네트워크 보안과 분석 한 번에 끝낸다 한정판 세트 - 전3권

『(개정판) 와이어샤크를 활용한 실전 패킷 분석』

1장 패킷 분석과 네트워크 기초
___1.1 패킷 분석과 패킷 스니퍼
______1.1.1 패킷 스니퍼 평가
______1.1.2 패킷 스니퍼의 동작 방식
___1.2 컴퓨터 통신 방식
______1.2.1 프로토콜
______1.2.2 7계층 OSI 모델
______1.2.3 데이터 캡슐화
______1.2.4 네트워크 하드웨어
___1.3 트래픽 분류
______1.3.1 브로드캐스트 트래픽
______1.3.2 멀티캐스트 트래픽
______1.3.3 유니캐스트 트래픽
___1.4 정리

2장 회선 탭핑
___2.1 무차별 모드
___2.2 허브상의 스니핑
___2.3 스위치 환경에서의 스니핑
______2.3.1 포트 미러링
______2.3.2 허빙 아웃
______2.3.3 탭 사용
______2.3.4 ARP 캐시 포이즈닝
___2.4 라우터 환경에서 스니핑
___2.5 스니퍼 설치 연습

3장 와이어샤크 소개
___3.1 와이어샤크의 역사
___3.2 와이어샤크의 장점
______3.2.1 지원되는 프로토콜
___3.3 와이어샤크 설치
______3.3.1 윈도우 시스템에 설치
______3.3.2 리눅스 시스템에 설치
______3.3.3 맥 OS X 시스템에서 설치
___3.4 와이어샤크의 기초
______3.4.1 패킷의 첫 번째 캡처
______3.4.2 와이어샤크의 메인 창
______3.4.3 와이어샤크 환경설정
______3.4.4 패킷 컬러 코딩

4장 캡처한 패킷 작업
___4.1 캡처 파일 작업
______4.1.1 캡처된 패킷 저장과 내보내기
______4.1.2 캡처된 패킷 병합
___4.2 패킷 작업
______4.2.1 패킷 검색
______4.2.2 패킷 표시
______4.2.3 패킷의 출력
___4.3 시간 표시 형식과 참조 설정
______4.3.1 시간 표시 형식
______4.3.2 패킷 시간 참조
___4.4 캡처 옵션 설정
______4.4.1 캡처 설정
______4.4.2 캡처 파일 설정
______4.4.3 캡처 중지 설정
______4.4.4 표시 옵션
______4.4.5 이름 변환 설정
___4.5 필터 사용
______4.5.1 캡처 필터
______4.5.2 디스플레이 필터
______4.5.3 필터 저장

5장 와이어샤크의 고급 기능
___5.1 네트워크 종단점과 대화
______5.1.1 종단점 보기
______5.1.2 네트워크 대화보기
______5.1.3 종단점과 대화 창을 이용한 문제 해결
___5.2 프로토콜 계층 통계
___5.3 이름 변환
______5.3.1 이름 변환 사용
______5.3.2 이름 변환의 잠재적인 결점
___5.4 프로토콜 정밀 분석
______5.4.1 정밀 분석기 변경
______5.4.2 정밀 분석기 소스코드 보기
___5.5 Following TCP 스트림
___5.6 패킷 길이
___5.7 그래프
______5.7.1 IO 그래프
______5.7.2 왕복 시간 그래프
______5.7.3 흐름 그래프
___5.8 전문가 정보

6장 일반 하위 계층 프로토콜
___6.1 주소 변환 프로토콜
______6.1.1 ARP 헤더
______6.1.2 패킷 1: ARP 요청
______6.1.3 패킷 2: ARP 응답
______6.1.4 불필요한 ARP
___6.2 인터넷 프로토콜
______6.2.1 IP 주소
______6.2.2 IPv4 헤더
______6.2.3 TTL
______6.2.4 IP 단편화
___6.3 전송 제어 프로토콜
______6.3.1 TCP 헤더
______6.3.2 TCP 포트
______6.3.3 TCP 삼방향 핸드셰이크
______6.3.4 TCP 해체
______6.3.5 TCP 리셋
___6.4 사용자 데이터그램 프로토콜
______6.4.1 UDP 헤더
___6.5 인터넷 제어 메시지 프로토콜
______6.5.1 ICMP 헤더
______6.5.2 ICMP 유형과 메시지
______6.5.3 에코 요청과 응답
______6.5.4 Traceroute

7장 일반 상위 계층 프로토콜
___7.1 동적 호스트 설정 프로토콜
______7.1.1 DHCP 패킷 구조
______7.1.2 DHCP 갱신 프로세스
______7.1.3 DHCP 임대 갱신 프로세스
______7.1.4 DHCP 옵션과 메시지 유형
___7.2 도메인 네임 시스템
______7.2.1 DNS 패킷 구조
______7.2.2 간단한 DNS 조회
______7.2.3 DNS 질문 유형
______7.2.4 DNS 재귀
______7.2.5 DNS 지역 이동
___7.3 하이퍼텍스트 전송 프로토콜
______7.3.1 HTTP로 브라우징
______7.3.2 HTTP를 이용한 데이터 포스팅
___7.4 정리

