네트워크 보안 완벽 가이드 세트 - 전2권

『와이어샤크 네트워크 완전 분석』

1장 네트워크 분석의 세계
___네트워크 분석에 대한 정의
___분석 예제 따라 하기
______네트워크 분석가가 해야 하는 문제점 해결 작업
______네트워크 분석가가 해야 하는 보안 작업
______네트워크 분석을 위한 최적화 작업
______네트워크 분석가를 위한 애플리케이션 분석 작업
___네트워크 분석과 관련된 보안 이슈 이해
______네트워크 분석에 정책 정의
______네트워크 트래픽이 들어있는 파일의 안전성
______원치 않은 '스니퍼'로부터 네트워크 보호
______네트워크 트래픽 리스닝에 대한 법적 이슈 알아보기
___'건초더미에서 바늘 찾기 문제' 극복하기
___분석 작업 체크리스트 검토
___네트워크 트래픽 흐름 이해
______스위칭 개요
______라우팅 개요
______프록시, 방화벽, NAT/PAT 개요
______패킷에 영향을 미치는 기타 기술
______'잘 구축된' 인프라 장치에 대한 경고
___분석 세션 시작
___사례 연구: '필요 없는 패킷' 제거
___사례 연구: '안전하게 감춰진' 네트워크
___정리
___학습한 내용 복습
___연습 문제

2장 와이어샤크 소개
___와이어샤크란?
______와이어샤크 최신 버전
______와이어샤크 공개 버전과 개발자 버전 비교
______와이어샤크 개발자들에 대한 감사!
______와이어샤크 코드의 가치 계산
______와이어샤크 버그 리포트와 개선안 제출
______수출 규제 준수
______와이어샤크 기능에 영향을 주는 제품의 확인
___유/무선 네트워크에서 패킷 캡처
______Libpcap
______WinPcap
______AirPcap
___다양한 유형의 추적 파일 열기
___와이어샤크가 패킷을 처리하는 방법
______코어 엔진
______해독기, 플러그인, 디스플레이 필터
______그래픽 툴킷
___시작 페이지 사용
______캡처 영역
______파일 영역
______온라인 영역
______캡처 도움말 영역
___9개의 GUI 요소 식별
______타이틀 바 커스터마이징
______무선 툴바 표시
______창 열고 닫기
______상태 바 해석
___와이어샤크의 메인 메뉴
______File 메뉴 항목
______Edit 메뉴 항목
______View 메뉴 항목
______Go 메뉴 항목
______Capture 메뉴 항목
______Analyze 메뉴 항목
______Statistics 메뉴 항목
______Telephony 메뉴 항목
______Tools 메뉴 항목
______Help 메뉴 항목
___메인 툴바의 효과적 사용
______툴바 아이콘 정의
___필터 툴바를 이용한 빠른 작업
___무선 툴바 보이게 하기
___오른쪽 클릭 기능을 통한 옵션 접근
______오른쪽 클릭과 복사
______오른쪽 클릭과 칼럼 적용
______오른쪽 클릭과 Wiki 프로토콜 페이지(패킷 상세 정보 창)
______오른쪽 클릭과 필터 필드 참조(패킷 상세 정보 창)
______오른쪽 클릭과 이름 변환(패킷 상세 정보 창)
______오른쪽 클릭과 프로토콜 참조
___와이어샤크 메일링 리스트 가입
___와이어샤크 관련 사이트
___사례 연구: 데이터베이스가 동작하지 않음을 탐지
___정리
___학습한 내용 복습
___연습문제

3장 트래픽 캡처
___네트워크를 살펴보는 위치
___로컬에서 와이어샤크 실행
______휴대용 와이어샤크
______와이어샤크 U3
___교환형 네트워크에서 트래픽 캡처
______반이중 네트워크에서 단순 허브 사용
______전이중 네트워크에서 테스트 액세스 포트 사용
______원격 캡처용 분석기 에이전트 사용
______스위치에서 포트 스패닝/포트 미러링 설정
______SPAN 명령어의 예
______VLAN 스패닝
___라우터에 연결된 네트워크 분석
___무선 네트워크 분석
______모니터 모드
______본래의 어댑터 캡처 문제
___동시에 두 위치에서 캡처하기(듀얼 캡처)
___오른쪽 캡처 인터페이스 선택
______인터페이스 상세 정보
___원격으로 트래픽 캡처
______rpcapd에 대한 파라미터 환경 설정
______원격 캡처: 능동 모드와 수동 모드 환경 설정
______원격 캡처 환경 설정의 저장과 사용
___하나 이상의 파일에 자동으로 패킷 저장
______빠른 접속을 위한 파일 집합 생성
______저장되는 파일 수 제한을 위한 링 버퍼 사용
______자동으로 정지 기준 정의
___패킷 누락을 피하기 위한 와이어샤크 최적화
______최적화를 위한 캡처 옵션
______최적화 표시 옵션
___커맨드라인 캡처를 이용한 메모리 절약
___사례 연구: 이중 캡처 포인트 찾아내기
___사례 연구: 집에서 트래픽 캡처하기
___정리
___학습한 내용 복습
___연습 문제

4장 캡처 필터 생성과 적용
___캡처 필터의 목적
___자신에게 맞는 캡처 필터 생성
______식별자
______한정자
___프로토콜에 의한 필터링
___MAC/IP 주소나 호스트 네임 캡처 필터 생성
______애플리케이션 분석을 위한 'My MAC' 캡처 필터 사용
______추적 파일을 제외한 자신의 트래픽 필터링(배제 필터)
___하나의 애플리케이션 트래픽만 캡처
___캡처 필터를 조합하기 위한 연산자 사용
___바이트 값을 찾기 위한 캡처 필터 생성
___캡처 필터 파일의 수동 편집
______샘플 cfilters 파일
___캡처 필터 공유
___사례 연구: Kerberos UDP에서 TCP 이슈
___정리
___학습한 내용 복습
___연습 문제

