'Analog'에 해당되는 글 2건

  1. 2009.08.26 리눅스 보안 - 공격, 해킹 관련 보안 도구 및 유틸
  2. 2008.12.30 [웹서버로그] 웹 로그분석의 절대강자는?
2009.08.26 20:40

리눅스 보안 - 공격, 해킹 관련 보안 도구 및 유틸

서버취약점 점검 툴

         Cops (Computerizes Oracle and Password System) : 대표적인 보안점검 도구

스캐너관련 툴

         SAINT : 관리자용 네트워크 진단도구
         PortSentry : 대표적인 스캐닝방어도구이며 가장 많이사용하는 보안도구
         nmap : 서버의 취약점을 점검해주는 보안도구 (해킹시 상대 웹서버 포트 스캔용으로 사용됨)
         ISS (Internet Security Scanner) : 상업적인 스캐닝도구
         Nessus : 서버내의 취약점(헛점)들을 점검해주는 도구
         CGI scanner : 웹서버의 취약점을 스캐닝하는 도구 (cgi 스크립트 스캐닝)
         Courtney : per로 되어 있는 SATAN, SAINT 검색기
         IcmpInfo  : DOS공격등을 하는 ICMP 프로토콜의 감시도구
         scan-detector : UDP 스캔검색
         klaxon : 포트스캔검색도구
         SuperScan : 윈도용 포트스캔(Port Scan)의 대표도구
         Teleport Pro : 웹사이트(홈페이지) 스캔전용 툴(Download)

패스워드 훔쳐보는 크랙도구  

         Crack : 대표적인 패스워드 크랙도구
         WWWcrack : 패스워드크랙의 대표적인 툴        

침입발견도구들

         chkwtmp : wtmp파일에서 삭제된 부분을 검사하는 도구
         tcplogd : Stealth scan을 발경할 수 있는 침입발견도구
         Snort : 대표적인 침입발견도구
         HostSentry : 허용되지않은 로그인이나 침입발견 도구
         Shadow : Stealth Scan 발견툴
         MOM : 분산침입 발견도구
         AAFID : MOM과 같은 분산침입 발견도구

로그감시도구들

         SWATCH (Simple Watch) : 실시간 로그인감시 툴
         Watcher : 시스템로그와 데몬들의 실행상태를 감시하는 툴
         PingLogger : ping이 사용하는 프로토콜인 ICMP관련 로그를 감시하는 툴
         Analog : SWATCH와 함께 잘 알려진 로그감시 툴

방화벽 도구들

         Tcp Wrapper : 가장 대표적인 방화벽도구 tcpd
         ipfwadm : 방화벽 도구, 일명 패킷필터링 도구
         ipchains : 리눅스에 기본으로 설치되는 강력한 방화벽 도구

스니퍼관련 도구들

         linsniffer : 대표적인 스니핑도구
         linux_sniffer : 리눅스에서 사용가능한 스니핑도구
         hunt : 세션스누핑이 가능한 도구
         sniffit : 설정기능이 있는 스니핑도구
         ifconfig : NIC(랜카드)설정 및 네트워크상태 확인도구
         NEPED (Network Promiscuous Ethernet Detector) : 네트웍카드 스니핑도구

스푸핑 도구들

         mendax : IP Spoofing 도구
         seq_number.c
         ipspoof : 잘 알려진 스푸팅 도구
         snoof : DNS 스푸핑 도구
         ERECT : DNS 스푸핑 도구
         jizz : DNS 스푸팅 도구
         spoofscan : Rootshell이 만든 스푸팅 도구
         pmap_sett/unset : 패트릭 길버트가 만든 스푸핑 도구
         ICQ File transfer spoofer : ICQ 스푸핑 도구
         syslog-poison.c : 514번 포트를 사용하는 스푸핑 도구
         ICQ Hijaak : Wolveesbane이 만든 스푸핑 도구
         icqspoof.c : Seth McGann이 만든 스푸핑 도구
         RIP Spoofer : Kit Knox가 만든 스푸핑 도구
         syslog_deluxe : Yuri Volobuev가 만든 스푸핑 도구
         spoofkey : Greg Miller가 만든 스푸핑도구
         sirc4 : IRC와 Telnet 스푸핑 도구

