'CurrentControlSet'에 해당되는 글 2건

  1. 2010.08.03 윈도우 환경 MAC Address 변경 (Free) (1)
  2. 2009.09.09 SYN Flooding Attack 방어 (윈도우 환경) (1)
2010.08.03 13:59

윈도우 환경 MAC Address 변경 (Free)

버전 : 5.0 릴리스 3
프로그래머 : Shreyas Zare
시스템 요구 사항 : 윈도우 2000 / XP에서 / 서버 2003 / 비스타 호환 가능 [microsoft.com] / 서버 2008 / 7
비용 : 프리웨어

지금 다운로드

Technitium MAC 주소를 체인저 드라이버는 허용하거나 변경 미디어 액세스 제어 (MAC 제조 업체) 주소의 네트워크 인터페이스 당신의 NIC의 카드 (NIC)에 상관없이. 그것은 인터페이스를 가진 매우 간단한 사용자와 기계를 제공 충분한 NIC를 각 정보에 관한.모든 NIC가 제조 업체가 MAC 주소를 하드 코딩함으로써 회로. 이것은 하드) (랜 네트워크를 이더넷 MAC 주소의 코드에 액세스하는 데 사용하여 Windows 드라이버. 이 도구는 주소의 MAC 원래 하드 코딩된 수있는 새로운 세트 우회 MAC 주소를 귀하의 NIC를. Technitium MAC 주소를 체인저 상자는 도구의 전문가 있어야 도구에서 모든 보안. Technitium MAC 주소를 체인저가 Visual Basic 6.0에서 코딩입니다.

에는 무료지만, Technitium MAC 주소에 해당 체인저있다! 미화는 2499으로 일부 유명 상용 도구를 사용할 수있는 시장에 달러만큼에 19.99. 우리는 가치를 레지스트리 변경 할 단지 비용을 청구하지 용! 이 주장 또한 아는 방법을 제공 도구 상업 일부 연구를 작동하지 않는 광범위한 요구! 읽기 방법 자세한 내용은 작품 (아래 추가)에 대한.