5장 전역 환경 설정과 개인 환경 설정 정의
___환경 설정 폴더 찾기
___전역 환경 설정과 개인 환경 설정
___사용자 인터페이스 설정 커스터마이징
______'파일 열기(File Open)' 대화상자 동작
______목록 엔트리 최대화하기
______창 환경 설정
______칼럼
___캡처 환경 설정 정의
______빠른 캡처 시작을 위한 기본 인터페이스 선택
______다른 호스트의 트래픽을 분석하기 위해 무차별 모드 활성화
______차세대 추적 파일 형식: Pcap-ng
______실시간으로 트래픽 보기
______캡처하는 동안 자동 스크롤
___자동으로 IP와 MAC 이름 변환
______하드웨어 주소 변환(MAC 주소 변환)
______IP 주소 변환(네트워크 이름 변환)
______포트 번호 변환(전송 이름 변환)
______SNMP 정보 변환
______세계 지도에 IP 주소 표시
___통계 설정 구성
___ARP, TCP, HTTP/HTTPS, 기타 프로토콜 설정
______중복 IP 주소와 ARP 스톰 탐지
______와이어샤크가 TCP 트래픽을 처리하는 방법 정의
______HTTP와 HTTPS 분석에 대한 추가 포트 설정
______RTP 설정으로 VoIP 분석 강화
______SSL 트래픽을 해독하기 위한 와이어샤크 환경 설정
___오른쪽 클릭을 이용한 프로토콜 환경 설정
___사례 연구: 비표준 웹 서버 설정
___정리
___학습한 내용 복습
___연습 문제

6장 트래픽 컬러링
___트래픽을 구분하기 위한 컬러 사용
___컬러링 규칙 공유와 관리
___패킷이 특정 색상으로 된 이유 확인
___대화를 구분하기 위한 컬러링
___관심 있는 패킷을 일시적으로 마크
___스트림 재조립 컬러링 변경
___사례 연구: 로그인 동안 공유점 연결 컬러링
___정리
___학습한 내용 복습
___체크섬 Offloading 다루기
___연습 문제

7장 시간 값 지정과 요약 해석
___네트워크 문제점 식별을 위한 시간 사용
______와이어샤크의 패킷 시간 측정 방법
______이상적인 시간 표시 형식 선택
______시간 정확성과 분석 이슈
___시간 영역으로 추적 파일 전송
___시간 값으로 지연 식별
______시간 칼럼 추가 생성
______시간 기준을 이용한 패킷 도착 시간 측정
___클라이언트 지연, 서버 지연, 경로 지연 식별
______종단-대-종단 경로 지연 계산
______느린 서버 응답 찾기
______오버로드된 클라이언트 찾기
___트래픽률, 패킷 크기, 전송되는 전체 바이트의 요약 보기
______단일 요약 창에서 3개의 트래픽 유형 비교
______두개 이상의 추적 파일에 대한 요약 정보 비교
___사례 연구: 시간 칼럼으로 지연된 ACK 찾기
___정리
___학습한 내용 복습
___연습 문제

8장 기본 추적 파일 통계 해석
___와이어샤크 통계 창 시작
___네트워크 프로토콜과 애플리케이션 식별
___가장 활발한 대화 식별
___종단점 나열과 지도에 표시
___특정 트래픽 유형에 대한 대화와 종단점 나열
___패킷 길이 평가
___트래픽의 모든 IP 주소 나열
___트래픽의 모든 목적지 나열
___사용된 모든 UDP와 TCP 포트 나열
___UDP 멀티캐스트 스트림 분석
___트래픽 흐름과 그래프
___HTTP 통계 수집
___모든 WLAN 통계 검사
___사례 연구: 애플리케이션 분석: Aptimize Website Accelerator™
___사례 연구: VoIP 품질 문제 찾기
___정리
___학습한 내용 복습
___연습 문제

9장 디스플레이 필터 생성과 적용
___디스플레이 필터의 목적
___자동 완성 기능을 이용한 디스플레이 필터 생성
___저장된 디스플레이 필터 적용
___필터 지원을 위한 표현식 사용
___오른쪽 클릭 필터링을 사용해 디스플레이 필터 빠른 생성
______필터 적용
______필터 준비
______Copy As Filter
___대화와 종단점에서의 필터
___디스플레이 필터 구문
___비교 연산자를 이용한 디스플레이 필터 결합
___괄호로 디스플레이 필터의 의미 변경
___패킷에서 특정 바이트 필터링
___와이어샤크 디스플레이 필터의 실수 잡아내기
___복잡한 필터링을 위한 디스플레이 필터 매크로 사용
___일반적인 디스플레이 필터 실수 피하기
___dfilters 파일 직접 수정
___사례 연구: 데이터베이스 문제를 해결하기 위해 필터와 그래프 사용
___사례 연구: 복잡하고 어수선한 브라우저
___사례 연구: 바이러스와 웜 잡기
___정리
___학습한 내용 복습
___연습 문제

10장 스트림 추적과 데이터 조립
___트래픽 조립
___UDP 대화 추적과 조립
___TCP 대화 추적과 조립
______일반 파일 형식 식별
______FTP 파일 전송 재조립
___SSL 대화 추적과 재조립
___사례 연구: 식별된 알 수 없는 호스트
___정리
___학습한 내용 복습
___연습 문제

11장 와이어샤크 프로파일 변경
___프로파일로 와이어샤크를 취향에 맞게 변경
______프로파일 새로 생성
______프로파일 공유
______회사 프로파일 생성
______WLAN 프로파일 생성
______VoIP 프로파일 생성
______보안 프로파일 생성
___사례 연구: 고객을 위해 와이어샤크를 취향에 맞게 변경하기
___정리
___학습한 내용 복습
___연습 문제

