반응형 분류 전체보기304 유용한 Snort 추가 프로그램 프로그램 URL 설명 SnortSnarf www.silicondefense.com/software/snortsnarf Silicon Defense에서 만든 Snort 분석기, 출력이 HTML이다. Snortplot.php www.snort.org/dl/contrib/data_analysis/snortplot.pl 공격을 그래픽으로 표시해 주는 Perl 스크립트 Swatch swatch.sourceforge.net 실시간 syslog 모니터로서 e메일을 통해 실시간 경고를 전송한다. ACID acidlab.sourceforge.net The Analysis Console for Intrusion Databases의 약자다. Snort의 로그를 분석한다. 이 프로그램이 동작하려면 PHP, Apache, Sn.. 2010. 11. 30. Snort 구성 요소 구성 요소 설명 패킷 캡처/디코드 엔진 먼저, Snort는 libpcap 라이브러리를 통해 네트워크 트래픽을 캡처하고 디코드 엔진은 패킷을 분석하여 링크-계층 프로토콜용 패킷 구조를 채운다음 TCP와 UDP 포트와 같은 상위-계층 프로토콜용 패킷 구조를 채운다. 전처리 플러그인 디코드 엔진을 거친 다음 패킷은 전처리기로 전송되는데 전처리기는 패킷이 탐지엔진에 도착하기 전에 패킷을 검사하고 조작한다. 각 전처리기는 패킷의 내용을 검사하고, 경고를 보내고, 수정하는 등 작업을 수행한다. 탐지 엔진 전처리기 플러그인을 거친 다음 패킷은 탐지 엔진으로 전송된다. 탐지 엔진은 각 패킷을 간단한 검사를 통해 규칙파일의 항목과 비교한다. 탐지 플러그인은 패킷에 대한 추가 탐지 기능을 제공한다. 규칙에 들어 있는 각 .. 2010. 11. 30. Snort 빌드 configure 옵션 옵션 설명 --enable-debug 디버깅 옵션을 활성화한다. (개발자 전용) --with-snmp SNMP 경고 코드를 활성화한다. --enable-smbalerts SMB 경고 코드를 활성화한다. 이 기능은 내부에서 popen() 콜을 실행하기 때문에 보안에 취약하다. 따라서 주의해서 사용해야한다. --enable-flexresp "Flexible Response"(세션 스나이핑) 코드를 활성화한다. 이 기능을 사용하면 특정 규칙에 일치하는 악성 연결을 IP 레벨에서 끊을 수 있다. 이 기능은 libnet-liblary가 필요하다. --with-mysql=DIR MySql을 지원한다. ACID에서 MySQL을 사용하려면 이 옵션을 켜야 한다. --with-odbc=DIR ODBC을 지원한다. ACI.. 2010. 11. 30. Tomcat & JDK 설치 후 설정 1. 환경 변수 설정 CATALINA_HOME 톰캣 설치 경로 JAVA_HOME JDK 설치 경로 PATH $JAVA_HOME\bin CLASSPATH .;$JAVA_HOME\lib\tools.jar;$JAVA_HOME\lib\servlet-api.jar 2. 톰캣 설정 (1)web.xml (톰캣 설치 경로\conf\web.xml) ①invoker로 검색 후 을 감싸는 주석 제거 ②다시 invoker로 검색 후 을 감싸는 주석 제거 (2)server.xml (톰캣 설치 경로\conf\server.xml) ①로 검색 후 바로 위에 추가 3. JDK 설정 (1)복사 톰캣 설치 경로\common\lib\servlet-api.jar ⇨ JDK 설치 경로\lib\servlet-api.jar 4. EditPlus .. 2010. 11. 27. 조건부 점프 명령어 플래그 값에 따른 점프 명령어 예시 설명 jz jz L1 ZF 값이 1이면 해당 레이블로 이동한다. jnz jnz L1 ZF 값이 0이면 해당 레이블로 이동한다. jc jc L1 CF 값이 1이면 해당 레이블로 이동한다. jnc jnc L1 CF 값이 0이면 해당 레이블로 이동한다. jo jo L1 OF 값이 1이면 해당 레이블로 이동한다. jno jno L1 OF 값이 0이면 해당 레이블로 이동한다. js js L1 SF 값이 1이면 해당 레이블로 이동한다. jns jns L1 SF 값이 0이면 해당 레이블로 이동한다. jp jp L1 PF 값이 1이면 해당 레이블로 이동한다. jnp jnp L1 PF 값이 0이면 해당 레이블로 이동한다. jcxz jcxz L1 CX 값이 0이면 해당 레이블로 이동한다.. 2010. 11. 27. 부울 명령어 명령어 예시 설명 and and eax,ebx 피연산자를 AND 연산한다. or or eax,ebx 피연산자를 OR 연산한다. xor xor eax,ebx 피연산자를 XOR 연산한다. not not eax 피연산자의 비를 모두 반전시킨다. (1의 보수 값) test test eax,ebx 피연산자를 AND 연산한다. 플래그는 설정되지만 피연산자는 수정되지 않는다. 2010. 11. 27. 