모니터링43 728x90 네트워크에서 특정 문자열 탐지하기 얼마전까지 많은 서버에 피해를 주었던 코드레드 바이러스는 Windows NT나 Windows 2000의 IIS 서버만 공격하는 것으로 알려져 있지만 실제로 웹서버의 버전과는 관계 없이 80번 포트로 무차별적인 접속시도를 하여 웹 기반의 스위칭이나 라우터등 일부 네트워크 장비가 다운 되는 등의 문제가 있었다. 또한 아파치 서버의 경우 로그를 남겨 놓았을 경우 서버에 많은 로그를 남기어 디스크가 Full 이 되는 경우도 있었다. 코드 레드의 경우 각 서버의 로그 파일을 보면 공격지 IP 를 확인할 수 있지만 일일이 각 서버의 로그파일을 남기거나 분석하지 않고도 네트워크상에서 특정 문자열로 탐지가 가능하다. 이는 ngrep 이라는 툴을 이용하면 된다. ngrep 은 네트워크에 전송되는 트래픽에서 특정 문자열이.. 2010. 1. 12. Windows 프로세스 모니터링 및 관리 시스템에서 프로세스를 사용 중인 경우 가끔 주어진 시간에 실행되고 있는 모든 프로세스를 볼 필요가 있습니다. 예를 들어, 프로세스 중지 기능을 제공하는 응용 프로그램을 만들려면 먼저 어느 프로세스가 실행되고 있는지 알아야 합니다. 목록 상자를 프로세스 이름으로 채우고 각각 다른 작업을 수행하는 프로세스를 선택할 수 있습니다. 실행 중인 프로세스를 보려면 Process 형식의 빈 배열을 선언합니다. 빈 배열을 GetProcesses 메서드의 반환 값으로 채웁니다. 배열에서 각 프로세스의 이름을 얻으려면 인덱싱된 값을 사용하여 프로세스 배열을 검색하고 콘솔에 씁니다. 다음 예제에서는 Process 구성 요소의 GetProcesses 메서드를 호출하여 프로세스 배열을 반환하고 콘솔에 ProcessName 값을.. 2010. 1. 6. arpwatch로 MAC 주소 관리를 편리하게 네트워크 관리자의 수많은 어려움 중 하나로 단말의 네트워크 카드에 할당돼 있는 MAC 주소 관리를 들 수 있을 것이다. 특히 중대 규모 이상의 네트워크를 운영할 때는 네트워크에 연결된 서버나 PC가 교체되거나 추가돼도 이를 일일이 보고하지 않기 때문에 분기나 반년 또는 1년을 주기로 일괄 조사해 정보를 업데이트하기도 한다. 또한 보안적인 관점에서 LAN 구간에서는 ARP라는 프로토콜을 통해 통신을 하게 되는데, 프로토콜 자체의 취약성이 많다 보니 MAC을 위조하는 형태의 공격에 취약하기 마련이다. 따라서 MAC 주소를 잘 관리하면 만약의 보안 사고를 예방할 수 있을 뿐만 아니라, 보안사고가 발생했을 때 문제 해결의 근거가 되기도 한다. 그렇다면 MAC 주소는 어떻게 관리할 수 있을까. 가장 쉽게 확인할 .. 2009. 8. 19. 프로세스 시스템 콜 모니터링 (strace,ltrace,truss) 시스템을 운영하다보면 어떤 이상한? 문제가 발생하기도 한다. 이런 프로세스의 문제를 분석하기 위하여 사용하는 도구가 trace유틸리티이다. 그럼 사용법을 알아보자 strace는 System-call tracer라는 의미로 프로세스가 호출하는 시스템 콜을 보여준다. 아래의 명령으로 확인 가능하다. # strace -fFp [수행 중인 서버 PID] f는 fork되는 자식 프로세스를 포함 F는 vfork에 의해 생성된 자식 프로세스를 포함 p는 PID를 지정한다는 말이다. 예) # strace -fFp 9563 select(0, NULL, NULL, NULL, {0, 500000}) = 0 (Timeout) kill(11609, SIG_0) = 0 stat64("/tmp/pth_deamon/11609.pid.. 2009. 8. 17. 공개 시스템 모니터링 툴 zabbix 목적 공개 시스템 모니터링 툴은 zabbix를 설치하고 운용한다. 장점과 단점을 확인한다. 개선시킬 여지가 있는지 확인한다. QOS 시스템에 zabbix의 전부, 혹은 일부를 사용할 수 있을 것인가. 설치 소스를 컴파일해서 설치하기로 했다. 다운로드 : http://www.zabbix.org/ 버전 : zabbix-1.4.1 OS : Ubuntu 7, Kernel 2.6.20 DB : Sqlitezabbix는 snmp를 지원하며, 동시에 독립적인 Agent도 가지고 있다. 이 Agent를 이용하면, SNMP로는 얻기 힘든 자세한 시스템 정보들을 얻어낼 수 있다. 다음과 같은 방식으로 컴파일 했다. agent방식을 사용하며, DB로 mysql를 지원하도록 컴파일했다. # ./configure --enabl.. 2009. 8. 6. 이전 1 ··· 3 4 5 6 7 8 9 다음 728x90 728x90