12장 패킷 저장, 추출과 인쇄
___필터링, 마킹, 범위가 지정된 패킷 저장
___다른 프로그램에서 사용하기 위해 패킷 내보내기
___대화, 종단점, IO 그래프, 흐름 그래프 정보 저장
___패킷 바이트 내보내기
___사례 연구: 문제를 분리하기 위해 트래픽의 일부를 저장
___정리
___학습한 내용 복습
___연습 문제

13장 와이어샤크의 전문가 시스템 사용
___와이어샤크의 전문가 정보 가이드
______전문가 정보의 빠른 실행
______전문가 정보 요소 색상화
______TCP 전문가 정보 요소에 대한 필터
___TCP 전문가 정보 이해
______TCP 재전송 트리거
______이전 세그먼트 손실 트리거
______ACKed 손실 패킷 트리거
______킵 얼라이브 트리거
______중복 ACK 트리거
______제로 창 트리거
______제로 창 탐색 트리거
______제로 창 탐색 ACK 트리거
______킵 얼라이브 ACK 트리거
______고장 난 트리거
______빠른 재전송 트리거
______윈도우 업데이트 트리거
______윈도우가 가득 찼음 트리거
______재생된 TCP 포트 트리거
___사례 연구: 전문가 정보가 원격 액세스 골칫거리를 잡다.
___정리
___학습한 내용 복습
___연습 문제

14장 TCP/IP 분석 개요
___TCP/IP 기능의 개요
______모두 올바르게 동작할 때
______다중 단계 결정 프로세스
______단계 1: 포트 번호 결정
______단계 2: 네트워크 이름 결정(옵션)
______단계 3: 대상이 로컬일 때 라우터 결정
______단계 4: 로컬 MAC 주소 결정
______단계 5: 경로 결정(대상이 원격일 때)
______단계 6: 게이트웨이에 대한 로컬 MAC 주소 결정
___패킷 구축
___사례 연구: 네트워크 책임 회피하기
___정리
___학습한 내용 복습
___연습 문제

15장 DNS 트래픽 분석
___DNS의 목적
___일반적인 DNS 쿼리/응답 분석
___DNS 문제 분석
___DNS 패킷 구조 분석
______Transaction ID
______Flags
______Question Count
______Answer Resource Record(RR) Count
______Authority RRs Count
______Additional RRs Count
______Questions
______Answer RRs
______RR Time to Live
______Authority RRs
______Additional RRs
___DNS/MDNS 트래픽에서 필터링
___사례 연구: DNS가 웹 브라우징 성능을 저하시키다.
___정리
___학습한 내용 복습
___연습 문제

16장 ARP 트래픽 분석
___ARP의 목적
___일반적인 ARP 요청/응답 분석
___쓸모없는 ARP 분석
___ARP 문제 분석
___ARP 패킷 구조 분석
______하드웨어 유형
______프로토콜 유형
______하드웨어 주소 길이
______프로토콜 주소 길이
______Opcode
______발신자 하드웨어 주소
______발신자의 프로토콜 주소
______대상 하드웨어 주소
______대상 프로토콜 주소
___ARP 트래픽 필터링
___사례 연구: ARP에 의한 죽음
___정리
___학습한 내용 복습
___연습 문제

17장 IPv4 트래픽 분석
___IPv4의 용도
___일반적인 IPv4 트래픽 분석
___IPv4 문제 분석
___IPv4 패킷 구조 분석
______버전 필드
______헤더 길이 필드
______차별화된 서비스 필드와 명시적 혼잡 알림
______전체 길이 필드
______식별 필드
______플래그 필드
______Fragment 오프셋 필드
______Time to Live 필드
______프로토콜 필드
______헤더 체크섬 필드
______발신지 주소 필드
______목적지 주소 필드
______옵션 필드
______브로드캐스트/멀티캐스트 트래픽
___추적 파일에서 불필요한 IP 주소 삭제
___IP 프로토콜 환경 설정
______단편화된 IP 데이터그램 재조립
______GeoIP 조회 기능 사용
______예약된 플래그를 보안 플래그로써 해석(RFC 3514)
___암호화된 통신 문제 해결
___IPv4 트래픽 필터링
___사례 연구: 모두가 라우터를 탓했다.
___사례 연구: 이것은 네트워크 문제가 아니야!
___정리
___학습한 내용 복습
___연습 문제

18장 ICMP 트래픽 분석
___ICMP의 목적
___기본 ICMP 트래픽 분석
___ICMP 문제 분석
___ICMP 패킷 구조 분석
______유형
______코드
______체크섬
___ICMP 트래픽 필터링
___사례 연구: Dead-End 라우터
___정리
___학습한 내용 복습
___연습 문제

19장 UDP 트래픽 분석
___UDP의 목적
___일반 UDP 트래픽 분석
___UDP 문제 분석
___UDP 패킷 구조를 분석
______목적지 포트 필드
______목적지 포트 필드
______길이 필드
______체크섬 필드
___UDP 트래픽 필터링
___사례 연구: 시간 동기화 문제 해결
___정리
___학습한 내용 복습
___연습 문제

20장 TCP 트래픽 분석
___TCP의 용도
___일반적인 TCP 통신 분석
______TCP 연결의 설정
______TCP 기반 서비스가 거부된 경우
______TCP 연결의 종료
______TCP가 패킷을 순차적으로 추적하는 방법
______패킷 손실로부터 TCP를 복구하는 방법
______선택적 확인 응답을 통해 패킷 손실 복구 능력 향상
______TCP 흐름 제어 이해
______Nagling과 지연된 ACK 이해
___TCP 문제 분석
___TCP 패킷 구조 분석
______발신지 포트 필드
______목적지 포트 필드
______순차 번호 필드
______확인 응답 번호 필드
______데이터 오프셋 필드
______플래그 필드
______윈도우 필드
______체크섬 필드
______긴급 포인터 필드(옵션)
______TCP 옵션 영역(옵션)
___TCP 트래픽 필터링
___TCP 프로토콜 환경 설정
______가능한 경우 TCP 체크섬을 입증
______TCP 스트림을 재조립하기 위해 Subdissector 허가
______TCP 순차 번호 분석
______연관된 순차 번호와 윈도우 스케일링
______여행에서 바이트의 수를 추적
______대화 타임스탬프 계산
___사례 연구: 연결은 4개의 시도를 요구한다
___정리
___학습한 내용 복습
___연습 문제

