'net'에 해당되는 글 2건

  1. 2009.10.20 Dstat: Versatile resource statistics tool
  2. 2009.08.21 시스템 보안 침해 분석 및 대응
2009.10.20 14:29

Dstat: Versatile resource statistics tool

[dag@moria ~]$ dstat --help
Usage: dstat [-afv] [options..] [delay [count]]
Versatile tool for generating system resource statistics

Dstat options:
  -c, --cpu              enable cpu stats
     -C 0,3,total           include cpu0, cpu3 and total
  -d, --disk             enable disk stats
     -D total,hda           include hda and total
  -g, --page             enable page stats
  -i, --int              enable interrupt stats
     -I 5,eth2              include int5 and interrupt used by eth2
  -l, --load             enable load stats
  -m, --mem              enable memory stats
  -n, --net              enable network stats
     -N eth1,total          include eth1 and total
  -p, --proc             enable process stats
  -r, --io               enable io stats (I/O requests completed)
  -s, --swap             enable swap stats
     -S swap1,total         include swap1 and total
  -t, --time             enable time/date output
  -T, --epoch            enable time counter (seconds since epoch)
  -y, --sys              enable system stats

  --aio                  enable aio stats
  --fs, --filesystem     enable fs stats
  --ipc                  enable ipc stats
  --lock                 enable lock stats
  --raw                  enable raw stats
  --socket               enable socket stats
  --tcp                  enable tcp stats
  --udp                  enable udp stats
  --unix                 enable unix stats
  --vm                   enable vm stats

  --plugin-name          enable plugins by plugin name (see manual)
  --list                 list all available plugins

  -a, --all              equals -cdngy (default)
  -f, --full             automatically expand -C, -D, -I, -N and -S lists
  -v, --vmstat           equals -pmgdsc -D total

  --float                force float values on screen
  --integer              force integer values on screen

  --bw, --blackonwhite   change colors for white background terminal
  --nocolor              disable colors (implies --noupdate)
  --noheaders            disable repetitive headers
  --noupdate             disable intermediate updates
  --output file          write CSV output to file

delay is the delay in seconds between each update (default: 1)
count is the number of updates to display before exiting (default: unlimited)
Only in black and white :)
[dag@moria ~]# dstat
----total-cpu-usage---- -dsk/total- -net/total- ---paging-- ---system--
usr sys idl wai hiq siq| read  writ| recv  send|  in   out | int   csw 
  5   0  93   0   0   0| 154k   84k|   0     0 |   0     0 |1081  1116 
 13   0  87   0   0   0|   0     0 |   0     0 |   0     0 |1036   696 
  8   0  92   0   1   0|   0  8192B|   0     0 |   0     0 |1073   936 
  0   0  99   0   0   1|   0     0 |   0     0 |   0     0 |1072   940 
  1   1  97   0   2   0|   0     0 |   0     0 |   0     0 |1252  1727 
  1   1  98   0   1   0|   0     0 |   0     0 |   0     0 |1126  1191 
  1   0  99   0   0   0|   0     0 |   0     0 |   0     0 |1045   908 
  0   0  99   0   0   0|   0    44k|   0     0 |   0     0 |1051   904 
  1   1  99   0   0   0|   0     0 |   0     0 |   0     0 |1036   850 
  1   0 100   0   0   0|   0     0 |   0     0 |   0     0 |1029   757 
[dag@moria ~]$ dstat -c --top-cpu -d --top-bio --top-latency
----total-cpu-usage---- -most-expensive- -dsk/total- ----most-expensive---- --highest-total--
usr sys idl wai hiq siq|  cpu process   | read  writ|  block i/o process   | latency process 
  5   0  94   0   0   0|firefox      3.6| 148k   81k|init [5]     98k   50B|pdflush        21
  2   1  98   0   0   0|wnck-applet  0.5|   0     0 |                      |at-spi-regist   5
  2   1  98   0   0   0|firefox      0.5|   0     0 |                      |Xorg            1
  1   2  97   0   0   1|                |   0     0 |                      |Xorg            1
  1   1  98   0   0   0|                |   0     0 |                      |ksoftirqd/1    10
  1   1  97   0   0   0|firefox      0.5|   0     0 |                      |ksoftirqd/0     5
  2   1  97   0   0   0|firefox      0.5|   0     0 |firefox       0    28k|ksoftirqd/0     5
  2   1  97   0   0   0|firefox      0.5|   0     0 |                      |Xorg            1
  1   1  97   0   0   0|firefox      0.5|   0     0 |                      |ksoftirqd/0     6
  2   1  98   0   0   0|firefox      0.5|   0     0 |                      |ksoftirqd/0     6
  1   2  98   0   0   0|                |   0     0 |                      |ksoftirqd/1     8
  2   1  98   0   0   0|iwlagn       0.5|   0    72k|kjournald     0    32k|ksoftirqd/1    12
  1   1  97   0   0   0|                |   0     0 |                      |iwlagn/0        1
  1   1  98   0   0   0|firefox      0.5|   0     0 |                      |ksoftirqd/1     8
Here are 2 screenshots of older dstat versions in action. 

Dstat 0.4 on a Power5 system that is being stress tested.


Dsta 0.3 (first release) on 5 RHEL3 nodes in a cluster from a Windows terminal.

If you've found a bug, please check the TODO file for known problems and send me updates if you have more information to provide. 

