PacketInside / 네트워크 패킷 분석 블로그

패킷인사이드 모바일 버전 홈페이지 제공

2012-02-14T23:23:00.000+09:00

패킷인사이드의 모바일 버전 화면입니다. 기존에는 데스크탑에서 보던 웹 페이지 화면이 그대로 출력되었지만, 모바일 디바이스에서 좀더 보기 쉽도록 하였습니다. 모바일 버전이지만 '검색' 도 가능하고요, 댓글 보기, 본문 보기등 모든 기능이 다 지원됩니다. 이제 좀더 편하게 모바일에서 만나보아요 ~ P.S 금일부터 RSS 를 전체 글 지원에서 짧게 일부 지원으로 변경하였습니다. 글 내용이 커지면서 일부 Feeding 이 안되는 문제가 발생하여, 부득이 하게 일부분만 제공하게 되었습니다.

맥(Mac)에서 실행한 와이어샤크

2012-02-12T23:34:00.001+09:00

맥 (Mac)을 한번도 사용해 보지 않다가, 최근부터 사용해 보게 되었다. 몇번 블로그에 맥 관련한 내용을 소개해 보았지만, 실제로는 확인해 보지 못해서 많은 정보를 줄 수는 없었다. 처음으로 직접 확인한 맥 환경의 와이어샤크이다. 와이어샤크를 다운로드 받을 때, 윈도우와 리눅스에만 관심을 가졌지 맥 버전이 있었는지 눈에 들어오지도 않았었다. 앞으로 맥 환경에서도 패킷분석 관련한 정보가 있다면 전달해 보겠습니다.

MS 구루 개발자 마크 러시노비치가 쓴 '제로데이' 소설

2012-02-09T00:07:00.001+09:00

윈도우 시스템 개발에 관심있는 분들이라면, FileMon, RegMon 등의 프로그램을 알 것입니다. 윈도우 운영체제의 구루 개발자라고 할 수 있는 마크 러시노비치가 만든것이기도 하지요. 그런데,이 분이 처음으로 쓴 소설이 있습니다. 바로 '제로데이(ZeroDay)' 라는 책입니다. 보안을 하는 분들에게는 익숙한 단어가 바로 제로데이 입니다. 보안 패치가 나오지도 않은 취약점을 제로데이 취약점이라 일컫기도 하지요. 이 책은 제목과 같이 컴퓨터 보안에 관한 내용을 기술한 책 입니다. 마크 러시노비치가 기술서적도 아니라, 소설책을 썼다는 것 부터가 의외죠. 이 책은 제가 기술감수를 하였는데, 읽어보면 재미있기도 하고 해서 여러분들에게 소개해 드립니다. 특히, IT 쪽에 몸을 담고 계신분들은 단어들이

유용한 네트워크 분석 도구 소개와 패킷분석 입문

2012-02-01T01:59:00.001+09:00

저번 네트워크 포렌식 의미와 패킷 구조를 살펴본 것에 이어, 다양한 분석도구를 소개한 글입니다. 월간 '안' 에 소개된 두 번째 연재 글이며, 이미 많은 내용들이 블로그에서 한번 언급한 내용들이기도 합니다. 또 블로그에 없었던 내용도 있습니다. 이미 한번씩 보셨던 분들이라면 다시 한번 리뷰 한다는 생각으로 읽어봐 주시면 좋겠습니다. 다음 월간 '안' 링크를 참고해 보셔도 좋습니다. 1) [Tech Report] 개발자를 위한 유용한 분석 도구 소개와 패킷 분석 2) 안철수연구소 보안매거진 월간 '安' [1부] 네트워크 포렌식 의미, 그리고 패킷 해부 이번호에서는 패킷 분석 도구와 함께 분석에 도움이 될 만한 접근 방법을 소개하고자 한다. 패킷 분석이 익숙하지 않으면 어디서부터 어떻게 시작해야