파일무결성 검사툴

         Tripwire : 가장 대표적인 파일무결성 검사툴
         TAMU : The Texas AMU로서 파일무결성 검사툴
         trojan.pl : perl로 제작되어 이식성이 강한 파일무결성 검사툴

기타 크랙 툴

        서버크랙툴 : http://www.psygonx.de/Cracks/ServerCrack.zip
        FTP크랙툴 : http://www.psygonx.de/Cracks/FTPCrack.zip

참고도서 - 리눅스 서버 관리 실무바이블


출처 : www.twelo.com

Trackback 1 Comment 0
2008.12.30 14:14

[웹서버로그] 웹 로그분석의 절대강자는?

다운로드 :

웹 로그분석은 말그대로 아파치나 IIS 웹 서버들이 남겨놓은 웹 서버 접속 정보를 바탕으로 이를 분석하고 통계를 내어 보기좋게 출력하는 것을 말한다. 오픈소스 OS인 리눅스와 역시 오픈소스 웹서버인 아파치를 많이 사용하는 인터넷 환경에서 웹 로그분석의 중요성은 두말할 필요가 없다 하겠다. 1998년까지만 하더라도 제대로 된 리눅스용 웹 로그분석기가 없어서 기업 시장에 제대로 접근하기가 힘들었지만 요즘에는 적지 않은 웹 로그분석기들이 나와있어 오히려 어떤 걸 선택해야할지 고민해야하는 시점에 이르렀으니 참 격세지감이 아닐 수 없다.

레드햇 리눅스 9에 기본으로 깔려있는 분석기는 웹얼라이저(Webalizer)인데 간단한 기능을 가지고 있어 간편하게 사용할 수 있다. 이보다 훨씬 많은 분석과 통계를 제공하는 소프트웨어로는 AW스테이츠(AWStats)가 있고, 이 중간쯤에서 비주얼한 보고서를 출력하는 것으로는 아날로그(Analog)가 있는데 이 소프트웨어는 비주얼한 보고서를 출력하는 리포트매직(Report Magic)이라는 소프트웨어와 연동해서 움직인다.

여기서는 대표적인 웹로그 분석 오픈소스 소프트웨어인 웹얼라이저와 AW스테이츠, 아날로그+리포트매직을 살펴보도록 하겠다.

1.웹얼라이저 (GPL)

웹얼라이저는 기본으로 설치되어 있거나, 또는 CD만 집어넣어 다시 설치할 수 있는 경우가 많아서 설치한 후에 설정파일만 손보면 비교적 쉽게 사용할 수 있어서 아주 편리하다.

웹얼라이저가 제공하는 기능에는 어떤 것들이 있는지 살펴보자.




(홈페이지: http://www.mrunix.net/webalizer/)

메시지가 한글로 번역된 버전: http://www.oops.org ftp://mirror.oops.org/pub/Linux


공식 사이트에서 소프트웨어를 내려받아도 되고 김정균님이 메시지를 한글로 번역한 소프트웨어를 내려받아 설치할 수도 있다.



(웹얼라이저가 분석하고 통계를 낸 웹 화면1)



(웹얼라이저가 분석하고 통계를 낸 웹 화면2)


웹얼라이저는 C로 작성되어 있어 실행이 아주 빠른 반면 기능이 비교적 적다. 제공하는 기능은 다음과 같다.

월별 통계 (총 히트수, 파일수, 페이지수, 방문자수, 데이터 전송량 및 평균/최대값)
응답코드
일별 통계(그래프 및 표)
시간별 통계(그래프 및 표)
히트 URL 순위
접속 시작/종료에 사용된 주요 페이지
페이지 참조 통계
접속시 사용한 웹브라우저 및 OS (아주 간단히)


위와 같이 비교적 기본 기능을 제공하는데, 아울러 제공하는 그래프는 그리 세련되지는 않다.