Please also copy&paste the output of the problem, with a description, the version of the kernel and if appropriate the involved /proc entries. 

Dstat has a --debug option to profile plugins and show what plugins and /proc entries are affected. Dstat also shows some more information with the --version option that might be useful. The following packages (in order of appearance) are available. or grab the latest 0.7.2 tarball at: http://dag.wieers.com/home-made/dstat/dstat-0.7.2.tar.bz2

출처 : http://dag.wieers.com/

Trackback 1 Comment 0
2009.08.21 15:31

시스템 보안 침해 분석 및 대응

** 침해 대응 **
침해대응 - 침해 분석/대응
포렌식 - 증거 수집/분석

* 데이터 수집
데이터 수집(증거수집)의 원칙:
- Live Data 수집
- 휘발성의 정도(OOV - Order of Volatility)를 고려하여 증거 수집.
  증거마다 휘발성의 정도가 다르므로 휘발성이 높은 것부터 낮은 것 순으로 수집
  즉 arp캐시는 수분내로 사라지는 데이터임
  그러나 어떤 파일은 수시간내에는 존재하는 데이터임
 

1)네트워크 기반 증거 수집
 - IDS 로그 수집
 - 라우터 로그 수집
 - 방화벽 로그 수집
 - 중앙 호스트(syslog)에서 원격 로그 수집
 - 기타

2)호스트 기반 증거 수집
 - 시스템 시간 수집
 - 휘발성 데이터 수집
 - 피해 시스템의 모든 시간/날짜 정보 수집
 - 출처 미확인 파일수집
 - 디스크 백업 수집

3)기타
 - 증인으로부터 증언 수집


* 데이터 분석
- 휘발성 데이터 분석
 => 네트워크 접속 조사,
    악의적인 코드 식별(백도어, 스니퍼)

- 파일 시간 및 날짜 정보 수집
 => 공격자에 의해 시스템 업로드 파일 식별
 => 업로드 / 다운로드 파일 식별

- 로그 파일 재조사
 => 비인가된 사용자 계정 식별
 => 숨겨진 파일 식별
 => 스케줄 과업 조사/식별
 => 레지스트리 조사
 => 키워드 검사

 
** 호스트 기반 분석
1) 시스템 날짜와 시간
2) 시스템에서 현재 동작중인 어플리케이션
3) 현재 연결이 성립된 네트워크 상황
4) 현재 알려진 소켓(포트)
5) 열려진 소켓 상에서 동작 또는 대기중인 어플리케이션
6) 네트워크 인터페이스 상태
7) 메모리 정보
8) 현재 열려진 파일
9) 시스템 패상황등


* Live Data 를 수집하는 방법
- Initial Live Response : 대상 시스템이나 피해 시스템의 휘발성 데이터만 획득.
- In-depth Response : 휘발성 + 부가적인 정보 획득
- Full Response : 디스크 복제 포함한 완전 조사


* 침해 분석 기술 - 윈도우
1. 시스템 시간 확인
 data /T : 시스템 날짜를 알려주는 명령어
 time /T : 시스템 시간을 알려주는 명령어

2. 시스템 정보 확인
 - 사고(피해) 시스템의 기본적인 정보 확인.
 - sysinternals의 psinfo.exe를 이용하면 OS기본정보, 보안 업데이트 정보,
   설치된 소프트웨어 정보 등을 알려줌.
   => http://www.sysinternals.com => Sysinternals Suite
 - psinfo -h -s : 핫픽스와 소프트웨어 목록정보

3. 프로세스 정보 확인
 - 악성코드나 공격자의 프로그램 찾기 위해.
 - 프로세스명, 프로세스 실행 파일 위치, 프로세스 커맨드 라인, 프로세스 실행시간,
   프로세스가 참조중인 DLL및 파일등의 정보
 - sysinternals의
   pslist.exe => 프로세스 리스트,
   listdlls.exe => 프로세스가 사용하는 dll출력
   handle.exe => 프로세스들이 참조하는 파일 리스트

4. 네트워크 정보확인
 - 네트워크 정보, 서비스를 열고 있는 응용프로그램 정보, 서비스에 연결된 세션 정보등
   netstat -an
   arp -a
   nbtstat -c
   ipconfig /all
   ipconfig /displaydns

   http://www.foundstone.com => Free Tools => Detection Tools => fport.exe

   랜카드가 무차별 모드로 동작했는지 여부
   http://ntsecurity.nu의 promiscdetect.exe

5. 사용자/그룹 확인
 net user
 net localgroup administrators

6. 공유/로그인 정보
 net share
 net session
 
7. 스케줄러
 at

8. 시스템 통신
 netcat(nc)

9. 시스템 복사
 dd(win)

이런 정보를 모아서 배치 스크립트 작성.

파일을 한폴더에 모아서 스크립트 파일로 작성.

실행 : ir_script.bat > %date%.txt => 오늘날짜로 저장
※ @echo. 한칸띄우기


** 디스크 이미지 덤프 뜨기
- 리눅스의 dd(disk dump)를 윈도우용으로 만든 windows dd이용

하드 드라이브
dd if==\\.\physicaldrive0 of=c:\filename bs=4096
dd if==\\.\c: ofc:filename bs=4096

메모리 덤프
dd if=\\.\physicalmemory of=\filename bs=4096


출처 : http://blog.naver.com/qhrjs11

Trackback 0 Comment 0