연산자 연산자 예시 설명 offset mov esi,OFFSET 변수명 이 연산자를 포함하는 세그먼트의 시작으로부터의 변수의 거리를 반환한다. ptr mov eax,WORD PTR 변수명 변수의 선언된 크기를 바꾸어 사용할 수 있게 한다. type mov eax,TYPE 변수명 변수 또는 배열 원소의 크기를 반환한다. lengthof mov eax,LENGTHOF 변수명 배열의 원소 개수를 반환한다. sizeof mov eax,SIZEOF 변수명 배열의 초기값이 설정된 바이트 수를 반환한다. typedef 자료형명 TYPEDEF PTR word 사용자 정의 자료형을 만든다. uses 프로시저명 PROC uses ecx esi 해당 프로시저 내에서 수정되는 레지스터의 이름을 열거하여 프로시저 실행이 끝나면 레지스.. 2010. 11. 27. 기본 명령어 명령어 예시 설명 inc inc eax 피연산자에서 1을 더한다. dec dec eax 피연산자에서 1을 뺀다. add add eax,ebx 소스 피연산자를 같은 크기의 목적 피연산자에 더한다. sub sub eax,ebx 목적 피연산자를 같은 크기의 소스 피연산자로 뺀다. neg neg eax 피연산자를 2의 보수로 변환하여 부호를 바꾼다. cmp cmp eax,ebx 목적 피연산자를 같은 크기의 소스 피연산자로 뺀다. 플래그는 설정이 되지만 피연산자는 수정되지 않는다. (ZF, CF) lea lea edi,esi 소스 피연산자의 유효 주소를 계산하여 목적 피연산자에 복사한다. jmp jmp L1 해당 레이블로 무조건 이동시킨다. loop loop L1 ECX 값이 0이 될 때까지 해당 레이블로 이동시.. 2010. 11. 27. 자료형 자료형 설명 BYTE 부호없는 8비트 변수 SBYTE 부호있는 8비트 변수 WORD 부호없는 16비트 변수 SWORD 부호있는 16비트 변수 DWORD 부호없는 32비트 변수 SDWORD 부호있는 32비트 변수 QWORD 64비트 변수 TBYTE 80비트 변수 REAL4 4바이트(32비트) 실수 변수 REAL8 8바이트(64비트) 실수 변수 REAL10 10바이트(80비트) 실수 변수 2010. 11. 27. 어셈블리어 고급언어 vs 저급 언어 응용형태 고급언어 저급언어 중대형 소프트웨어 많은 부분의 코드를 쉽게 체계화하고 유지, 보수가 쉽다. 형식을 갖춘 구조가 없어 프로그래머가 인위적으로 구조를 만들어주어야 한다. 하드웨어 장치 드라이버 하드웨어를 직접 제어할 수 없는 경우가 많아 까다로운 코딩 기술이 사용되어야하기 때문에 유지, 보수가 힘들다. 하드웨어 제어를 쉽게 할 수 있고 프로그램의 길이가 짧고 정리가 잘 된 경우 유지, 보수가 쉽다. 다양한 종류의 컴퓨터 시스템에서 작동되는 소프트웨어 대체로 이식성이 높아 약간의 수정만으로 재사용이 가능하다. 각 컴퓨터 시스템에 적절하도록 프로그램을 재작성 해야함으로 유지, 보수가 힘들다. 1.어셈블리 언어의 특징 ①기계어를 기호화한 기호식 언어이다. ②기계어와 기호가 1:.. 2010. 11. 27. 플래그 CPU의 현재 상태나 연산 결과와 관련된 정보를 보여준다. 각 비트 위치는 각각의 이름이 주어져 있다. 다음 페이지 표에는 8086/8088 플래그 레지스터의 비트 위치를 보이고 있다. 15 14 13 12 11 10 9 8 7 6 5 4 3 2 1 0 ✖ ✖ ✖ ✖ O D I T S Z ✖ A ✖ P ✖ C O=Overflow D=Direction I=Interrupt T=Trap S=Sign Z=Zero A=Auxiliary Carry P=Parity C=Carry ✖=undefined 1.제어 플래그 방향(direction : DF),인터럽트(Interrupt : IF),트랩(Trap : TF)플래그로 구성되며 CPU의 작동을 제어하기 위한 플래그이다. 플래그 종류 기능 방향 플래그 (DF) MOV.. 2010. 11. 27. 레지스터 레지스터는 CPU 바로 안에 있는 고속 저장 장소이며 일반 메모리보다 훨씬 빠른 속도를 접근되도록 설계되었다. 레지스터는 8개의 범용 레지스터와 6개의 세그먼트 레지스터, 프로세서 상태 플래그 레지스터와 명령어 포인터가 있다. 1.범용 레지스터 범용 레지스터는 계산과 데이터 전송에 주로 사용된다. 각 레지스터는 하나의 32비트 값이나 두 개의 16비트 값으로 다룰 수 있다. 어떤 레지스터의 일부분은 8비트 값으로 다룰 수 있다. 예를 들어 32비트 EAX레지스터의 16비트 하위 반은 AX라는 이름을 갖고 AX 레지스터의 8비트 상위 반은 AH, 하위 반은 AL이라는 이름을 갖는다. 32비트 16비트 8비트(상) 8비트(하) EAX AX AH AL EBX BX BH BL ECX CX CH CL EDX DX.. 2010. 11. 27. IA-32 프로세스 구조 IA-32프로세서는 보호 모드, 실제 주소 모드, 시스템 관리 모드의 세 가지 주요 동작모드를 갖는다. 가상 8086 모드는 보호모드의 특별한 경우이다. 동작모드 설명 보호 모드 모든 명령어와 특징을 사용할 수 있는 프로세서의 고유한 상태이다. 프로그램은 세그먼트라고 하는 분리된 메모리 영역이 주어지며 프로세서는 지정된 세그먼트 바깥의 메모리를 참고하는 것을 방지한다. 