본문 바로가기
반응형

전체 글284

유용한 Snort 추가 프로그램 프로그램 URL 설명 SnortSnarf www.silicondefense.com/software/snortsnarf Silicon Defense에서 만든 Snort 분석기, 출력이 HTML이다. Snortplot.php www.snort.org/dl/contrib/data_analysis/snortplot.pl 공격을 그래픽으로 표시해 주는 Perl 스크립트 Swatch swatch.sourceforge.net 실시간 syslog 모니터로서 e메일을 통해 실시간 경고를 전송한다. ACID acidlab.sourceforge.net The Analysis Console for Intrusion Databases의 약자다. Snort의 로그를 분석한다. 이 프로그램이 동작하려면 PHP, Apache, Sn.. 2010. 11. 30.
Snort 구성 요소 구성 요소 설명 패킷 캡처/디코드 엔진 먼저, Snort는 libpcap 라이브러리를 통해 네트워크 트래픽을 캡처하고 디코드 엔진은 패킷을 분석하여 링크-계층 프로토콜용 패킷 구조를 채운다음 TCP와 UDP 포트와 같은 상위-계층 프로토콜용 패킷 구조를 채운다. 전처리 플러그인 디코드 엔진을 거친 다음 패킷은 전처리기로 전송되는데 전처리기는 패킷이 탐지엔진에 도착하기 전에 패킷을 검사하고 조작한다. 각 전처리기는 패킷의 내용을 검사하고, 경고를 보내고, 수정하는 등 작업을 수행한다. 탐지 엔진 전처리기 플러그인을 거친 다음 패킷은 탐지 엔진으로 전송된다. 탐지 엔진은 각 패킷을 간단한 검사를 통해 규칙파일의 항목과 비교한다. 탐지 플러그인은 패킷에 대한 추가 탐지 기능을 제공한다. 규칙에 들어 있는 각 .. 2010. 11. 30.
Snort 빌드 configure 옵션 옵션 설명 --enable-debug 디버깅 옵션을 활성화한다. (개발자 전용) --with-snmp SNMP 경고 코드를 활성화한다. --enable-smbalerts SMB 경고 코드를 활성화한다. 이 기능은 내부에서 popen() 콜을 실행하기 때문에 보안에 취약하다. 따라서 주의해서 사용해야한다. --enable-flexresp "Flexible Response"(세션 스나이핑) 코드를 활성화한다. 이 기능을 사용하면 특정 규칙에 일치하는 악성 연결을 IP 레벨에서 끊을 수 있다. 이 기능은 libnet-liblary가 필요하다. --with-mysql=DIR MySql을 지원한다. ACID에서 MySQL을 사용하려면 이 옵션을 켜야 한다. --with-odbc=DIR ODBC을 지원한다. ACI.. 2010. 11. 30.
Tomcat & JDK 설치 후 설정 1. 환경 변수 설정 CATALINA_HOME 톰캣 설치 경로 JAVA_HOME JDK 설치 경로 PATH $JAVA_HOME\bin CLASSPATH .;$JAVA_HOME\lib\tools.jar;$JAVA_HOME\lib\servlet-api.jar 2. 톰캣 설정 (1)web.xml (톰캣 설치 경로\conf\web.xml) ①invoker로 검색 후 을 감싸는 주석 제거 ②다시 invoker로 검색 후 을 감싸는 주석 제거 (2)server.xml (톰캣 설치 경로\conf\server.xml) ①로 검색 후 바로 위에 추가 3. JDK 설정 (1)복사 톰캣 설치 경로\common\lib\servlet-api.jar ⇨ JDK 설치 경로\lib\servlet-api.jar 4. EditPlus .. 2010. 11. 27.
조건부 점프 명령어 플래그 값에 따른 점프 명령어 예시 설명 jz jz L1 ZF 값이 1이면 해당 레이블로 이동한다. jnz jnz L1 ZF 값이 0이면 해당 레이블로 이동한다. jc jc L1 CF 값이 1이면 해당 레이블로 이동한다. jnc jnc L1 CF 값이 0이면 해당 레이블로 이동한다. jo jo L1 OF 값이 1이면 해당 레이블로 이동한다. jno jno L1 OF 값이 0이면 해당 레이블로 이동한다. js js L1 SF 값이 1이면 해당 레이블로 이동한다. jns jns L1 SF 값이 0이면 해당 레이블로 이동한다. jp jp L1 PF 값이 1이면 해당 레이블로 이동한다. jnp jnp L1 PF 값이 0이면 해당 레이블로 이동한다. jcxz jcxz L1 CX 값이 0이면 해당 레이블로 이동한다.. 2010. 11. 27.
부울 명령어 명령어 예시 설명 and and eax,ebx 피연산자를 AND 연산한다. or or eax,ebx 피연산자를 OR 연산한다. xor xor eax,ebx 피연산자를 XOR 연산한다. not not eax 피연산자의 비를 모두 반전시킨다. (1의 보수 값) test test eax,ebx 피연산자를 AND 연산한다. 플래그는 설정되지만 피연산자는 수정되지 않는다. 2010. 11. 27.
반응형
바로가기

티스토리툴바