21장 그래프 IO율 TCP 트렌드
___트렌드를 보기 위한 그래프 사용
___기본 IO 그래프 생성
______필터 IO 그래프
______컬러링
______스타일과 레이어
______X축과 Y축
___고급 IO 그래프 생성
______SUM(*) Calc
______MIN(*), AVG(*), MAX(*) Calcs
______COUNT(*) Calc
______LOAD(*) Calc
___IO 그래프에서 트래픽 동향 비교
___왕복 시간 그래프
___처리율 그래프
___시간상의 TCP 순차 번호 그래프
______TCP 윈도우 크기 이슈 해석
______패킷 손실, 중복 확인 응답, 재전송 해석
___사례 연구: 성능 레벨 "Drop" 관찰
___사례 연구: 회사 사무실 왕복 시간 그래프 만들기
___사례 연구: QoS 정책 테스트
___정리
___학습한 내용 복습
___연습 문제

22장 DHCP 트래픽 분석
___DHCP의 목적
___일반적인 DHCP 트래픽 분석
___DHCP 문제점 분석
___DHCP 패킷 구조 분석
______메시지 유형
______하드웨어 유형
______하드웨어 길이
______홉
______트랜잭션 식별자
______초 단위 경과 시간
______BOOTP 플래그
______클라이언트 IP 주소
______사용자(클라이언트) IP 주소
______다음 서버 IP 주소
______중계 에이전트 IP 주소
______클라이언트 MAC 주소
______서버 호스트 이름
______부트 파일 이름
______매직 쿠키
______옵션
___DHCP 트래픽 필터
___BOOTP-DHCP 통계 디스플레이
___사례 연구: 감소하는 클라이언트
___정리
___학습한 내용 복습
___연습 문제

23장 HTTP 트래픽 분석
___HTTP의 목적
___일반적인 HTTP 통신 분석
___HTTP 문제점 분석
___HTTP 패킷 구조 분석
______HTTP 메소드
______호스트
______요청 수식자
___HTTP/HTTPS 트래픽 필터
___HTTP 객체 내보내기
___복사를 이용해 웹 페이지 재구축
___HTTP 통계 디스플레이
______HTTP 부하 분산
______HTTP 패킷 카운터
______HTTP 요청
___HTTP 트래픽 흐름 그래픽
______패킷 선택
______흐름 유형 선택
______노드 주소 유형 선택
___HTTP 환경 설정
___HTTPS 통신 분석
______HTTPS 핸드셰이크
______HTTPS 트래픽 복호화
___사례 연구: HTTP 프록시 문제점
___정리
___학습한 내용 복습
___연습 문제

24장 FTP 트래픽 분석
___FTP의 목적
___일반적인 FTP 통신 분석
______수동 모드 연결 분석
______능동 모드 연결 분석
___FTP 문제점 분석
___FTP 패킷 구조 분석
___FTP 트래픽 필터
___FTP 트래픽 재조립
___사례 연구: 비밀 FTP 통신
___정리
___학습한 내용 복습
___연습 문제

25장 이메일 트래픽 분석
___POP의 목적
___일반적인 POP 통신 분석
___POP 문제점 분석
___POP 패킷 구조 분석
___POP 트래픽 필터
___SMTP의 목적
___정상적인 SMTP 통신 분석
___SMTP 문제점 분석
___SMTP 패킷 구조 분석
___SMTP 트래픽 필터
___사례 연구: SMTP 문제점: Scan2Email 작업
___정리
___학습한 내용 복습
___연습 문제

26장 802.11(WLAN) 분석 개요
___WLAN 트래픽 분석
___신호 강도와 인터페이스 분석
___WLAN 트래픽 캡처
______모니터 모드와 무차별 모드 비교
______무선 인터페이스 선택
______WLAN 복호화 설정
______Radiotap이나 PPI 헤더 추가를 위한 선택
______신호 강도와 신호 대 잡음비 비교
___802.11 트래픽 기본 이해
______데이터 프레임
______관리 프레임
______제어 프레임
___일반적인 802.11 통신 분석
___802.11 프레임 구조 분석
___모든 WLAN 트래픽 필터
___프레임 제어 유형과 부유형 분석
___WLAN 분석을 위해 와이어샤크를 취향에 맞게 지정
___사례 연구: 지저분한 바코드 통신
___정리
___학습한 내용 복습
___연습 문제

27장 VoIP 분석 개요
___VoIP 트래픽 흐름 이해
___세션 대역폭과 RTP 포트 정의
___VoIP 문제점 분석
______패킷 손실
______지터
___SIP 트래픽 검사
______SIP 명령어
______SIP 응답 코드
___RTP 트래픽 검사
___VoIP 대화 재생
___VoIP 프로파일 생성
___VoIP 트래픽 필터
___사례 연구: VoIP 톤 손실
___정리
___학습한 내용 복습
___연습 문제

28장 정상 트래픽 패턴 베이스라인
___베이스라인의 중요성 이해
______브로드캐스트, 멀티캐스트 유형과 비율 베이스라인
______프로토콜과 애플리케이션 베이스라인
______부트업 순서 베이스라인
______로그인/로그아웃 순서 베이스라인
______유휴 시간 동안 트래픽 베이스라인
______애플리케이션 시작 순서와 중요 작업 베이스라인
______웹 브라우징 세션 베이스라인
______네임 분석 세션 베이스라인
______처리율 테스트 베이스라인
______무선 연결성 베이스라인
______VoIP 통신 베이스라인
___사례 연구: 로그인 로그 잼
___사례 연구: SAN 연결 해제 해결
___정리
___학습한 내용 복습
___연습 문제