가상 8086 모드 보호 모드에서 프로세서는 MS-DOS 프로그램과 같은 실제 주소 모드 소프트웨어를 안전한 멀티태스킹 환경에서 직접 실행할 수 있다. 바꾸어 말하면 MS-DOS 프로그램에 이상이 있거나 데이터를 시스템 영역에 쓰려고 할 때에 동시에 수행되는 다른 프로그램에 영향을 주지 않을 것이다. 실제 주소 모드 다른 모드로 전환하는 .. 2010. 11. 27. 메모리 (Memory) 1. RAM (1)DRAM (Dynamic RAM) : 미소한 콘덴서에 전하를 축적함으로써 정보를 기억한다. 일정시간마다 기억 내용을 다시 재생해주는 재생회로가 필요하다. 전력소모가 작고 칩당 기억용량이 매우 크므로 고밀도화를 이룰 수 있으나 임의의 시점에서 리드와 라이트가 불가능하므로 주로 대용량의 기억장치 구성에 적합하다. (2)SRAM (Static RAM) : 전원 공급이 유지되는 한 저장 내용을 계속 기억하는 RAM 으로 제어가 간단하며 고속이므로 소용량의 기억장치 구성에 적합하다. 특징으로는 플립플롭 논리 게이트에 의한 기억 소자로 회로가 복잡하며 기억밀도가 작고 읽기 쓰기를 고속으로 실행할 수 있다. 또한 DRAM처럼 재생할 필요가 없다. 2.ROM (1)MASK ROM : 공장에서 대량 주.. 2010. 11. 27. 시스템의 기동 순서(Windows) ①CPU는 롬 바이오스 내의 초기화 프로그램으로 점프한다. 부트스트랩 로더라 불리는 프로그램이 시작 드라이브로 지정된 드라이브로부터 부트 레코드를 가져와 메모리에 보관한다. 부트 레코드는 장착되자마자 실행되는 프로그램을 가지고 있다. 이 프로그램은 io.sys, msdos.sys를 차례로 메모리에 보관한다. 마지막으로 메모리에 저장되는 프로그램은 MS-DOS 명령처리 프로그램인 command.com이다. ②command.com의 상주 부분은 항상 메모리에 남아 있다. 이는 오류 메시지를 발생시키며 Ctrl+Break나 긴급한 오류를 처리하는 루틴들을 가지고 있다. 비상주 부분은 램 메모리 상위 부분에 장착되어 키보드에서 입력되는 명령을 해석한다. ③다음으로 config.sys 파일을 실행하는데 이 파일은.. 2010. 11. 27. SSH 인증키 생성 #ssh-keygen -t rsa1 -f /etc/ssh/ssh_host_key #ssh-keygen -t rsa -f /etc/ssh/ssh_host_rsa_key #ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key #/etc/init.d/ssh start 2010. 11. 21. BackTrack IP 설정 #vi /etc/network/interfaces auto eth0 iface eth0 inet static address 192.168.1.10 netmask 255.255.255.0 broadcast 192.168.1.255 gateway 192.168.1.1 #/etc/init.d/networking restart #cd /etc/rc2.d #ln -s ../init.d/networking S21networking 2010. 11. 21. 우분투 tomcat 설치 & 아파치 연동 http://pmguda.com/729 우분투 tomcat 설치 & 아파치 연동 2010. 8. 25. Wireshark http://www.wireshark.org/download.html Wireshark® is the world's most popular network protocol analyzer. It has a rich and powerful feature set and runs on most computing platforms including Windows, OS X, Linux, and UNIX. Network professionals, security experts, developers, and educators around the world use it regularly. It is freely available as open source, and is released under the GNU Gene.. 2010. 8. 15. Paros http://www.parosproxy.org/download.shtml We wrote a program called "Paros" for people who need to evaluate the security of their web applications. It is free of charge and completely written in Java. Through Paros's proxy nature, all HTTP and HTTPS data between server and client, including cookies and form fields, can be intercepted and modified. 2010. 8. 15. 이전 1 ··· 8 9 10 11 12 13 14 ··· 16 다음 반응형
