetpig 에 대한 간략한 소개 가 잘 정리 되어 있는 블로그이다. 내용을 요약하면 다음과 같다.IDS (intrusion detection systems, 침입탐지시스템) 은 잘 알려진 공격의 시그니처를 찾거나 실시간으로 그것을 확인한다. Packetpig는 모든 패킷을 분석하여 네트워크 상의 모든 단일 패킷 로그를 확인하는 것이다. 현재 IDS 시스템과 비교하자면 모든 패킷을 캡쳐하는데.. 더보기 패킷분해 #1 한 패킷의 크기(MTU)는 얼마나 될까? 종종 네트워크 포렌식에서 네트워크 정보를 카빙할 때, 패킷의 크기를 알아야 하는 경우가 있다. 프로토콜에서 데이터 단위를 PDU (Protocol data unit) 라고 하고 각 계층마다 단위는 다르게 불린다. The Layer 1 (Physical Layer) PDU is the bit or, more generally, symbol The Layer 2 (Data Link Layer) PDU is the frame The Layer 3 (Network Layer) PDU is the packet or datagram The Layer 4 (Transport Layer) PDU is the segment (e.g. TCP segment) 여기서 이야기하고자 하는 패킷의 크기는 TCP segment의 .. 더보기 네트워크 보안 사전 탐지 기술 30가지 관련 링크 :: http://www.enisa.europa.eu/act/cert/support/proactive-detection 2011 겨울 enisa (European Network and Information Security Agency), 유럽연합 CERT에서 그들이 이용하고 있는 네트워크 보안 관련 기술(툴,서비스) 들을 총 정리한 문서를 발표했다. 아래 리스트는 문서에 있는 서비스들의 웹 주소와 간단하게 설명을 요약한것이며, 실제 필자가 접속해보고 필요한 정보를 첨언하였다. 대게 악성 도메인, IP, 피싱, 봇, 스팸메일 정보들이다. 각종 외부 위협 DB를 참고해야 하는 경우 아래 30가지 웹으로 제공해주는 서비스를 이용하면 좋을 것이다 :) 1. 악성 도메인 차단 리스트, DNS-BH Ma.. 더보기 iptables 를 이용한 나만의 IPS 환경 구축 iptables 을 이용해서 간단하게 IPS 기능과 유사한 환경을 구축한 차단 테스트이다. 구성환경 : VMWare BackTrack5, VMWare Windows XP (DNS 서버설정 168.126.63.1) BackTrack5 에 우선 네트워크 카드 2개를 설정한다. 본 테스트에서는 Vmware의 네트워크를 Bridged Network(VMnet0)으로 설정하고 IP 주소를 10.1.1.1 로 설정하였다. 이것은 이제 사설 네트워크의 컴퓨터들이 외부 인터넷으로 연결되기 위한 게이트웨이 역할을 할 것이다. 다른 한 개에는 외부와 연결되는 공인 IP 를 할당할 것이다. 그러기 위해서 VMware의 네트워크를 NAT(VMnet8) 설정한다. 가장 기본적인 네트워크 설정이 끝났지만 이 상태에서는 절대 인터.. 더보기 [Tool][DoS] HTTP POST DoS, RUDY (R-U-Dead-Yet version 2.2 ) 과거, TCP기반(Layer4)이 주를 이루었던 DoS공격들은 다행히도 현재 장비에서 처리가 가능하다. 그리고 HTTP GET DoS 툴로 잘 알려져 있는 Slowloris 는 완전한 헤더정보를 보내지 않음으로써 서버는 헤더정보가 올 때까지 지연되어, 커넥션수가 늘어남에 따라 DoS가 발생하게 되는 공격이다. 이 공격은 헤더의 끝 문자가 \r\n으로 오는것으로 탐지 할 수 있었다. 이번에 소개할 DoS 공격기법은 HTTP POST DoS이다. 특정한 패턴이 존재하지 않고, Layer7 에 대한 DoS는 탐지기법자체도 장비에 영향을 줄 수 있어 대응이 어렵다. 하지만 프로그래밍된 요청에서 나오는 특이점과 몇 가지 대응방안을 생각해 볼 수 있다. RUDY 는 FORM을 이용한 HTTP Post를 전송하는 웹.. 더보기 SSDP 대량발생, 이상징후인가? SSDP란, Simple Service Discovery Protocol 의 약자로, UPnP 장치가 네트워크 탐색을 할 때 이 프로토콜을 이용한다. (※ UPnP란, Universial Plug and Play의 약자로 인터넷을 기반으로 작동하는 다양한 장치) 일반적으로 어느곳에서나 네트워크 패킷을 잡아보면 SSDP관련 패킷이 주기적으로 발생하는 것을 볼 수 있다. 혹은 프린터나 네트워크 장비를 PC에 연결 시켰을 때 대량 발생하는 경험을 할 것이다. Wireshark Filter :: udp.dstport == 1900 / ip.addr eq 239.255.255.250 더이상, 당황하지 않아도 된다..^^ >> UPnP 장비들이 SSDP NOTIFY, M-SEARCH(discovery) 를 주기적으.. 더보기 구글의 독자적인 프로토콜, SPDY SPDY : An experimental protocol for a faster web 2009년 11월, 구글에서 처음 발표한 SPDY는 "빠른 웹을 만들자" 라는 이념으로 웹 페이지을 지연시간을 줄이고자 만든 대체 프로토콜이다. 크로니엄 프로젝트에서 스피디 내용을 살펴보면, SPDY(SPeeDY로 발음)는 어플리케이션 단 프로토콜로 특히 지연시간을 최소화 하기 위해 고안된 것이다. 이 특별한 프로토콜과 더불어 구글에서는 SPDY 가 가능한 구글 크롬 브라우저와 오픈소스 웹서버를 만들었다. 테스트 결과, HTTP와 SPDY응 성능을 비교해 보니 SPDY에서 64%까지 페이지 로드 시간이 줄어들었다. SPDY 구조는 아래와 같다. SPDY adds a session layer atop of SSL tha.. 더보기 [Tool][Wi-Fi] 8가지 Wi-Fi 무료 툴 # 원문 :: http://www.networkworld.com/slideshows/2011/121211-wifi-tools.html 무료 툴을 소개하기 앞서, Wi-Spy나 AirMagnet 같은 상용툴도 있다. # NetStumbler (http://www.stumbler.net/) - 2004년 이후 업데이트가 이루어지고 있지 않아 윈도우즈 비스타, 7에서 동작 안함 - WEP, WPA, WPA2 가운데 무엇으로 암호화 되었는지 알 수 없음 - 기본적인 시그널을 읽거나 워드라이빙에는 효과적임 - 잘못된 설정이나 가짜 AP를 찾아내기 위한 보안감사에는 제한 # Vistumbler (http://www.vistumbler.net/) - 2007년에 발표되어 최근 2010에 업데이트 - 무엇으로 암호되었.. 더보기 이전 1 2 다음