특징

  • 지원 윈도우 비스타 / 서버 2008 서비스 팩 2 릴리스 3에 추가되었습니다.
  • 윈도우 7 RC에 대한 지원이 추가되었습니다.
  • 설치 프로그램과 문제 해결. 귀하의 모든 의견에 (감사합니다)
  • 대부분은 이전 버전에서 버그를보고 제거. 귀하의 모든 의견에 (고마워)
  • 허용 당신은 더 이상 물리적으로 시스템에 설치된 모든 레지스트리 항목을 네트워크 어댑터에 해당하는 제거합니다.
  • 허용은 당신이 구성 프리셋 또는 커맨드 라인을 통해 Internet Explorer에서 HTTP 프록시 설정을 구성합니다.
  • 식별은 미리가 적용된 현재 네트워크 인터페이스 카드 (NIC)가 자동으로 쉽게 설정을 식별하고 선택하지 않았습니다.
  • Windows Vista와 대부분의 알려진 문제점이 제거됩니다. 귀하의 모든 의견에 (감사합니다)
  • 그것의 제조자 또는 그 드라이버의 네트워크 인터페이스 카드 (NIC) 무선랜 카드를 포함하여 변경 MAC 주소,없이.
  • 회사 주소 알려진 모든 제조 업체가 보유하고 최신 목록은 ()에서 선택하십시오. 당신은 또한 MAC 주소를 입력할 수있는 대상 및 제조 업체 알고 그것에 속한다.
  • 허용은 당신이 버튼을 클릭하여 제조 업체 목록에서 임의의 MAC 주소를 선택합니다.
  • 다시 시작하여 NIC가 즉시 자동으로 MAC 주소 변경 사항을 적용합니다.
  • 허용은 당신이 미리 설정을 구성, 모든 NIC에 설정을 저장하고 아주 많은 설정을 사이에 한 번의 클릭으로 간단하게 전환하고 따라서 시간을 많이 절약할 수 생성할 수 있습니다.
  • 가져오기 또는 내보내기 설정 프리셋 당신에게 허용하거나 시간을 재구성에 지출을 많이 절약할 다른 파일에서.
  • TMAC 어떤 구성 프리셋 파일을 그냥 더블 클릭하여 시작하면 허용 당신이 어떤 구성 프리셋을로드합니다. (*. CPF가 파일 확장명)
  • 작업을 들고 밖으로 정기적인 했나요에 명령을 모두 수행할 수 있도록 당신이 라인 인터페이스를 작업에서 프로그램을 배치 명령 프롬프트 또는 도스도 만들 수 있습니다. (참조 도움 ) 명령줄 매개 변수에 대한 자세한 내용
  • 설치 프로그램 인터페이스를위한 명령줄 명령했습니다. (참조 도움 ) 명령줄 매개 변수에 대한 자세한 내용
  • 허용은 당신은 모든 네트워크 연결에 대한 자세한 텍스트 보고서를 내보낼 수 있습니다.
  • 디스플레이는 모든 정보를 본 적 장치 이름, ID를 구성, 하드웨어 ID, 연결 상태, 연결 속도, DHCP를 세부 정보, TCP / IP를 세부 정보 등과 같은 하나의보기에서 NIC에 대해 알아야 할 것이다
  • 디스플레이 전체가 전송 바이트 NIC를 통해 받았습니다.
  • 디스플레이의 현재 데이터 전송 속도를 초당.
  • 허용은 당신이 당신의 NIC를 위해 신속하고 즉시 IP 주소, 게이트웨이 및 DNS 서버를 구성합니다.
  • 허용 당신은 / DHCP를 즉시 해제 활성화됩니다.
  • 허용 당신 출시 / 갱신 DHCP를 IP 주소로 즉시.
  • 디스플레이 DHCP를 얻을 임대 및 임대 시간이 만료됩니다. (시행되는 DST 기간 버그 제거)
  • 허용은 당신이 즉각 인터페이스 메트 릭을 구성합니다.
  • 대부분의 작업에 대한 빠른 키보드 단축키.
  • 윈도우 비스타 / 서버 2008 / 7 유적에 TMAC은 비 작동 상태와 어떤 NIC를 해제할 수 없다는 하나의 알려진 문제.


오해

많은 사람들이 변화에는 NIC 믿는 코딩의 MAC 주소는 힘든, 카드 수 없습니다. 네, 그것의 하드 코딩된하지만, 그것은 NIC의 카드의 수에서 칩을 제거하는 플래시에 의해 변경에만 다시 카드에 프로그래밍을 새로운 다시 퍼팅의 MAC 주소와. 하지만이 소프트웨어의 MAC 주소를 코딩하지 않습니다 변화 하드. Technitium MAC 주소를 체인저가 레지스트리를 지시 윈도우 (TM는 Windows에서 지정한) 그것이 주소를 사용하여 Mac을. ) 없으면의 MAC TM는 (즉 주소를 지정하기 위해서는 Windows, 그것이 코딩 하나에 하드 사용 계층 OSI의 NIC에 구조 이더넷 또는 IEEE 네트워크 프레임 (또는 단순히 패킷에 사용됩니다). TM)의 변화 MAC 주소의 NIC가 (또한 윈도우는 Windows (TM)를 네트워크 브리지가 활성화됩니다. 의 NIC의 주소는 MAC 번호가 첫 번째 0x02 네트워크에 추가로 설정됩니다 대교. 다리의 네트워크 주소를 변경 Mac 소프트웨어이 불가능합니다에서 Windows (TM을 사용).


어떻게 작동합니까?