기가비트 환경에서 패킷덤프 손실을 줄여보기 위한 도구, GULP

2012-01-19T00:52:00.000+09:00

기가비트 환경에서 손실없이 패킷을 잡아내기 위한 방법들은 무엇이 있을까? 여러가지 것들이 있을 수 있겠지만, 우리가 흔히 사용하고 있는 리눅스 시스템에서 특별한 변경없이 간단하게 사용할 수 있는 도구 하나를 소개해 볼까 한다. 도구 하나만으로 완벽한 손실없이 패킷을 잡아내기에는 여러가지 환경적 제약이 따른다. 그러므로, 최대한 손실을 줄이면서 패킷을 잡아낼 수 있는 방법을 고민해야 하는데, 스레드 기반의 GULP 가 도움이 되지 않을까 한다. 이 도구를 만든 배경 및 세부적인 정보는 다음 URL 에서 얻을 수 있다. http://staff.washington.edu/corey/gulp/ 비교적 작성된지가 오래되었으므로 이점을 감안하기 바란다. 컴파일은 간단히 make 를 하는 것 만으로도

NSA 가 공개한 더욱 안전한 안드로이드 플랫폼 SEAndroid

2012-01-16T23:51:00.002+09:00

NSA(National Security Agency) 에서 공개한 SEAndroid 가 있다. Android 앞에 붙어 있는 SE 는 Security Enhanced(SE) 약자 의미이다. NSA 가 공개하고, 보다 안전한 안드로이드 플랫폼이라는 의미가 와 닿는다. NSA 에서 더욱 안전한 환경의 스마트폰 사용을 위해 공개한 것으로, 기존 안드로이드 플랫폼의 수정된 버전으로 SELinux 를 기반으로 하고 있다. 이 버전을 통해 악성 앱에 의한 위협을 줄이고 앱간 보안성을 더욱 유지시켜 준다고 한다. 이것은 처음 Linux Security Summit 2011 에서 언급되었고, 그 당시 발표 자료는 다음 경로에서 볼 수 있다. http://selinuxproject.org/~jmorris/

와이어샤크 1.7 개발 버전 살짝 들여다 보기

2012-01-13T00:51:00.000+09:00

작년 11월 초에 와이어샤크 1.7 개발버전이 공개되었다. 기존에 사용하던 최신 버전이 1.6.X 대 이니 1.7 이라고 하면 과연 어떤 새로운 기능이 있을까 하는 궁금증이 생긴다. 1.7 버전에서 크게 변경되는 것은 패킷파일을 저장하는 기본 포맷 형태가 PCAP-NG 바뀌었다는 것이다. 우리가 흔히 쓰고 있는 PCAP 포맷형태에서 차기 버전 포맷 형태로 바뀌는데 내부 형태의 구조는 많이 달라진다. PCAP 포맷에 대해서는 이미 한번 언급한 적이 있으므로 다음 글을 참고해 보면 된다. PCAP 파일을 파헤쳐 보자 - 그 첫번째 이야기 PCAP 파일을 파헤쳐 보자 - 그 두번째 이야기 1.7 버전의 주요변경 내역을 정리해 보면 다음과 같다: - 기본 포맷형태가 PCAP-NG 로 변경 - 동시에

와이어샤크 1.6.5, 1.4.11 버전 릴리즈

2012-01-12T23:44:00.001+09:00

와이어샤크가 버전업 되었다. 최신 버전은 1.6.5 이며, 몇 가지 취약점이 수정되었다. 그리고 알려진 버그들도 해결되었고, 몇 가지를 살펴보면 다음과 같다. - Export HTTP Objects 에서 모두 저장하기 할때 와이어샤크가 종료되는 문제점 - 최근 파일이 없을 경우 Crash 되는 문제 - 여러 프로토콜 해석기에서 발생된 메모리 누수 - 라우팅 헤더가 존재할 경우 IPv4 UDP/TCP 체크섬이 올바르지 않은 문제점 등이 있다. 새로운 기능 또는 프로토콜은 없으며, 기존 프로토콜 지원이 일부 업데이트 되었다. 1.4.X 의 최신버전은 1.4.11 이며, 다운로드는 다음 주소에서 가능하다. http://www.wireshark.org/download.html