29장 성능 문제의 최대 원인 찾기
___성능 문제 트러블슈팅
___높은 지연 시간 확인
______도착 시간 필터
______델타 시간 필터
______참조 시간이나 첫 번째 패킷 이후 시간 필터
___프로세스 시간을 느리게 하는 지점
___패킷 손실 위치 검색
___구성 오류 신호 관찰
___재지정 트래픽 분석
___작은 페이로드 크기 관찰
___혼잡 검색
___애플리케이션 결함 확인
___네임 해석 실패
___성능 문제 분석 시 중요 사항
___사례 연구: 한 방향 문제
___사례 연구: 네트워크 문제의 완벽한 폭풍
___정리
___학습한 내용 복습
___연습 문제

30장 네트워크 포렌식 개요
___호스트 포렌식과 네트워크 포렌식 비교
___증거 수집
___탐지 회피
___증거의 올바른 취급
___비정상 트래픽 패턴 인식
___비정상 트래픽 패턴의 컬러링
___보완적인 포렌식 도구 확인
___사례 연구: SSL/TLS 취약점 연구
___정리
___학습한 내용 복습
___연습 문제

31장 스캐닝 탐지와 발견 처리
___발견과 점검 처리의 목적
___ARP 스캔(일명 ARP 스윕) 탐지
___ICMP Ping 스윕 탐지
___다양한 타입의 TCP 포트 스캔 탐지
______TCP 반개방 스캔(일명 '스텔스 스캔')
______TCP 전체 연결 스캔
______널 스캔
______Xmas 스캔
______FIN 스캔
______ACK 스캔
___UDP 포트 스캔 탐지
___IP 프로토콜 스캔 탐지
___아이들 스캔 이해
___ICMP 유형과 코드 알아보기
___엔맵 스캔 명령 시도
___Traceroute 경로 발견 분석
___동적 라우터 발견 탐지
___애플리케이션 매핑 프로세스 이해
___수동적인 OS 핑거프린팅을 위한 와이어샤크 사용
___능동적인 OS 핑거프린팅 탐지
___스캔에서 스푸핑된 주소 식별
___사례 연구: Conficker로부터 배운 교훈
___정리
___학습한 내용 복습
___연습 문제

32장 수상한 트래픽 분석
___'수상한' 트래픽이란?
___TCP/IP 해결 프로세스의 취약점 식별
______포트 해결 취약점
______이름 해결 프로세스 취약성
______MAC 주소 해결 취약성
______라우트 해결 취약점
___받아들일 수 없는 트래픽 식별
______악의적으로 변형된 패킷 찾기
______유효하지 않거나 '알기 어려운' 목적지 주소 식별
______플루딩과 표준 서비스 거부 트래픽 구별
______명백한 텍스트 패스워드와 데이터 발견
______전화 홈 트래픽 식별
______이상한 프로토콜과 애플리케이션 잡아내기
______ICMP를 사용하는 라우트 재지정 위치 찾기
______ARP 오염 잡아내기
______IP 단편화와 덮어쓰기 잡아내기
______TCP 스플라이싱 발견하기
______기타 이상한 TCP 트래픽
______패스워드 크래킹 시도 식별
___보는 위치 알기: 시그니처 위치
______헤더 시그니처
______순서열 시그니처
______페이로드 시그니처
___사례 연구: 플루딩 호스트
___사례 연구: 키 로깅 트래픽 잡아내기
___사례 연구: 수동적으로 멀웨어 찾아보기
___정리
___학습한 내용 복습
___연습 문제

33장 커맨드라인 도구의 효과적인 사용
___커맨드라인 도구의 효력 이해
___wireshark.exe(커맨드라인 실행) 사용
______와이어샤크 구문
______와이어샤크의 시작의 사용자 지정
___Tshark을 이용한 트래픽 캡처하기
______Tshark 구문
______Tshark 통계 보기
______Tshark 사용 예
___Capinfos를 이용해 추적 파일 상세 정보 열거
______Capinfos 구문
______Capinfos의 예
___Editcap을 이용한 추적 파일 편집
______Editcap 구문
______Editcap의 예
___Mergecap을 이용한 추적 파일 병합
______mergecap 구문
______mergecap의 예
___text2pcap을 이용한 텍스트 변환
______Text2pcap 구문
______Text2pcap의 예
___Dumpcap를 이용한 트래픽 캡처
______Dumpcap 구문
______Dumpcap의 예
___Rawshark 이해
______Rawshark 구문
___사례 연구: GETS와 의심을 얻기
___정리
___학습한 내용 복습
___연습 문제

부록 A 참고 웹사이트
______Chanalyzer/Wi-Spy Recording(.wsr 파일)
______MaxMind GeoIP 데이터베이스 파일(.dat 파일)
______PhoneFactor SSL/TLS 취약성 문서/추적 파일
______Wireshark 사용자 지정 프로파일
______추적 파일 연습

부록 B 연습문제 풀이


『엔맵 네트워크 스캐닝: 네트워크 발견과 보안 스캐닝을 위한 Nmap 공식 가이드』

1장 엔맵 네트워킹 스캐닝 시작
1.1 소개
1.2 엔맵 개요와 예제
___1.2.1 아바타 온라인
___1.2.2 인류 구하기
___1.2.3 이상한 나라의 MadHat
1.3 엔맵 스캔의 단계
1.4 법적 이슈
___1.4.1 권한을 받지 않은 포트 스캐닝이 범죄인가?
___1.4.2 포트 스캐닝이 대상 컴퓨터나 네트워크 기능을 멈추게 할 수 있는가?
___1.4.3 엔맵 저작권
1.5 엔맵의 역사와 미래