이 소프트웨어는 단지 윈도우 레지스트리에 기록 값을 입력합니다. 때 네트워크 어댑터 장치가 활성화되어 '에 NetworkAddress에 대한 레지스트리 값'창 검색 키 HKEY_LOCAL_MACHINE을 \ 시스템 \ CurrentControlSet \ 컨트롤 \ 클래스 \ (4D36E972 - E325 - 11CE -BFC1 - 08002bE10318) \ [신분증 NIC의] 예 : 0001. 현재의 경우는 값이, 창문, 주소의 MAC을 사용하는 것입니다 그렇지 않으면, 창문의 MAC 주소를 사용하는 것입니다 하드 코딩된 제공하는 제조 업체. 단순? 일부 네트워크 어댑터 드라이버는 내장이 시설을 시작합니다. 이것은 장치 관리자 윈도우에서 어댑터의 장치 등록 정보 네트워크 사전 설정 탭에서에서 할 수 발견.


어떻게 MAC 주소를 변경하려면

1. 시작 MAC 주소를 체인저가 어댑터를 네트워크 목록을 사용할 수있는 모든 것입니다.

2. 선택 어댑터 당신이 주소의 MAC 필요로 변경합니다. 당신은 아래의 선택의 세부 사항을 얻을 것이다.

3. 변경을 누릅니다의 MAC 버튼, 버튼 입력 새로운 MAC 주소를 변경을 클릭하세요 그리고하라는 메시지가 나타나면 확인을 만든 변경 내용을 당신이.

4. 어댑터를 네트워크 MAC 주소의 원래 복원하려면 어댑터를 선택, 변경을 누릅니다의 MAC 버튼을 누른 다음 기존의 MAC 버튼을 클릭하고 변경 확인 메시지가 나타나면 당신은 만들 때.

참고 : 이 도구는 네트워크 브리지 마이크로 소프트의 주소의 MAC 수 없습니다 변경할 수 있습니다. NIC가 네트워크 브리지는 처음에 MAC 주소의 원래 자동으로 사용 0x02으로 추가된의 첫 번째 옥텟와 다리로 설정된 주소 맥.


이용 약관

  • 이 소프트웨어는, 프리웨어 제공 '끊임없이으로 함께'어떠한 보증도 무슨 - 그래서.
  • Technitium 소프트웨어를이 어떤 또는 어떠한 방식 으로든 책임을지지 않습니다에 대한 손해는 사용자 컴퓨터의 하드웨어 / 소프트웨어 데이터 손실을 사용하여 동시에 /.
  • 정의에 의해 국가에서 사용되는 법률 또는 국가는 같은 목적으로 소프트웨어를이되어야하지에 사용되는 어떤 비윤리적 불법 또는 그 반대 사용됩니다.
  • 사용자는 소프트웨어의 위험이 그 / 그녀의 자신에서 그것을 사용해야 단독 책임자 따라서와 소프트웨어에 대한 어떠한 증서 다 사용합니다.
  • 다운로드 / 복사 / 설치 / 소프트웨어를 사용하여이, 당신은 약관 및 본 약관에 따라 동의합니다.
  • 누구에 의해 배포는 소프트웨어 제한이 없습니다.

 

지금 다운로드!

 파일 등록    
     
이름 :
  TMACv5_R3_Setup.zip
크기 :
  1.26 MB의
CRC32 :
  F71B9A60
형식 :
  Zip 파일
     
파일 해시
   
의 MD5 :
  2CFB8F31 01C65741 C19BF8B2 AB90A921
SHA1 :
  64670A1B 3184EAF1 8B3D2DEE F115CABF의 4A92B9AE
sha256 :
  2454CCDB 61F0DD01 C567FE36 882FC1DA 1282ADE4 C6BA4EDA A59B1411 47842B62
     
 다운로드에서    
     
공식 토 런트 :
  다운로드 토런트 파일

Trackback 1 Comment 1
  1. ganjuro 2010.08.19 16:29 address edit & del reply

    아... 구글번역 돋보이네여 ;;;;

2009.09.09 18:47

SYN Flooding Attack 방어 (윈도우 환경)

일반적으로 인터넷에 연결된 환경에서는 많은 IP 프로토콜들의 종류가 있지만 적어도 TCP(Transmission Control Protocol:6), UDP(User Datagram Protocol:17), ICMP(Internet Control Message Protocol:1)에 대해서는 익히 들어보았을 것입니다. 이중에서 TCP는 가장 많이 사용되는 프로토콜로 시스템간의 상호 대화하기 위해 사용됩니다.

