네트워크 모니터를 통한 패킷 분석 이해

Download Report

Transcript 네트워크 모니터를 통한 패킷 분석 이해 

네트워크모니터 패킷분석을 통한 실무활용
(DoS패킷분석, 웜 침입 PC 탐지 등)
발표자 : 이 완주
[email protected]
Agenda
www.globalsoft.co.kr
1
웜과 바이러스의 차이점
2
기존 시스템 로그 활용 방법
3
네트워크 모니터 설치 방법
4
네트워크 모니터로 본 TCP/IP
5
네트워크 모니터를 통한 보안 사례
6
참고 자료 및 질의 응답
2
글로벌소프트
Agenda
1
www.globalsoft.co.kr
웜과 바이러스의 차이점
3
글로벌소프트
웜과 바이러스의 차이점
 웜(Worm)은 PC통신과 인터넷이 등장하면서 나타난 악성코드 입니다. 바이러스는
일정기간 잠복기간을 통해 파일에 감염을 통한 파일 손상이 목적이라고 한다면 웜은
한 명이 감염된 순간 자신을 무한히 복제하고 퍼트리게 되는 방식으로 네트워크 및
CPU에 대한 과부하를 발생시키는 방식 입니다.
 웜의 배포 경로는 이메일, 보안취약점, 공유폴더, 관리목적 공유폴더, 기타 경로
등으로 배포가 됩니다.
 웜 제거 방법은 백신을 통해 제거 하거나 웜 실행 파일 및 프로세서 제거 방법으로
제거가 가능합니다.
 대표적인 웜
 Win32/Blaster.worm
 Win32/IRCBot.worm
 Win32/Bagle.worm
 의심되는 프로세서 및 파일 명
 Svchost.exe처럼 기본 프로세서의 이름을 변경시킨 프로세서나 서비스 명으로
확인 가능합니다. Scvhost.exe 혹은 svch0st.exe 등 간혹 winupdate.exe 와 같은
프로세서의 이름을 이용하여 사용 되기도 합니다.
www.globalsoft.co.kr
4
글로벌소프트
Agenda
2
기존시스템 로그 활용 방법
웹 서버 로그를 통한 보안 침예 사례
웹 서버 로그 분석을 통한 IP 조회
www.globalsoft.co.kr
5
글로벌소프트
웹 서버 로그를 통한 보안 침예 사례
 웹 서버의 로그를 확인하는 이유
 보지 않는 로그로 인한 하드 공간을 차지고 하고 있으므로 하드공간 부족오류로
서비스의 비 정상적인 실행이 나타날 수 있습니다.
 운영중인 웹사이트의 사용자 정보 및 공격에 대한 분석을 할 수 있습니다.
 웹 서버 로그 위치
 %systemroot%\system32\LogFiles\웹사이트 속성 확인
• 예) C:\WINDOWS\system32\LogFiles\W3SVC1
www.globalsoft.co.kr
6
글로벌소프트
웹서버 로그 분석을 통한 IP 조회
 IP를 통해 상대방 확인 방법
 IP를 확인하여 정상적인 사용자 인지의 유무를 확인하여 공격유형의 IP를 차단
함으로써 재 발생 되는 침입의 위험요소로 부터 방지 할 수 있습니다.
 IP 주소 확인 가능한 웹 주소
 http://whois.nic.or.kr : 인터넷 회선 가입자를 확인 할 수 있는 사이트
 www.ip-adress.com : 지도를 통해 위치를 확인 할 수 있는 사이트
 로그 내용을 통한 IP 확인 예제
인증 페이지가 있는 사이트는 로그파일이 1초에 동일 계정으로
여러 차례 시도 되는 것은 해킹 툴 혹은 내부 웹서버용
응용프로그램이 잘못되어 나타나는 경우가 많습니다.
그중 해킹 툴에 의한 시도일 확률이 높으므로 반드시 정상적인
IP와 사용자인지를 확인하고 그에 맞는 대비를 하셔야 합니다.
www.globalsoft.co.kr
7
글로벌소프트
Agenda
3
네트워크 모니터 설치 방법
네트워크 모니터 이해
네트워크 모니터 다운로드 방법
네트워크 모니터 설치 방법
네트워크 모니터 환경 구성
www.globalsoft.co.kr
8
글로벌소프트
네트워크 모니터 이해
 네트워크 모니터를 사용하여 패턴 식별에서 문제 방지 또는 해결까지 올바른
네트워크 작동을 유지하는 데 도움이 되는 정보를 모을 수 있습니다.
 네트워크 모니터는 이 네트워크 모니터가 설치된 컴퓨터의 네트워크 어댑터에서(로)
전달되는 네트워크 트래픽 대한 정보를 제공합니다.
 해당 정보를 캡처하고 분석하여 여러 유형의 네트워크 문제를 방지하고 진단하며
해결할 수 있습니다.
www.globalsoft.co.kr
9
글로벌소프트
네트워크 모니터 다운로드 방법
 다운로드 경로 (검색 키워드 : netmon 3.0 download)
 http://www.microsoft.com/downloads/details.aspx?FamilyID=aa8be06d-4a6a4b69-b861-2043b665cb53&DisplayLang=en
www.globalsoft.co.kr
10
글로벌소프트
네트워크 모니터 설치 방법
1
2
3
4
5
6
www.globalsoft.co.kr
11
글로벌소프트
네트워크 모니터 환경 구성
 네트워크 모니터 화면 구성 (Ver 3.0 기준)
네트워크 모니터 시작페이지로 네트워크 어뎁터를 지정하고 캡쳐를
시작 할 수 있는 페이지 입니다.
Start Page 라는 탭 메뉴로 언제든지 새로운 캡쳐를 시작 할 수
있습니다.
캡쳐 시작(F10), 중지(F11)키로 동작
가능하며 필터 구성을 가지고 있어 원하는