2장 엔맵 얻기, 컴파일, 설치, 제거
2.1 소개
___2.1.1 엔맵의 존재 여부 검사
___2.1.2 커맨드라인과 그래픽 인터페이스
___2.1.3 엔맵 다운로드
___2.1.4 엔맵 다운로드의 무결성 검증
___2.1.5 엔맵을 Subversion(SVN) 저장소에서 얻기
2.2 소스코드로부터 유닉스 컴파일과 설치
___2.2.1 디렉티브(지시문) 구성
___2.2.2 컴파일 오류에 맞닥뜨리면
2.3 리눅스 배포판
___2.3.1 RPM 기반 배포판(레드 햇, 맨드레이크, 수세, 페도라)
___2.3.2 Yum에 의한 레드햇, 페도라, 맨드레이크, 옐로우 독 리눅스 업데이트
___2.3.3 데비안 리눅스와 우분투 배포판 계열
___2.3.4 다른 리눅스 배포판
2.4 윈도우
___2.4.1 윈도우 2000 의존성 프로그램
___2.4.2 윈도우 자동 설치 프로그램
___2.4.3 커맨드라인 Zip 바이너리
___2.4.4 소스코드 컴파일
___2.4.5 윈도우에서 엔맵 실행
2.5 썬 솔라리스
2.6 애플 맥 OS X
___2.6.1 실행 가능한 인스톨러
___2.6.2 소스코드 컴파일
___2.6.3 제3자 패키지
___2.6.4 맥 OS X에서 엔맵 실행
2.7 Free BSD / Open BSD / Net BSD
___2.7.1 Open BSD 바이너리 패키지와 소스 포트 사용법
___2.7.2 Free BSD 바이너리 패키지와 소스 포트 사용법
___2.7.3 Net BSD 바이너리 패키지 사용법
2.8 아미가, HP-UX, IRIX, 기타 플랫폼들
2.9 엔맵 제거

3장 호스트 발견(핑 스캐닝)
3.1 소개
3.2 대상 호스트와 네트워크 목록 나열
___3.2.1 목록으로부터 입력(-iL)
___3.2.2 대상을 임의대로 선택(-iR )
___3.2.3 대상 제외시키기(--exclude, --excludefile )
___3.2.4 실제 예
3.3 대상 조직의 IP 주소 찾기
___3.3.1 DNS 속임수
___3.3.2 IP 레지스트리에 대한 Whois 질의
___3.3.3 인터넷 라우팅 정보
3.4 DNS 해석
3.5 호스트 발견 컨트롤
___3.5.1 목록 스캔(-sL)
___3.5.2 핑 스캔(-sP)
___3.5.3 핑을 사용 불가능하게 하기(-PN)
3.6 호스트 발견 기술
___3.6.1 TCP SYN 핑(-PS)
___3.6.2 TCP ACK 핑(-PA)
___3.6.3 UDP 핑(-PU)
___3.6.4 ICMP 핑 종류(-PE, -PP, ?PM)
___3.6.5 IP 프로토콜 핑(-PO)
___3.6.6 ARP 스캔(-PR)
___3.6.7 기본 조합
3.7 종합 정리: 호스트 발견 전략
___3.7.1 관련 옵션
___3.7.2 핑 옵션 선택과 결합
3.8 호스트 발견 코드 알고리즘

4장 포트 스캐닝 개요
4.1 포트 스캐닝 소개
___4.1.1 포트란 정확히 무엇인가?
___4.1.2 가장 인기 있는 포트는 무엇인가?
___4.1.3 포트 스캐닝이란
___4.1.4 포트를 스캔하는 이유
4.2 빠른 포트 스캐닝 지침서
4.3 커맨드라인 플래그
___4.3.1 스캔 기술 선택
___4.3.2 스캔할 포트 선택
___4.3.3 시간 관련 옵션
___4.3.4 출력 형식과 다양한 옵션
___4.3.5 방화벽과 IDS 침입 옵션
___4.3.6 대상 지정하기
___4.3.7 기타 옵션
4.4 IPv6 스캐닝(-6)
4.5 해결책: 특정 열린 TCP 포트를 위한 거대 네트워크 스캔
___4.5.1 문제
___4.5.2 해결책
___4.5.3 토론
___4.5.4 추가 사항

5장 포트 스캐닝 기술과 알고리즘
5.1 소개
5.2 TCP SYN(스텔스) 스캔
5.3 TCP 연결 스캔(-sT)
5.4 UDP 스캔(-sU)
___5.4.1 필터된 UDP 포트에서 열린 포트를 확인
___5.4.2 UDP 스캔 속도 올리기
5.5. TCP FIN, NULL, Xmas 스캔(-sF, -sN, -sX)
5.6 --scanflags로 스캔 유형 커스텀
___5.6.1 커스텀 SYN/FIN 스캔
___5.6.2 PSH 스캔
5.7 TCP ACK 스캔(-sA)
5.8 TCP 윈도우 스캔(-sW)
5.9 TCP Maimon 스캔(-sM)
5.10 TCP Idle 스캔(-sI)
___5.10.1 Idle 스캔 단계
___5.10.2 작동하는 Idle 스캔 좀비 호스트 찾기
___5.10.3 5.10.3. Idle 스캔 수행하기
___5.10.4 Idle 스캔 실행 알고리즘
5.11 IP 프로토콜 스캔(-sO)
5.12 TCP FTP 바운스 스캔(-b)
5.13 스캔 코드와 알고리즘
___5.13.1 네트워크 조건 모니터링
___5.13.2 호스트와 포트 병행화
___5.13.3 왕복 시간 측정
___5.13.4 혼잡 제어
___5.13.5 타이밍 프로브
___5.13.6 추측된 인접 시간
___5.13.7 적응 재전송
___5.13.8 스캔 지연