TCP 프로토콜을 사용하여 두 시스템간의 연결 및 전송이 어떻게 구축되는지 알아보겠습니다. 다음은 TCP 프로토콜에 사용되는 플래그입니다. 이들 플래그를 통해 현재 연결이 시작되는지 종료되는지 에러가 발생하여 재전송 하는지 등의 상태를 나타냅니다.

  • SYN (Synchronization) : 초기 TCP 연결 요청
  • ACK (Acknowledgement): ACK 번호 필드에 값이 타당한지를 알려줌
  • FIN (Finish): TCP연결을 정상적으로 종료
  • RST (Reset): TCP연결을 즉시 종료
  • PSH (Push): 수신측에 가능한 빨리 데이터를 전달
  • URG (Urgent): Interrupt를 처리

따라서, 클라이언트에서 서버로 TCP 연결을 시도하면 다음과 같은 과정을 거쳐 연결이 구축됩니다.

  1. 정상적인 연결 구축 

    • Clinet -> Server : SYN 메시지 전송
    • Server -> Client : SYN-ACK 메시지 전송 ( 여기까지 과정을 수행하게 되면 서버는 스택(Stack)에 진행중인 연결에 대한 정보를 저장한다.)
    • Client -> Server : ACK 메시지 전송

  2. 주로 예상되는 공격 패턴

    • Client -> Server : SYN 메시지 전송
    • Server -> Client : SYN-ACK 메시지 전송
    • Client -> Server : 비정상적인 SYN 메시지 전송

    이러한 방식으로 서버는 스택에 계속 정보를 쌓아두기 때문에 나중에 시스템이 정지하는 일이 발생합니다.

    다음은 정상적인 연결에 사용되는 플래그의 조합과 공격으로 의심이 갈만한 플래그의 조합입니다.

  3. 정상적인 연결

    • SYN, SYN-ACK, ACK은 정상적인 TCP연결을 구축할 때 사용(3 Handshake 방식)
    • 초기 SYN패킷을 제외하면, 연결을 맺은 모든 패킷들은 ACK 비트가 설정되어야만 함
    • FIN ACK, ACK는 연결을 정상적으로 종료할 때 사용
    • RST ACK는 연결을 즉시 종료할 때 사용
    • 연결후에 송수신되는 패킷들은 디폴트로 ACK비트를 포함하고 있다.
    • 연결후 송수신되는 패킷에는 PSH 그리고/또는 URG가 포함될 수 있음

  4. 비정상적인 플래그 조합으로 공격이 의심되는 연결

    • SYN과 FIN을 동시에 수행하는 정상적인 패킷은 없다
    • SYN FIN PSH, SYN FIN RST, SYN FIN RST PSH와 같은 SYN FIN들의 다양한 변형들이 존재
    • 정상적인 패킷은 FIN플래그만을 포함하지 않음(주로 Port Scan, Network Mapping, Stealt에 사용됨)
    • NULL 패킷( 플래그가 설정되지 않은 패킷)
    • 정상적인 패킷들은 출발지 및 목적지의 포트가 0으로 설정되어 사용되지 않음
    • ACK 플래그가 설정되어 있을 때 ACK 번호는 0으로 설정되면 비정상적인 패킷임
    • SYN만 설정된 패킷은 어떤 Data를 포함하고 있지 않으며, 새로운 연결이 시도될 때만 설정된다.
    • TCP 연결은 목적지 주소로서 Broadcast주소(xxx.xxx.xxx.255)를 사용하지 않음

이제부터 어떻게 SYN Attack 을 막을지를 생각해봅시다.
가장 좋은 방법은 스택을 늘리는 것인데, 실제로 가능할지는 몰라도 우리가 구현하는 방법과는 거리가 멉니다. 그래서, MS사가 추천하는 방법을 소개하려고 합니다.