정보를 보다 쉽게 찾을 수 있습니다.
네트워크 어뎁터
지정 위치
네트워크
구성
정보
필터 설정 화면
캡쳐된 데이터 프레임
예를들어 이더넷 환경에서 10MB 데이터를 전송하면 실제 0.5~ 4KB 단위로
나뉘어 전송됩니다. (평균 1.5KB로 전송) 각 프레임의 상세 정보를 통해 데이터의
전송 과정을 확인 할 수 있습니다.
프레임의 상세 정보
www.globalsoft.co.kr
12
글로벌소프트
Agenda
4
네트워크 모니터로 본 TCP/IP
DHCP 서비스 이해
DHCP 서비스와 TCP/IP
www.globalsoft.co.kr
13
글로벌소프트
DHCP 서비스 이해
 DHCP 서비스 이해 (동적 IP 제공 서비스)
 IP를 자동으로 부여하는 서버로써 MS의 서비스뿐만 아니라 대부분의 IP 자동
부여를 목적으로 하는 서비스의 프로세스는 동일한 방법으로 IP를 제공하고
있습니다.
1
2
3
4
www.globalsoft.co.kr
14
글로벌소프트
DHCP 서비스와 TCP/IP
 DHCP 서비스와 TCP/IP
 이론적인 TCP/IP 4계층이 실제 서비스와의 연관 관계성을 살펴봄으로써
네트워크 서비스에 대한 분석 방법을 이해 할 수 있습니다.
TCP/IP
TCP/IP Protocol Suite
HTTP
Application
Presentatio
n
DNS
Application
FTP
SMTP
DHCP
SNMP
4
Session
1
Transport
Transport
TCP
Network
Internet
AR
P
Data-Link
UDP
IP
IG
MP
3
IC
MP
2
Link
Token
Ethernet Ring
Physical
1
Fram
e
Relay
2
ATM
3
4
대부분의 기업이 클라이언트 환경이 Ethernet 환경으로
구성되어 있으며 Ethernet의 정보는 네트워크
어뎁터(랜카드 ,NIC)의 고유값인 MAC 주소를 포함하고
있습니다.
MAC Address : 48bit로 구성된 고유의 값
Ipconfig /all 명령어로 확인 가능합니다.
예) Physical Address. . . . . . . . . : 00-03-FF-2C-CA-2A
서비스에 따라 각각 내용 해석을 위한 응용프로그램을 이용하며
그에 따라 해당 내용이 달라집니다.
www.globalsoft.co.kr
15
IP 주소값을 나타내며 누가 누구에게 접근했는지를 알 수
있습니다.
TCP는 신뢰적인 자료를 전송시 사용됩니다. 예를 들어 FTP
그러나 대부분의 서비스는 UDP를 이용하고 있습니다.
내부 네트워크는 신뢰적이며 서비스는 속도가 중요 합니다.
또한 네트워크 서비스는 여러 번의 시도를 통해 서비스를 확인
합니다.
글로벌소프트
Agenda
5
네트워크 모니터를 통한 보안 사례
서비스 거부 공격 (DoS) 패킷 분석
FTP 서비스를 통한 ID/Password 확인
www.globalsoft.co.kr
16
글로벌소프트
서비스 거부 공격 (DoS) 패킷 분석
 서비스 거부 공격은 서비스에 과도의 서비스를 요청함으로써 서비스를 못하게 하는
공격방법으로 웜을 이용한 공격등이 현재 많이 이용되고 있습니다.
 네트워크 모니터로 웜 발생 컴퓨터를 찾는 실습입니다.
Ping 을 통한 공격 방법으로 버퍼사이즈를 65000바이트를
요청하여 늦게 반응 하는 것을 알 수 있으며 위와 같이 방법으로
여러 PC에서 동시에 공격을 한다면 서비스의 과부하로 인해
정상적인 서비스를 하지 못하게 됩니다.
위와 같은 경우 해당 공격자를 찾기 위해서는 네트워크 모니터에
가장 많은 패킷을 전달하는 컴퓨터를 찾으시면 쉽게 공격자를
찾으실 수 있습니다.
웜 공격자 또한 동시에 많은 패킷을 보내고 있어 네트워크를
느리게 하는 방법이므로 위와 같은 방법으로 쉽게 찾으실 수
있습니다.
www.globalsoft.co.kr
17
글로벌소프트
FTP 서비스를 통한 ID/PW 확인
 네트워크 모니터로 보안되지 않는 사이트에 대한 ID/Password가 얼마나 쉽게 유출
될 수 있는지 확인 하는 실습입니다.
 FTP 사이트에 서버 인증서를 첨부할 수 있습니까? (IIS 6.0)
아니요. FTP 사이트에서는 SSL(Secure Sockets Layer) 기능이 지원되지
않습니다.
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ko/lib
rary/iis/1d5d9d20-5b90-4b3d-b577-02077fe8bf25.mspx?mfr=true
www.globalsoft.co.kr
18
글로벌소프트
Agenda
6
www.globalsoft.co.kr
참고자료 및 질의 응답 (Q&A)
19
글로벌소프트
참고 자료 및 질의응답
 참고 자료 교육 내용에 도움이 되었으면 합니다.
웹하드를 통해 자료 제공해 드리겠습니다.
http://officehard.globalsoft.co.kr
ID : wjlee
Password : datadown
자료내용 : 참고 동영상 자료, 강의자료, 기타 참고 자료
 질의응답 (Q&A)
www.globalsoft.co.kr
20
글로벌소프트
www.globalsoft.co.kr
연락처 : 02-522-0096(내선 200), 018-231-1860