2.AW스테이츠 (GPL)




(공식 페이지: http://awstats.sourceforge.net/)


AW스테이츠는 Perl 스크립트로 만든 로그분석기로 비교적 많은 기능을 제공한다. 언뜻 보기에는 웹 서버가 남겨놓은 로그를 하나도 남김없이 분석하고 통계를 낸다는 느낌마저 들 정도다. 일목요연한 출력에 비교적 깔끔한 그래프와 표를 보여주지만 그래프를 보면 항목과 떨어져있어 한눈에 이해되지 않는다는 단점이 있다.



(데모 페이지: http://awstats.sourceforge.net/cgi-bin/awstats.pl)


AW스테이츠는 데모 페이지를 따로 마련해두었는데 위 페이지를 접속하면 소프트웨어를 내려받아 사용하기 전에 마음껏 기능을 음미해볼 수 있어 아주 편리하다.

제공하는 분석 및 통계 내용을 잠깐 살펴보면 다음과 같다.

간단한 전체 요약 및 월별 통계 (순 사용자, 방문횟수, 페이지수, 히트수, 전송용량)
상기 항목에 대한 일별(4 항목)/요일별 통계(3 항목=페이지, 히트, 용량)
시간별 통계 (3 항목)
접속 국가 (3 항목)
접속 호스트 (3 항목 + 최종 접속 일시)
로봇/스파이더 방문자 (히트수, 데이터용량, 최종 방문 일시)
접속해서 끊기까지의 시간
파일 타입(php, html, asp 등에 대한 히트수, 전송용량 등)
많이 본 페이지 URL, 접속 및 끊기 시 사용된 페이지
운영체제 (히트수 및 비중)
브라우저
경유 사이트(다이렉트/북마크, 뉴스그룹 링크, 인터넷 서치 엔진 경유, 서치 엔진 이외 다른 사이트 경유)
검색에 사용된 단어 및 구절
HTTP 응답 코드





웹얼라이저에 비해 아주 자세한 통계를 보여주고 있음을 알 수 있다. 특히 로봇/스파이더 방문자를 순 방문자와 구별하여 통계를 내어주는 것은 AW스테이츠의 장점이라 할 수 있다. 또한 경유 사이트에 대한 자세한 분석은 실제 기업 마케팅에서 활용할 수 있는 부분이 있다.

아울러 AW스테이츠는 웹서버 뿐만 아니라 FTP, 메일 서버까지 분석해준다.



(메일 서버 분석 통계)


3.아날로그 + 리포트매직

아날로그는 개인이 소유하고 있는 공개 소프트웨어로 GPL과는 달리 배포 및 수정에 제한을 두고 있다. 또한 아날로그와 연결하여 사용하는 리포트 매직은 개인 소유를 기본으로 'Artistic License'를 가지고 있다. 따라서 이 두 소프트웨어는 GPL과는 거리가 있지만 기업이나 개인이 사용하는 데는 별 문제가 없어 보인다.



(아날로그 공식 페이지: http://www.analog.cx/)



(리포트매직 공식 페이지: http://www.reportmagic.org/)


리포트매직 사이트는 아날로그와 리포트매직을 함께 사용해서 데모를 시연하고 있다.



(데모 사이트: http://www.reportmagic.org/sample/index.html)



(운영체제 통계)


리포트매직이 제공하는 정보의 양은 웹얼라이즈와 AW스테이츠 중간 정도다. 구체적으로는 다음과 같다.

통계 요약 및 주간/일별/시간별 보고서
접속 도메인/단체
실패한 참조 및 경유 사이트
검색에 사용된 단어
브라우저/운영체제
응답코드
파일크기, 파일 타입, 디렉토리 보고
실패한 요청
접속 페이지 및 파일


전체적으로 깔끔하고 고급스러운 3D 그래프와 파이는 매력적이지만 항목별로 자세하지 않은 정보라든지 언급되지 않은 항목도 있어 아쉬움을 남긴다.


4.웹로그 분석기의 강자는?