이 방법은 가장 기본적인 방법으로 레지스트리를 편집하는 방법입니다. 다른 방법으로는 보안 툴 또는 IDS(Intrusion Detect System:침입탐지시스템)을 이용할 수 있지만 좀 힘들겠죠 ?

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters

  • SynAttackProtect
    - 형식 : REG_DWORD
    - 범위 : 0 – SynAttack 프로텍션을 사용하지 않음.
    1 – 재전송 시도를 줄이고, TcpMaxHalfOpen 및 TcpMaxHalfOpenRetried 설정이 만족한다면 RCE(route cache entry)를 지연시킴
    2 – 1 기능외에도 Winsock 에 대한 지시(indication)를 지연시킴
    - 기본 : 0
    - 추천 : 2
    - 설명 : SynAttack을 막는 방법은 SYN-ACKs 의 재전송을 줄이는 것입니다. 연결이 구축될때까지 RCE(route cache entry) 자원의 할당을 지연시킵니다. 만약 값 2를 적용한다면 3 handshake가 완료될 때까지 AFD의 연결 indication이 지연됩니다. 또한 TcpMaxHalfOpen 과 TcpMaxHalfOpenRetried 설정과 함께 사용되어야 합니다.

  • TcpMaxHalfOpen
    - 형식 : REG_DWORD
    - 범위 : 100–0xFFFF
    - 기본: 100 (Professional, Server), 500 (advanced server)
    - 추천 : 기본값
    - 설명 : 이 패러미터는 SYN-ATTACK 공격이 동작하기 전에 SYN-RCVD 상태에서 연결되는 개수를 제한합니다. 만약 SynAttackProtect 가 1로 설정되면 이 값은 AFD가 청취하는 보호하려는 포트의 Backlog보다 작은 값이어야 합니다.( Backlog에 대한 자세한 정보는 Backlog Parameters를 참고하세요.)

  • TcpMaxHalfOpenRetried
    - 형식 : REG_DWORD
    - 범위 : 80–0xFFFF
    - 기본 : 80 (Professional, Server), 400 (Advanced Server)
    - 추천 : 기본값
    - 설명 : 이 값은 SYN-RCVD 상태에서 연결되는 개수를 제어합니다. SYN-RCVD는 SYN-ATTACK 방어가 동작하기 전에 적어도 한번의 SYN 플래그를 재전송합니다. 이 값을 적용하기 전에 먼저 충분한 테스트를 거쳐 적절한 값을 얻어야 합니다.

  • EnablePMTUDiscovery
    - 형식 : REG_DWORD
    - 범위 : 0, 1 (False, True)
    - 기본 : 1 (True)
    - 추천 : 0
    - 설명 : 이 값이 1로 설정되면 원격 호스트에 이르는 경로에 MTU 또는 최대 패킷사이즈를 찾으려고 시도합니다. 경로 MTU를 찾고 및 TCP 세그먼트를 이 크기로 제한함으로써 TCP는 다양한 MTU로 연결된 네트워크에 있는 라우터의 분산(fragmentation)을 막을 수 있습니다. Fragmentation은 TCP 처리량과 네트워크 부하에 영향을 미칩니다. 이 값을 0으로 설정하면 로컬 서브넷에 있지 않은 호스트에 연결되는데 MTU를 576바이트로 설정하게 됩니다.