6장 엔맵 성능 최적화
6.1 소개
6.2 스캔 시간 축소 기술
___6.2.1 중요하지 않은 테스트 생략
___6.2.2 타이밍 매개변수 최적화
___6.2.3 UDP 스캔 분리와 최적화
___6.2.4 엔맵 업그레이드하기
___6.2.5 엔맵 인스턴스 병행 실행
___6.2.6 선호하는 네트워크 위치에서 스캔
___6.2.7 사용 가능한 대역폭과 CPU 시간 증가
6.3 장시간이 소요되는 스캔을 위한 대처 전략
___6.3.1 다단계 접근법 사용하기
___6.3.2 스캔 시간 추정과 계획
6.4 포트 선택을 위한 데이터와 전략
6.5 로우레벨 타이밍 제어
6.6 타이밍 템플릿(-T)
6.7 46시간만에 676,352개의 IP 주소 스캔

7장 서비스와 애플리케이션 버전 탐지
7.1 소개
7.2 사용법과 예제
7.3 기술적 설명
___7.3.1 치트와 폴백
___7.3.2 프로브 선택과 래리티
7.4 기술적 데모
7.5 포스트 프로세서
___7.5.1 7.5.1. 엔맵 스크립팅 엔진 통합
___7.5.2 RPC 그라인딩
___7.5.3 SSL 포스트 프로세서
7.6 nmap-service-probes 파일 포맷
___7.6.1 Exclude 지시자
___7.6.2 Probe 지시자
___7.6.3 match 지시자
___7.6.4 softmatch 지시자
___7.6.5 ports와 sslports 지시자
___7.6.6 totalwaitms 지시자
___7.6.7 rarity 지시자
___7.6.8 fallback 지시자
___7.6.9 모두 한 번에 담기
7.7 커뮤니티 배포
___7.7.1 서비스 핑거프린터 보내기
___7.7.2 데이터베이스 수정 전달
___7.7.3 새로운 프로브 전송
7.8 해결책: Insecure나 비표준 애플리케이션 버전에 동작하는 모든 서버를 찾아라
___7.8.1 문제 상황
___7.8.2 해결 방안
___7.8.3 토론
7.9 해결 방안: 오픈 프록시 탐지 같은 커스텀 요구를 맞추기 위해 버전 탐지 해킹
___7.9.1 문제 상황
___7.9.2 해결 방안
___7.9.3 토론

8장 원격 운영체제 탐지
8.1 소개
___8.1.1 운영체제 탐지 이유
8.2 사용법과 예
8.3 엔맵이 지원하는 TCP/IP 핑거프린팅 방법
___8.3.1 프로브의 전달
___8.3.2 응답 테스트
8.4 엔맵이 사용하지 않는 핑거프린팅 방법
___8.4.1 수동적 핑거프린팅
___8.4.2 익스플로잇 연대기
___8.4.3 재전달 시간
___8.4.4 IP 단편화
___8.4.5 열린 포트 패턴
8.5 엔맵 핑거프린트의 이해
___8.5.1 조건 핑거프린팅 포맷 디코딩
___8.5.2 참조 핑거프린트 포맷 디코딩
8.6 운영체제 매치 알고리즘
8.7 잘못 인식한 것과 인식되지 않은 호스트들 다루기
___8.7.1 엔맵의 추측이 틀릴 때
___8.7.2 엔맵이 매치하는 것이 없이 핑거프린트를 출력할 때
___8.7.3 nmap-os-db 데이터베이스 직접 수정
8.8 해결책: 엔터프라이즈 네트워크에서 악의의 무선접속장치 탐지
___8.8.1 문제 상황
___8.8.2 해결책
___8.8.3 WAP의 특징

9장 엔맵 스크립팅 엔진
9.1 소개
9.2 사용법과 예제
___9.2.1 스크립트 카테고리
___9.2.2 커맨드라인 인자
___9.2.3 스크립트에 인자 사용
___9.2.4 예제
9.3 스크립트 형식
___9.3.1 description 필드
___9.3.2 categories 필드
___9.3.3 author 필드
___9.3.4 license 필드
___9.3.5 runlevel 필드
___9.3.6 포트와 호스트 규칙
___9.3.7 액션
9.4 스크립트 언어
___9.4.1 Lua 기반 언어
9.5 NSE 스크립트
9.6 NSE 라이브러리
___9.6.1 모든 라이브러리 목록
___9.6.2 Nselib에 C 모듈 추가하기
9.7 엔맵 API
___9.7.1 스크립트로 전달되는 정보
___9.7.2 네트워크 I/O API
___9.7.3 스레드 뮤텍스
___9.7.4 예외 처리
___9.7.5 레지스트리
9.8 스크립트 작성 튜토리얼
___9.8.1 헤더
___9.8.2 규칙
___9.8.3 메커니즘
9.9 스크립트 문서 작성(NSEDoc)
___9.9.1 NSE 문서화 태그
9.10 NSE를 이용한 버전 탐지
9.11 스크립트 예제: finger.nse
9.12 구현 상세 사항
___9.12.1 초기화 단계
___9.12.2 대상과 스크립트의 매칭
___9.12.3 스크립트 실행