무릇 소프트웨어는 사용 용도와 사용자의 의도에 맞으면 그것이 최고다. 기능이 많든 적든 그림이 멋지든 안 멋지든에 상관없이 말이다. 그런 점에서 본다면 지금까지 살펴본 웹얼라이저와 AW스테이츠, 아날로그는 나름대로 일장일단을 가지고 있다.



(주요 웹로그 소프트웨어의 기능을 정밀하게 비교 분석해놓은 AW스테이츠 메인 페이지)


상기 사이트는 주요 웹로그 소프트웨어들(지금까지 살펴본 세 가지 소프트웨어 + 히트박스)의 기능을 정밀하게 비교 분석하고 있다. 자신에게 알맞는 소프트웨어를 결정하기 전에 필요한 기능을 미리 확인해보면 도움이 될 것이다.

이중에서 굳이 강자를 뽑아야한다면 AW스테이츠의 손을 들어주고 싶다. 아주 자세하고 꼼꼼한 정보는 웹 사이트 운영자에게 단순한 정보제공뿐만이 아니라 웹 사이트를 활성화할 수 있는 방안을 생각하는 데 기초자료를 제공해준다. 그리고 웹 서버 뿐만 아니라 메일 서버, FTP 서버에 대한 통계는 또 나름대로 쓰일 일이 있을지도 모른다.

정밀한 접속 분석/통계를 필요로 하는 본격 웹 사이트에는 AW스테이츠를, 간단한 정보를 간편히 보고 싶은 사이트에는 웹얼라이즈를, 멋진 그래프와 고급스러운 디자인이 우선이라면 아날로그를 권하고 싶다.

지금까지 살펴본 소프트웨어들은 대다수 소스를 함께 제공한다. 따라서 저작권에 따라 다소 다르겠지만 자유 소프트웨어인 경우 소스를 고쳐 자신의 웹 사이트에 적용하거나 아니면 이를 필요로하는 고객들에게 공급해줄 수도 있겠다.

자유 소프트웨어와 함께 즐거운 삶이 되기를!



AWStats 를 설치 후, 일반적으로는 당연히 국가별로 접속기록 확인이 가능할것이라고 예상한다.
그러나, GeoIP가 없으면 국가별로 접속기록 확인이 불가능하다.
그리고 이것은 Default 옵션이 아니다.
먼저 GeoIP를 설치하자.
[root@fimg1 ~]# yum install GeoIP
그리고나서, GeoIP를 제공하는 MaxMind에서, GeoIP의 Binary Database 파일을 다운받는다.
[root@fimg1 ~]# cd /usr/local/lib
[root@fimg1 lib]# wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCountry/GeoIP.dat.gz
[root@fimg1 lib]# gzip -d GeoIP.dat.gz
[root@fimg1 lib]# wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz
[root@fimg1 lib]# gzip -d GeoLiteCity.dat.gz
AWStats에서, 해당 바이너리 데이터베이스를 통하여 접속기록 IP주소들에 대한 국가와 지역을 확인할 수 있도록 설정해주어야 한다.
[root@fimg1 lib]# vim /etc/awstats/awstats.www.sealtale.com.conf
1305번째 라인의 주석을 해제하고, 경로를 수정하자.
#LoadPlugin="geoip GEOIP_STANDARD /pathto/GeoIP.dat"                       에서
LoadPlugin="geoip GEOIP_STANDARD /usr/local/lib/GeoIP.dat"               이렇게, 경로를 지정하여준다.
동일하게, 1344번째 라인에서, 주석을 해제하고, 해당 바이너리 데이터베이스의 경로와, 파일명도 지정하여 주자.
#LoadPlugin="geoip_city_maxmind GEOIP_STANDARD /pathto/GeoIPCity.dat"              에서
LoadPlugin="geoip_city_maxmind GEOIP_STANDARD /usr/local/lib/GeoLiteCity.dat"    처럼 수정하여 준다.
이것으로 설정이 모두 끝났고,
해당 config를 업데이트 하여 준다.
/usr/local/awstats/wwwroot/cgi-bin/awstats.pl -config=www.sealtale.com -update
이제, 기존과 달리 AWStats에서, 국가와 지역에 대한 접속 기록을 얻을 수 있다.


Trackback 1 Comment 0