  • NoNameReleaseOnDemand
    - 형식 : REG_DWORD
    - 범위 : 0, 1 (False, True)
    - 기본 : 0 (False)
    - 추천 : 1
    - 설명 : 이 값은 네트워크에서 이름-해제 요청을 받았을 때 컴퓨터가 NetBIOS 이름을 해제할 지 여부를 결정하게 됩니다. 이 값을 설정함으로서 이름-해제(name-release) 공격에 대비할 수 있습니다.

  • EnableDeadGWDetect
    - 형식 : REG_DWORD
    - 범위 : 0, 1 (False, True)
    - 범위 : 0,1 (False, True)
    - 기본 : 1 (True)
    - 추천 : 0
    - 설명 : 이 값을 1로 설정하면 TCP는 dead-gateway 탐지를 수행하게 됩니다. 이 기능을 활성화하면 많은 수의 연결이 어려울 때 TCP는 IP에 백업 게이트웨이로 바꿀 것인지 물을 수도 있습니다. 백업게이트웨이는 TCP 등록정보의 고급 설정부분에서 지정할 수 있습니다.

  • KeepAliveTime
    - 형식 :REG_DWORD - 밀리세컨드
    - 범위 : 1–0xFFFFFFFF
    - 기본 : 7,200,000 (2시간)
    - 추천 : 300,000
    - 설명 : 노는 연결(idle connection)이 keep-alive 패킷을 전송함으로써 계속 유지되는지 확인하려고 할 때 종종 사용됩니다. 만약 원격 시스템에 여전히 도달할 수 있고 동작한다면 keep-alive 전송을 승인합니다. Keep-alive 패킷은 기본적으로 전송되지 않습니다. 이 기능은 애플리케이션에 의해 사용되는 연결에서도 활성화될 수 있습니다.

  • PerformRouterDiscovery
    - 형식 : REG_DWORD
    - 범위 : 0,1,2
    0 (disabled)
    1 (enabled)
    2 ( 만약 DCHP가 router discover option을 전송는 경우에만 활성화됨)
    - 기본 :
    - 추천 : 0
    - 설명 : Windows 2000에서 인터페이스 카드 기반으로 RFC 1256에 해당하는 router discovery 를 수행하게 할지를 제어합니다.

  • EnableICMPRedirects
    - 형식 : REG_DWORD
    - 범위 : 0, 1 (False, True)
    - 기본 : 1 (True)
    - 추천 : 0 (False)
    - 설명 : ICMP는 인터넷프로토콜에서 문제가 생기면 보고해주는 프로토콜로서 예를 들어 네트워크 접속문제인 "Echo Reply", "Destination Unreachable" 혹은 네트워크 라우팅 문제 인 "Redirect" 등을 알려준다. ICMP Redirect메시지는 호스트가 목적지 주소로 연결하고자할 때, 해당 라우터가 최적의 경로임을 호스트에게 알려주기 위하여 라우터로부터 호스트로 보내어진다.


    이상 SYN Attack 의 원리 및 방어에 대해 간략히 알아보았습니다. 실제로 이에 대한 자세한 정보를 알아보려면 아래 참고문서를 보시거나, 그 전에 TCP 의 원리에 관한 책 한권정도는 충분히 숙독하셔야 할 것입니다.
    잘못된 부분이나 번역상 또는 편집상의 오류를 발견하신다면 알려주시기 바랍니다.

    참고 문서 : http://www.certcc.or.kr
    http://www.microsoft.com/TechNet/security/dosrv.asp
    http://www.cert.org/advisories/CA-2000-01.html

    작성자 : 문일준( security@mcse.co.kr)

Trackback 0 Comment 1
  1. Favicon of https://blog.pages.kr 날으는물고기 2009.09.09 18:53 신고 address edit & del reply

    Parameters
    HKLM\SYSTEM\CurrentControlSet\Services\Tcpip
    http://technet.microsoft.com/en-us/library/cc962453.aspx