네트워크 포렌식

1부 기초

1장 실용적인 조사 전략
1.1 실제 사례
1.1.1 사라진 병원 노트북
1.1.2 기업 해적 잡기
1.1.3 해킹된 정부 서버
1.2 흔적
1.3 디지털 증거상 개념
1.3.1 실제 증거
1.3.2 최고 증거
1.3.3 직접 증거
1.3.4 정황 증거
1.3.5 전문 증거
1.3.6 업무 기록
1.3.7 디지털 증거
1.3.8 네트워크 기반 디지털 증거
1.4 네트워크 증거에 관한 과제
1.5 네트워크 포렌식 조사 방법론
1.5.1 정보 수집
1.5.2 전략 수립
1.5.3 증거 수집
1.5.4 분석
1.5.5 보고서
1.6 결론

2장 기술적 원리
2.1 네트워크 기반 증거의 출처
2.1.1 와이어 위
2.1.2 공중
2.1.3 스위치
2.1.4 라우터
2.1.5 DHCP 서버
2.1.6 네임 서버
2.1.7 인증 서버
2.1.8 네트워크 침임 탐지 시스템과 침입 방지 시스템
2.1.9 방화벽
2.1.10 웹 프록시
2.1.11 애플리케이션 서버
2.1.12 중앙 로그 서버
2.2 인터 네트워킹의 원리
2.2.1 프로토콜
2.2.2 OSI 모델
2.2.3 예제: 전 세계
2.3 인터넷 프로토콜 스위트
2.3.1 인터넷 프로토콜 스위트의 초기 역사 및 개발
2.3.2 인터넷 프로토콜
2.3.3 TCP
2.3.4 UDP
2.4 결론

3장 증거 수집
3.1 물리적 감청
3.1.1 케이블
3.1.2 라디오 주파수
3.1.3 허브
3.1.4 스위치
3.2 트래픽 수집 소프트웨어
3.2.1 libpcap과 WinPcap
3.2.2 BPF 언어
3.2.3 tcpdump
3.2.4 와이어샤크
3.2.5 티샤크
3.2.6 dumpcap
3.3 액티브 수집
3.3.1 보편적인 인터페이스
3.3.2 접근하지 않고 조사
3.3.3 전략
3.4 결론

2부 트래픽 분석

4장 패킷 분석
4.1 프로토콜 분석
4.1.1 프로토콜 정보 획득 장소
4.1.2 프로토콜 분석 도구
4.1.3 프로토콜 분석 기법
4.2 패킷 분석
4.2.1 패킷 분석 도구
4.2.2 패킷 분석 기법
4.3 흐름 분석
4.3.1 흐름 분석 도구
4.3.2 흐름 분석 기법
4.4 상위 계층 트래픽 분석
4.4.1 다양한 상위 계층 프로토콜
4.4.2 상위 계층 분석 도구
4.4.3 상위 계층 분석 기법
4.5 결론
4.6 앤의 랑데뷰
4.6.1 분석: 프로토콜 요약
4.6.2 DHCP 트래픽
4.6.3 키워드 검색
4.6.4 SMTP 분석: 와이어샤크
4.6.5 SMTP 분석: TCPFlow
4.6.6 SMTP 분석: 첨부 파일 카빙
4.6.7 첨부 파일 보기
4.6.8 앤을 찾는 좀 더 쉬운 방법
4.6.9 타임라인
4.6.10 사건 발생 가설
4.6.11 도전 과제의 해답
4.6.12 다음 단계

5장 통계적 플로우 분석
5.1 프로세스 개요
5.2 센서
5.2.1 센서 타입
5.2.2 센서 소프트웨어
5.2.3 센서 위치
5.2.4 환경 수정
5.3 플로우 기록 내보내기 프로토콜
5.3.1 넷플로우
5.3.2 IPFIX
5.3.3 sFlow
5.4 수집과 통합
5.4.1 컬렉터 위치와 아키텍처
5.4.2 컬렉션 시스템
5.5 분석
5.5.1 플로우 기록 분석 기법
5.5.2 플로우 기록 분석 도구
5.6 결론
5.7 사례 분석: 이상한 Mr. X
5.7.1 분석: 1단계
5.7.2 외부 공격자와 포트 22번 트래픽
5.7.3 DMZ 피해자: 10.30.30.20(172.30.1.231)
5.7.4 내부 피해자: 192.30.1.101
5.7.5 타임라인
5.7.6 사건의 견해
5.7.7 도전 과제에 대한 답변
5.7.8 다음 단계