10장 방화벽과 침입 탐지 시스템 탐지와 무력화
10.1 소개
10.2 왜 윤리 의식을 가진 전문가(white hat)가 이런 짓을 해야 하는가?
10.3 방화벽 규칙 이해
___10.3.1 표준 SYN 스캔
___10.3.2 ACK 스캔
___10.3.3 IP ID 트릭
___10.3.4 UDP 버전 스캐닝
10.4 방화벽 규칙 우회
___10.4.1 이색적인 스캔 플래그
___10.4.2 소스 포트 조작
___10.4.3 IPv6 공격
___10.4.4 IP ID Idle 스캐닝
___10.4.5 다중 핑 프로브
___10.4.6 단편화
___10.4.7 프록시
___10.4.8 MAC 주소 속이기
___10.4.9 소스 라우팅
___10.4.10 FTP 바운스 스캔
___10.4.11 다른 경로를 얻어라
___10.4.12 방화벽 무력화의 실제 예제
10.5 침입 탐지 시스템 무력화
___10.5.1 침입 탐지 시스템의 탐지
___10.5.2 침입 탐지 시스템 회피
___10.5.3 침입 탐지 시스템 현혹시키기
___10.5.4 reactive 시스템에 대한 DoS 공격
___10.5.5 침입 탐지 시스템 익스플로잇
___10.5.6 침입 탐지 시스템 무시
10.6 방화벽과 침입 탐지 시스템에 의한 패킷 위조 탐지
___10.6.1 TTL의 일관성 찾기
___10.6.2 IP ID와 일련번호의 일관성 찾기
___10.6.3 위조 TCP 체크섬 트릭
___10.6.4 라운드 트립 시간
___10.6.5 패킷 헤더와 내용의 세밀한 분석
___10.6.6 비정상적인 네트워크 균일성

11장 엔맵 방어
11.1 소개
11.2 능동적인 스캔, 포트의 닫기와 막기, 취약점 수정
11.3 방화벽으로 엔맵을 막거나 느리게 하기
11.4 엔맵 스캔 탐지
11.5 영리한 속임수
___11.5.1 불분명한 포트에 서비스 숨기기
___11.5.2 포트 노킹
___11.5.3 허니팟과 허니넷
___11.5.4 운영체제 속이기
___11.5.5 타르 피트
___11.5.6 포트 스캔 탐지 반응
___11.5.7 군비 경쟁의 증가

12장 젠맵 그래픽 유저 인터페이스 사용자 가이드
12.1 소개
___12.1.1 엔맵 GUI의 필요성
12.2 스캐닝
___12.2.1 프로파일
___12.2.2 스캔 결과 모으기
12.3 스캔 결과 해석하기
___12.3.1 스캔 결과 탭
___12.3.2 호스트별로 정렬하기
___12.3.3 서비스별로 정렬하기
12.4 스캔 결과 저장과 불러오기
___12.4.1 최근 스캔 데이터베이스
12.5 네트워크 토폴로지 활용하기
___12.5.1 토폴로지 탭 개요
___12.5.2 범례
___12.5.3 컨트롤
___12.5.4 키보드 단축키
___12.5.5 호스트 뷰어
12.6 엔맵 명령 마법사
12.7 프로파일 편집기
___12.7.1 새 프로파일 만들기
___12.7.2 프로파일 수정하기
___12.7.3 기존 프로파일로 새 프로파일 만들기
12.8 저장된 결과 검색하기
12.9 결과 비교하기
___12.9.1 그림으로 비교
___12.9.2 텍스트로 비교
12.10 젠맵에서 쓰이는 파일
___12.10.1 nmap 실행 파일
___12.10.2 시스템 설정 파일
___12.10.3 사용자별 설정 파일
___12.10.4 산출물 파일
12.11 zenmap.conf의 내용
___12.11.1 zenmap.conf의 섹션
12.12 커맨드라인 옵션
___12.12.1 요약 정리
___12.12.2 옵션 요약
___12.12.3 오류 산출물
12.13 젠맵의 역사

13장 엔맵 산출물의 포맷
13.1 소개
13.2 커맨드라인 플래그
___13.2.1 산출물 유형 제어
___13.2.2 산출물의 상세도 조절하기
___13.2.3 디버깅 활성화
___13.2.4 오류 처리와 경고 메시지
___13.2.5 패킷 추적 활성화
___13.2.6 중단된 스캐닝을 이어서 계속 수행
13.3 인터랙티브 산출물
13.4 정규 산출물(-oN)
13.5 $crlpT kIddI3 0uTPut(-oS)
13.6 XML 산출물(-oX)
___13.6.1 XML 산출물 사용
13.7 XML 산출물을 펄로 조작
13.8 데이터베이스로 산출물 저장
13.9 HTML 보고서 생성하기
___13.9.1 영구 HTML 보고서로 저장
13.10 그렙 가능한 산출물(-oG)
___13.10.1 그렙 가능한 산출물 필드
___13.10.2 커맨드라인에서 그렙 가능한 산출물 파싱

14장 엔맵 데이터 파일 이해와 커스터마이징
14.1 소개
14.2 잘 알려진 포트 목록: nmap-services
14.3 버전 스캐닝 데이터베이스: nmap-service-probes
14.4 SunRPC 번호: nmap-rpc
14.5 엔맵 운영체제 탐지 데이터베이스: nmap-os-db
14.6 MAC 주소 벤더 프리픽스: nmap-mac-prefixes
14.7 IP 프로토콜 번호 목록: nmap-protocols
14.8 스크립팅 관련 파일
14.9 커스텀 데이터 파일 사용

15장 엔맵 레퍼런스 가이드
15.1 설명
15.2 옵션 개요
15.3 대상 명세
15.4 호스트 발견
15.5 포트 스캐닝 기초
15.6 포트 스캐닝 기술
15.7 포트 지정과 스캔 순서
15.8 서비스 탐지와 버전 탐지
15.9 운영체제 탐지
15.10 엔맵 스크립팅 엔진(NSE)
15.11 시간과 성능
15.12 방화벽/IDS 회피와 스푸핑
15.13 출력
15.14 다양한 옵션
15.15 실행 시의 상호 작용
15.16 활용 예
15.17 버그
15.18 저자
15.19 법적 고지
___15.19.1 엔맵 저작권과 특허
___15.19.2 이 엔맵 가이드를 위한 Creative Commons License
___15.19.3 소스코드 가용성과 공공 기여
___15.19.4 보증을 하지 않음
___15.19.5 부적절한 이용
___15.19.6 써드파티 소프트웨어
___15.19.7 미국 수출 통제 분류

부록 A 엔맵 XML 출력 문서 유형 정의
A.1 목적
A.2 전체 DTD