필요한 내용만 패킷파일로 저장하기

2012-01-11T01:03:00.000+09:00

패킷덤프를 하는 과정에서는 통상 1) 네트워크 디바이스 전체를 대상으로 덤프를 하거나 2) 또는 캡처필터를 적용하여 저장하는 것이 일반적이다. 하지만 트래픽이 많은 경우라면 이 또한 여기서 원하는 데이터로 한정하여 필요한 데이터만 저장하기에는 사용자 수고가 따른다. 쉬운 방법으로 이용할 수 있는 것이 ngrep 이 있다. 간단하지만 잘 이용되지 않는것 같아 다시 소개해 본다. -O 옵션을 이용하면 ngrep 에서 지정한 스트링이 검출된 패킷에 한해서만 PCAP 포맷형태로 저장되므로 필요한 패킷 데이터만을 저장할 수가 있다. # ngrep -d eth0 -O extracted.pcap GET or # tcpdump -i eth0 | ngrep -I - -O extracted.pcap GET

1분에 640 테라바이트 트래픽이 흘러다닌다고?

2012-01-08T21:39:00.000+09:00

과연, 인터넷에서 전송되고 있는 데이터량은 얼마나 될까? 최근 인텔(Intel)에서 재미있는 인포그래픽을 발표하였다. 매 분 인터넷 상에서 무슨일이 일어나는지 주요한 지표를 수치화 한 것이다. 트래픽 데이터 관점에서만 보더라도 인텔은 인프라에 대한 투자는 충분히 이뤄지고 있는지 질문을 던지고 있다. 인터넷에 접속되는 디바이스는 전 세계 인구를 넘어 설 만큼 크게 증가하고 있는데, 과연 네트워크는 이러한 예측에 충분히 대비하고 있는가에 대한 것이다. [이미지출처 : 인텔] 약간 관점을 달리해서 생각해 보자. 각국 정부는 사회기반시설에 대한 투자를 한다. 도로, 항만, 철도 기타 등에 말이다. 인터넷 인프라는 투자하면 안되는 것일까? 어찌보면 이제 인터넷은 세계 경제

리눅스 커널 3.2 릴리즈 - TCP 스택 향상

2012-01-05T21:44:00.003+09:00

리눅스 커널 3.2 버전이 릴리즈 되었다. 기존 2.X 대에서 Major 번호를 바꾸고 3.X 로 릴리즈 하고 있다는 소식은 이미 전해 들었을 것이다. 이번 릴리즈에서 퀄컴의 Hexagon 프로세서 아키텍처를 지원하고, Ext4 파일시스템의 향상 그리고 인텔, NVIDIA 의 그래픽 드라이버 등이 향상되었다. 패킷 인사이드에서 관심가질만한 부분은 네트워크 부분이다. 바로 이번 릴리즈에서는 구글 개발자에 의해 추가된 "Proportional rate reduction" 알고리즘이 TCP 스택에 추가되었다. 이로 인해 일시적인 데이터 전송 문제가 발생하여도 빠르게 네트워크 연결을 복구하여 전반적으로 속도 향상을 가져온다. 개발자에 따르면3 ~ 10 퍼센트 정도 HTTP 전송비율이 높아졌다고 한다.

네트워크 프로그램 언어, Frenetic

2012-01-03T23:25:00.001+09:00

수 많은 언어가 있지만, 네트워크를 위한 언어가 있다. 그 이름은 Frenetic 이다. 다양한 컴퓨터 언어가 존재하고 이를 통해 프로그램을 하지만 현재의 모든 기능적인 것을 반영하기에는 한계가 있다. 그래서 네트워크 프로그램 언어가 제안되었고, Frenetic 라는 이름으로 진행되고 있다. 아직 많은 정보는 없으며, 관련 논문은 다음과 같다: http://www.frenetic-lang.org/papers/ 관심있는 분은 참고해 보길 바란다. http://www.frenetic-lang.org/

패킷인사이드 2주년 그리고 2012년 새해 복 많으세요

2011-12-30T12:00:00.000+09:00

안녕하세요, 패킷인사이드가 어느덧 개설한지 2년이 넘었네요. 2009년 12월에 만들어, 조금씩 써 나간 글들이 300 개가 좀 안되네요. 국내에서는 패킷 관련한 정보가 많지 않아 개설하였고, 이제는 많은 분들이 방문해 주고 계십니다. 언제까지 이 블로그를 계속 유지할지는 모르겠지만, 많은 것들이 공유되어 패킷분석에 도움이 되었으면 합니다. 패킷분석 뿐만 아니라, 제 업무 분야인 보안과 관심분야인 천문쪽도 더 올려볼까 합니다. :-) 패킷인사이드 방문해 주신 분들 감사드립니다. 2011년 (이제 얼마 남지 않은) 마무리 잘 하시고요, 2012년에는 건강하시고 새해 복 많이 받으세요. 패킷인사이드 주인장 Rigel 드림.