6장 무선: 플러그가 뽑힌 네트워크 포렌식
6.1 IEEE 2계층 프로토콜 시리즈
6.1.1 2계층 프로토콜이 많은 이유
6.1.2 802.11 프로토콜 제품군
6.1.3 802.1X
6.2 무선 접근 지점
6.2.1 WAP를 조사해야 하는 이유
6.2.2 WAP의 유형
6.2.3 WAP 증거
6.3 무선 트래픽 캡처와 분석
6.3.1 스펙트럼 분석
6.3.2 수동으로 무선 증거 획득
6.3.3 효과적으로 802.11 분석
6.4 일반적인 공격
6.4.1 스니핑
6.4.2 불법 WAP
6.4.3 에빌 트윈
6.4.4 WEP 크래킹
6.5 무선 장비 위치
6.5.1 지점 디스크립터 수집
6.5.2 근처에 있는 WAP 식별
6.5.3 신호 강도
6.5.4 상용 기업용 도구
6.5.5 스카이훅
6.6 결론
6.7 사례 분석: 나를 해킹하라
6.7.1 WAP 조사
6.7.2 빠르고 간편한 통계
6.7.3 관리 프레임에 대해 자세한 조사
6.7.4 가능성이 높은 악성 행위자
6.7.5 타임라인
6.7.6 사례의 이론
6.7.7 도전적인 질문에 대응
6.7.8 추가 조사

7장 네트워크 침입 탐지와 분석
7.1 NIDS/NIPS를 조사하는 이유
7.2 일반적인 NIDS/NIPS 기능
7.2.1 스니핑
7.2.2 상위 계층 프로토콜 인식
7.2.3 의심스런 비트에 대한 경고
7.3 탐지 모드
7.3.1 시그니처 기반 분석
7.3.2 프로토콜 인식
7.3.3 행위 기반 분석
7.4 NIDS/NIPS 종류
7.4.1 상업적 NIDS/NIPS
7.4.1 직접 만드는 NIDS/NIPS
7.5 NIDS/NIPS 증거 획득
7.5.1 증거의 종류
7.5.2 NIDS/NIPS 인터페이스
7.6 종합적인 패킷 로깅
7.6.1 사용 가능한 증거
7.7 스노트
7.7.1 기본 아키텍처
7.7.2 설정
7.7.3 스노트 규칙 언어
7.7.4 예제
7.8 결론
7.9 사례 분석 파트 1: 인터옵틱, 환경을 지키다
7.9.1 분석: 스노트 경고
7.9.2 초기 패킷 분석
7.9.3 스노트 규칙 분석
7.9.4 스노트가 캡처한 패킷에서 의심스러운 파일 추출
7.9.5 INFO 웹 버그 경고
7.9.6 TCP 윈도우 크기 옵션 경고
7.9.7 타임라인
7.9.8 사건의 이론
7.9.9 다음 단계

3부 네트워크 장비와 서버

8장 이벤트 로그 통합과 상관 관계, 분석
8.1 로그의 종류
8.1.1 운영체제 로그
8.1.2 애플리케이션 로그
8.1.3 물리적 장비 로그
8.1.4 네트워크 장비 로그
8.2 네트워크 로그 아키텍처
8.2.1 세 가지 타입의 로깅 아키텍처
8.2.2 원격 로깅: 자주 빠지는 함정과 전략
8.2.3 로그 통합과 분석 툴
8.3 증거 수집과 분석
8.3.1 정보 수집
8.3.2 전략세우기
8.3.3 증거 수집
8.3.4 분석
8.3.5 보고서 작성
8.4 결론
8.5 사례 연구: L0ne Sh4sk의 복수
8.5.1 분석: 첫 번째 단계
8.5.2 실패한 로그인 시도의 시각화
8.5.3 목표 계정
8.5.4 성공한 로그인
8.5.5 이어지는 침해 행위
8.5.6 방화벽 로그
8.5.7 내부 피해 시스템: 192.30.1.101
8.5.8 타임라인
8.5.9 케이스에 대한 분석 의견
8.5.10 미션에 대한 답
8.5.11 다음 단계

