본문 바로가기

트래픽9

네트워크 트래픽 분석(NTA), 네트워크 탐지 및 대응(NDR) 네트워크 트래픽을 미러링하고 분석하는 과정은 네트워크 관리자와 보안 전문가에게 중요한 작업입니다. 이를 위해 다음과 같은 방법을 사용할 수 있으며, 여기에서는 NetFlow와 유사한 방식을 사용하는 예를 제시하겠습니다. 미러링 설정 및 데이터 수집: 네트워크 장비(스위치 또는 라우터)에서 특정 포트 또는 VLAN에서 발생하는 트래픽을 미러링 설정합니다. 이러한 미러링 설정은 SPAN (Switched Port Analyzer) 또는 RSPAN (Remote SPAN)으로 알려져 있으며, 특정 트래픽을 별도의 모니터링 장비로 복제합니다. 미러링 데이터 수집 장비 설정: 미러링 데이터를 수집할 트래픽 분석 장비를 설치하고 설정합니다. 이 장비는 트래픽 데이터를 수신하고 저장할 역할을 합니다. 네트워크 분석 .. 2023. 9. 30.
악성 브라우저 확장 프로그램 "CacheFlow" 해부 "CacheFlow"는 수백만 명의 사용자를 감염시키는 대규모 악성 브라우저 확장 프로그램 네트워크입니다. 이 확장 프로그램은 사용자들에게 무심코 다운로드되고 악의적인 활동을 숨기는 데 놀랄만한 기술을 사용합니다. 1. 확장 프로그램 설치 및 숨김 작업 CacheFlow 확장 프로그램은 사용자의 신뢰를 얻기 위해 정상적으로 보이는 기능을 제공합니다. 이들은 브라우저 스토어에서 다운로드되며, 대부분의 사용자들은 이러한 확장 프로그램이 안전하다고 가정합니다. 그러나 이런 가정은 항상 맞지 않을 수 있습니다. 2. 명령 및 데이터 숨김 CacheFlow의 주요 특징 중 하나는 악성 확장 프로그램이 명령 및 제어 트래픽을 숨기려는 방식입니다. 이들은 트래픽을 숨기기 위해 분석 요청의 Cache-Control H.. 2023. 9. 12.
PRTG Traffic Grapher PRTG Traffic Grapher는 윈도우 기반에서 네트워크 대역폭 사용률을 모니터링 할 때 사용 할 수 있는 유용한 프로그램이다. 네트워크 대역폭 사용률을 모니터링 할 때 사용하는 MRTG보다 훨씬 설치가 간단하고, 직관적인 인터페이스를 사용하기 때문에 사용하기에도 편하다. MRTG와 동일하게 SNMP를 사용하기 때문에, 네트워크 대역폭 이외에 CPU 사용량등의 정보도 알 수있다. 여기에 더해서 자체적으로 제공하는 스니핑 모드, Netflow 모니터링 등 MRTG에서 제공하지 않는 다양한 기능 또한 제공하고 있다. 대역폭 사용량을 그래프 뿐만 아니라 테이블 형태로도 제공하는데, 이 데이터를 엑셀로 변환해 다운로드 받을 수 있어 네트워크 관리자가 관리하는데 유용하게 활용 할 수 있다. 그런데 문제는 .. 2011. 11. 16.
Wireshark 1.4.8 & Wireshark 1.6.1 The Wireshark v1.4.8 update fixes a lot of bugs and known vulnerabilities such as CVE-2011-2597. Protocol support for the following protocols has been improved – ANSI MAP, GIOP, H.323, IEEE 802.11, MSRP, RPCAP, sFlow, TCP. Capture file support for Lucent/Ascend has been updated too! Download Wireshark v1.4.8 & Wireshark v1.6.1 (wireshark-win32-1.4.8.exe/wireshark-1.6.1.tar.bz2) here. If you enjo.. 2011. 7. 19.
네트워크에서 특정 문자열 탐지하기 얼마전까지 많은 서버에 피해를 주었던 코드레드 바이러스는 Windows NT나 Windows 2000의 IIS 서버만 공격하는 것으로 알려져 있지만 실제로 웹서버의 버전과는 관계 없이 80번 포트로 무차별적인 접속시도를 하여 웹 기반의 스위칭이나 라우터등 일부 네트워크 장비가 다운 되는 등의 문제가 있었다. 또한 아파치 서버의 경우 로그를 남겨 놓았을 경우 서버에 많은 로그를 남기어 디스크가 Full 이 되는 경우도 있었다. 코드 레드의 경우 각 서버의 로그 파일을 보면 공격지 IP 를 확인할 수 있지만 일일이 각 서버의 로그파일을 남기거나 분석하지 않고도 네트워크상에서 특정 문자열로 탐지가 가능하다. 이는 ngrep 이라는 툴을 이용하면 된다. ngrep 은 네트워크에 전송되는 트래픽에서 특정 문자열이.. 2010. 1. 12.
728x90