웹 페이지 평균 크기가 거의 1메가에 근접하다.

2011-12-27T00:41:00.000+09:00

HTTP Archive 에서 발표한 리서치 결과에 따르면 웹 페이지의 평균 크기가 965KB 라고 한다. 이 수치는 작년 평균 702KB 보다 30% 증가한 값이다. 참고로, HTTP Archive 는 주요 유명 사이트를 주기적으로 스캔하고 있다. [출처 : httparchive.org] 이제 거의 1M 에 육박하는 수준인데, 국내에서는 많은 사이트가 이미지로 도배되어 있어 이보다 훨씬 큰 사이즈가 될 것이다. 요새 인터넷 회선 속도에 비하면 이 정도는 크지 않을 수도 있지만, 모바일로 접속하는 비중이 늘다 보니 3G 에서는 이 정도가 작은 크기는 아니다. 과거 조사 결과를 보면 1995년에는 평균 웹 페이지 크기가 14KB, 2003년 93KB, 2008년 300KB 였다고 한다.

TCP/IP 프로토콜 이해하는 세가지 방법

2011-12-26T00:50:00.000+09:00

즐거운 크리스마스 보내셨나요? :-) 요새는 블로그 쓰는 일이 쉽지가 않네요. 퇴근 후 또는 주말에 집에서 틈틈이 작성하려고는 하는데, 집에서는 컴퓨터를 켜는 시간이 많지가 않게되네요. 오늘은 인터넷 프로토콜을 배울 수 있는 곳을 소개해 볼까 합니다. 블로그내에서도 언급하려고는 하지만, 정리 하면서 일일이 열거하기는 쉽지 않더군요. 그래도 네트워크 분석관련한 자료는 패킷인사이드를 잊지 마세요. 첫째, RFC 를 살펴보면 프로토콜을 이해하는데 도움이 됩니다. 프로토콜이 마음대로 결정되는 것이 아닙니다. 시스템간 협의된 규약에 따라 통신을 하기 때문에 통신이 가능한 것입니다. 그 중심에는 IETF 에 의해서 관리되고 있는 RFC 가 있기 때문입니다. IP, TCP, UDP, ICMP, ARP 등 많은

(IN)SECURE 보안잡지 12월호, 취약점 분석가에게 묻고 싶었던 7가지 질문?

2011-12-19T00:14:00.000+09:00

블로그에서도 몇 번 소개하였던 (IN)SECURE 보안잡지 ISSUE 32호가 나왔다. 주요 내용은 아래와 같다: 7 questions you always wanted to ask a professional vulnerability researcher Insights on drive-by browser history stealing Review: Kingston DataTraveler 6000 RSA Conference Europe 2011 PacketFence: Because NAC doesn't have to be hard! Information security and the threat landscape with Raj Samani Security is a dirty word Smartphone

네트워크 포렌식 의미, 그리고 패킷 해부

2011-12-15T22:57:00.001+09:00

기업고객을 위해 발행하는 잡지인 월간 '안' 이라는 것이 있습니다. 이번에 안랩코어 행사 때 발표한 내용을 3부로 나누어 연재를 하게 되었는데, 여러분들에게도 도움이 될 것 같아 게시합니다. 글로써 그때 소개하지 못했던 내용을 좀더 다뤄보았고요, 네트워크 패킷 분석을 이해하는데 참고가 되었으면 좋겠습니다. 다음 월간 '안' 링크를 참고해 보셔도 좋습니다. 1) [Tech Report] 네트워크 포렌식 의미, 그리고 패킷 해부 2) 안철수연구소 보안매거진 월간 '安' 연재 목차 1. 네트워크 포렌식 의미, 그리고 패킷 해부(이번 호) 2. 유용한 분석 도구 소개와 패킷 분석(2012년 1월호) 3. 사례를 통해 알아가는 실전 패킷 분석(2012년 2월호) 10월 25일은 독도의 날이다.