9장 스위치와 라우터, 방화벽
9.1 저장 매체
9.2 스위치
9.2.1 스위치를 조사해야 하는 이유
9.2.2 콘텐츠 주소 지정 메모리 테이블
9.2.3 ARP
9.2.4 스위치 종류
9.2.5 스위치 증거
9.3 라우터
9.3.1 라우터를 조사해야 하는 이유
9.3.2 라우터의 종류
9.3.3 라우터 증거
9.4 방화벽
9.4.1 방화벽을 조사해야 하는 이유
9.4.2 방화벽의 종류
9.4.3 방화벽 증거
9.5 인터페이스
9.5.1 웹 인터페이스
9.5.2 CLI
9.5.3 원격 커맨드라인 인터페이스
9.5.4 SNMP
9.5.5 관리 인터페이스
9.6 로깅
9.6.1 로컬 로깅
9.6.2 간단한 네트워크 관리 프로토콜
9.6.3 syslog
9.6.4 인증, 권한 부여, 계정 로깅
9.7 결론
9.8 사례 분석: 앤의 커피 케이크
9.8.1 방화벽 진단 명령
9.8.2 DHCP 서버 로그
9.8.3 방화벽 ACL
9.8.4 방화벽 로그 분석
9.8.5 타임라인
9.8.6 사건의 이론
9.8.7 문제가 되는 질문에 대한 답변
9.8.8 다음 단계

10장 웹 프록시
10.1 왜 웹 프록시를 조사해야 하는가?
10.2 웹 프록시 기능
10.2.1 캐싱
10.2.2 URI 필터링
10.2.3 콘텐츠 필터링
10.2.4 분산 캐싱
10.3 증거
10.3.1 증거의 종류
10.3.2 증거 수집
10.4 스퀴드
10.4.1 스퀴드 환경 설정
10.4.2 스퀴드 액세스 로그 파일
10.4.3 스퀴드 캐시
10.5 웹 프록시 분석
10.5.1 웹 프록시 로그 분석 툴
10.5.2 예제: 스퀴드 디스크 캐시 분석
10.6 암호화된 트래픽
10.6.1 전송 계층 보안
10.6.2 암호화된 콘텐츠에 접근
10.6.3 상용 TLS/SSL 인터셉션 툴
10.7 결론
10.8 사례 분석: 파트 2, 인터옵틱 Saves the Planet
10.8.1 분석: pwny.jpg
10.8.2 스퀴드 캐시 페이지 추출
10.8.3 스퀴드 Access.log 파일
10.8.4 스퀴드 캐시 상세 분석
10.8.5 타임라인
10.8.6 케이스에 대한 분석 의견
10.8.7 미션에 대한 답
10.8.8 다음 단계

4부 고급 주제

11장 네트워크 터널링
11.1 기능에 대한 터널링
11.1.1 배경: VLAN 트렁킹
11.1.2 ISL
11.1.3 GRE
11.1.4 IPv4보다 위인 IPv6을 갖춘 테레도
11.1.5 조사에 대한 영향
11.2 기밀성을 위한 터널링
11.2.1 IPsec
11.2.2 TLS와 SSL
11.2.3 조사에 대한 결과
11.3 터널링 변환
11.3.1 터널링 변환 전략
11.3.2 TCP 시퀀스 넘버
11.3.3 DNS 터널
11.3.4 ICMP 터널
11.3.5 ICMP 터널 분석의 예
11.3.6 조사관에게 미치는 영향
11.4 결론
11.5 사례 연구: 앤의 지하 터널
11.5.1 분석: 프로토콜 통계
11.5.2 DNS 분석
11.5.3 터널링 IP 패킷에 대한 탐색
11.5.4 터널링된 IP 패킷 분석
11.5.5 터널링 TCP 세그먼트 분석
11.5.6 타임라인
11.5.7 사건의 이론
11.5.8 질문에 대한 대답
11.5.9 다음 단계

12장 악성코드 포렌식
12.1 악성코드 진화 동향
12.1.1 봇넷
12.1.2 암호화와 난독화
12.1.3 분산 시스템
12.1.4 자동 업데이트
12.1.5 변화하는 네트워크 행동
12.1.6 네트워크 활동 혼합
12.1.7 패스트 플럭스 DNS
12.1.8 고도화된 지속적 위협
12.2 악성코드의 네트워크 행위
12.2.1 확산
12.2.2 Command-and-Control 통신
12.2.3 페이로드 행위
12.3 악성코드와 네트워크 포렌식의 미래
12.4 사례 분석: 앤의 오로라
12.4.1 분석: 침입 탐지
12.4.2 TCP 대화: 10.10.10.10:4444~10.10.10.70:1036
12.4.3 TCP 대화: 10.10.10.10:4445
12.4.4 TCP 대화: 10.10.10.10:8080-10.10.10.70:1035
12.4.5 타임라인
12.4.6 케이스에 대한 분석 의견
12.4.7 미션에 대한 답
12.4.8 다음 단계
마치면서