네트워크에서 흘러다니는 이미지파일 출력해주는 Driftnet

2011-12-12T00:37:00.000+09:00

Mac 환경에서 네트워크에서 흘러다니는 이미지 파일을 보여주는 도구인 EtherPEG 가 있다. 이와 유사하게 *NIX 환경에서 사용할 수 있는 Driftnet 이 있다. Driftnet 은 네트워크 트래픽을 모니터링 하다 TCP 스트림에서 이미지 파일이 발견되면 출력해서 보여준다. 다음 URL 에서 소스를 받아다 컴파일 하거나 또는 패키지로 driftnet 을 설치하면 된다. http://www.ex-parrot.com/~chris/driftnet/ 실행하면 Driftnet 화면이 하나 나타나며, 이미지 파일을 보여준다. 다음 예제는 구글 이미지에서 packet 으로 검색해본 것이다. -v 옵션으로 보면 콘솔 상태에서 좀더 세부적인 정보를 볼 수 있는데, 아래와 같이 탐지된 이미지 파일이

12월10일, 밤 하늘을 쳐다보세요. '개기월식' 전 과정 보셔야죠.

2011-12-07T23:49:00.001+09:00

10일 밤 하늘을 쳐다보세요. 11년만에 달이 지구의 그림자에 완전히 들어가는 '개기월식' 현상을 볼 수 있습니다. 이번에 개기월식 전 과정을 볼 수 있는 것은 2007년7월 이후 처음이고 앞으로 2018년1월 31일에나 가능하다고 합니다. 저녁 8시31분 반영식을 시작으로 저녁 9시45분 부분월식이 진행됩니다. 11시31분쯤 개기월식이 최대가 되니, 꼭 놓치지 마세요. 저도 천문에 관심이 많은데, 이번 기회 놓치지 말아야 겠네요. 참고로, 국립과천과학관에서 개기월식 공개관측행사를 개회한다고 하니 관심있는 분들은 한번 방문해 보셔도 좋겠습니다. 단, 날씨가 무지 추울터이니 옷 단단히 챙겨입고 가세요. 시간상황시간상황 12월 10일 오후 08시 31분반영식의 시작오후 11시

Screen 기능을 이용해 터미널 화면 Clone 하기!

2011-12-03T21:42:00.001+09:00

*NIX 시스템에서 유용한 도구중에 하나가 screen 이라는 것이다. 요새야 워낙 사용하는 모니터 사이즈가 커져서 활용하는 비율이 조금 떨어지긴 하나, 터미널 환경에서 아주 강력하게 사용할 수 있는 도구였다. 터미널 창에서 화면을 반으로 가르거나 여러개의 세션을 생성해서 자유롭게 이동하거나 많은 기능이 있다. 여러 기능중에서 screen 세션 하나를 그대로 Clone 하여 사용할 수 있는 방법을 공유한다. 과연 이렇게 쓰일 일이 머가 있을까 하였는데, 이 기능이 필요할 때가 바로 발표와 같은 특정 환경에서는 필요하였다. Multi Display 를 사용할 경우, 발표자의 노트북을 보면서 쉽게 시연을 보여줄 수 있다. 물론, 전체 화면을 그대로 Clone 할 수도 있지만, 터미널 환경만 보여준다면 이

패킷파일에서 카빙기법을 통한 데이터 추출

2011-11-24T00:03:00.000+09:00

패킷파일에서 빠르게 파일을 추출하기 위한 방법중에 하나로 포렌식 도구중에 하나인 Foremost 를 이용해 보고자 한다. 이미 Tcpxtract 와 와이어샤크를 통해서 파일을 추출하는 방법도 언급하였으나, 이 방법은 또 나름대로 필요한 경우가 있기 때문에 도움이 될 것이다. 기존에 파일 추출관련한 포스팅은 다음과 같으니 참고하길 바란다. 1) 네트워크 패킷 캡쳐 파일에서 파일 추출하기 (using Tcpxtract) 2) 와이어샤크를 이용한 패킷파일에서 바이너리 파일 추출하기 이번에 파일 추출 방법으로 사용할 것은 Foremost 라는 도구를 이용한 것이다. Foremost 는 패킷파일을 위해 만들어진 것은 아니고 파일에서 데이터를 추출하기 위한 포렌식 용도로 제작된 것이다. 콘솔기반의 프로그램으로

다수의 IP에 대해 Alive 유/무 쉽게 확인해 보기

2011-11-21T00:33:00.000+09:00

패킷분석을 하다보면, 분석목적에 따라 다르겠지만 추출한 IP 주소에 대해서 추가적인 정보를 얻어야 하는 경우가 있다. WHOIS 정보가 될 수도 있고, 해당 IP 에 대한 포트 정보 또는 OS Fingerprint 를 통해 운영체제 추정등 다양한 정보를 얻기위해 시도해 볼 수 있다. 그중 대표적으로 한번쯤은 해보는 것이 해당 IP 에 대한 Alive 유무 체크일 것이다. 보통은 Ping 을 통해 확인을 한다. 그런데 한 두개의 IP 가 아니라 대량으로 테스트 해 보아야 한다면, 간단한 쉘 스크립트를 이용해서 쉽게 확인해보자. 여러 도구들이 있을텐데, 가장 기본적인 도구를 가지고 빠르게 확인하기 위해 테스트 해보았다. (필자도 필요에 의해) 일단, 아래와 같은 IP 주소를 라인별로 가지고 있다고 치자.

DNS가 위험하다, BIND 제로데이(0-day) 취약점 발견

2011-11-19T00:11:00.001+09:00

11월16일 DNS 서비스에 많이 사용되는 소프트웨어 중에 하나인 BIND 에 이유없는 서비스 Crash 가 발생하였다. 다음과 같은 로그를 발생시키면서 말이다. general: critical: query.c:1895: INSIST(! dns_rdataset_isassociated(sigrdataset)) failed, back trace general: critical: exiting (due to assertion failure) 여러 곳에서 이런 이슈가 제기되었고, BIND 의 제로데이 취약점으로 밝혀졌다. 실제 피해 사례가 보고되면서 ISC 에서는 발빠르게 보안패치를 제공하였다. 일단, 무엇보다도 원격지에서 조작된 패킷데이터를 통해 인터넷 인프라운영에 중요한 요소인 DNS 서비스를 이렇게

윈도우에서 사용하는 기본 포트 정보

2011-11-16T22:55:00.000+09:00

패킷을 분석하는 과정에서 다양한 포트번호를 접한다. 그 중 윈도우 시스템과 연관된 것을 볼 때 참고할 만한 포트 정보이다. 윈도우 2000 기준에서 정리된 것이지만, 일반적인 윈도우 환경에서 이용되는 포트정보를 확인하는데는 충분하다. 필요할 때 찾아보려고 하면 왜 이리 잘 안 보이는지.. 그리하여 이곳에 기록을 남겨둔다. Service Name UDP TCP Browsing datagram responses of NetBIOS over TCP/IP 138 Browsing requests of NetBIOS over TCP/IP 137 Client/Server Communication 135 Common Internet File System (CIFS) 445

MS11-083 TCP/IP 스택 보안취약점, 만약 UDP 트래픽이 증가한다면?

2011-11-10T23:19:00.001+09:00

매월 둘째주 화요일은 마이크로소프트사에서 보안패치를 내 놓는 날이다. 한국시간으로 보면 수요일쯤이 된다. 그러다 보니 보안패치가 나오면, 각 기업의 보안담당자는 바빠지는 날 중에 하루이다. 이번 보안패치중 패킷인사이드에서 유심히 볼만한 패치가 있는데, TCP/IP 에서 임의의 코드를 실행시킬 수 있는 취약점이다. MS11-083 이며 공격자가 조작된 UDP 패킷을 대상 시스템의 오픈되어 있지 않은 포트로 전송 할경우 원격에서 코드실행이 가능해진다는 점이다. 이 취약점은 윈도우 비스타, 윈도우 서버 2008, 윈도우 7, 윈도우 서버 2008 R2 가 해당되며 세부적인 정보는 하단의 참고를 보면된다. TCP/IP 스택은 기본적으로 포함되어 사용되는 것이므로, 악성코드와 같은 곳에서 악의적으로 이용하면