8장 기본적인 실제 시나리오
___8.1 패킷 수준의 소셜 네트워크
______8.1.1 트위터 트래픽 캡처
______8.1.2 페이스북 트래픽 캡처
______8.1.3 트위터 방식과 페이스북 방식 비교
___8.2 ESPN.com 트래픽 캡처
______8.2.1 대화 창 이용
______8.2.2 프로토콜 계층 통계 창 사용
______8.2.3 DNS 트래픽 살펴보기
______8.2.4 HTTP 요청 보기
___8.3 실세계의 문제점
______8.3.1 인터넷 접근 불가: 환경설정 문제
______8.3.2 인터넷 접근 불가: 원하지 않은 리다이렉션
______8.3.3 인터넷 접근 불가: 업스트림 문제
______8.3.4 일관성이 없는 프린터
______8.3.5 지사의 고립
______8.3.6 화난 개발자
___8.4 정리

9장 속도가 느린 네트워크와 투쟁
___9.1 TCP 오류 복구 기능
______9.1.1 TCP 재전송
______9.1.2 TCP 중복 검사와 빠른 재전송
___9.2 TCP 흐름 제어
______9.2.1 윈도우 크기 조정
______9.2.2 제로 윈도우 전송을 통한 데이터 흐름 중지
______9.2.3 TCP 슬라이딩 윈도우
___9.3 CP 오류 제어와 흐름 제어
___9.4 높은 지연의 근원지 탐색
______9.4.1 정상적인 통신
______9.4.2 속도가 느린 통신: 유선 지연
______9.4.3 속도가 느린 통신: 클라이언트 지연
______9.4.4 속도가 느린 통신: 서버 지연
______9.4.5 지연 탐색 프레임워크
___9.5 네트워크 기준
______9.5.1 사이트 기준
______9.5.2 호스트 기준
______9.5.3 애플리케이션 기준
______9.5.4 추가 사항
___9.6 정리

10장 보안을 위한 패킷 분석
___10.1 조사
______10.1.1 SYN 스캔
______10.1.2 운영체제 핑거프린팅
___10.2 악의적 이용
______10.1.1 오퍼레이션 오로라
______10.2.2 ARP 캐시 포이즈닝
______10.2.3 원격 접근 트로이목마
___10.3 정리

11장 무선 패킷 분석
___11.1 물리적 고려 사항
______11.1.1 한 번에 한 개 채널 스니핑
______11.1.2 무선 신호 간섭
______11.1.3 신호 간섭 탐지와 분석
___11.2 무선 네트워크 카드 모드
___11.3 무선 윈도우 스니핑
______11.3.1 AirPcap 설정
______11.3.2 AirPcap으로 트래픽 캡처
___11.4 무선 리눅스 스니핑
___11.5 802.11 패킷 구조
___11.6 Packet List 영역에 무선 고유 칼럼 추가
___11.7 무선 고유 필터
______11.7.1 특정 BSS ID 트래픽 필터링
______11.7.2 특정 무선 패킷 유형 필터링
______11.7.3 특정 주파수 필터링
___11.8 무선 보안
______11.8.1 성공한 WEP 인증
______11.8.2 실패한 WEP 인증
______11.8.3 성공한 WPA 인증
______11.8.4 실패한 WPA 인증
___11.9 정리

부록 참고 자료
___A.1 패킷 분석 도구
______A.1.1 tcpdump와 Windump
______A.1.2 카인과 아벨
______A.1.3 Scapy
______A.1.4 Netdude
______A.1.5 Colasoft Packet Builder
______A.1.6 CloudShark
______A.1.7 pcapr
______A.1.8 NetworkMiner
______A.1.9 Tcpreplay
______A.1.10 ngrep
______A.1.11 libpcap
______A.1.12 hping
______A.1.13 Domain Dossier
______A.1.14 펄과 파이썬
___A.2 패킷 분석 사이트
______A.2.1 와이어샤크 홈 페이지
______A.2.2 SANS 보안 침입 탐지 심화 과정
______A.2.3 Chris Snders 블로그
______A.2.4 Packetstan 블로그
______A.2.5 와이어샤크 대학
______A.2.6 IANA
______A.2.7 TCP/IP 일러스트레이티드(애디슨-웨슬리)
______A.2.8 TCP/IP 가이드(노스타치 출판사)


『와이어샤크 네트워크 완전 분석』

1장 네트워크 분석의 세계
___네트워크 분석에 대한 정의
___분석 예제 따라 하기
______네트워크 분석가가 해야 하는 문제점 해결 작업
______네트워크 분석가가 해야 하는 보안 작업
______네트워크 분석을 위한 최적화 작업
______네트워크 분석가를 위한 애플리케이션 분석 작업
___네트워크 분석과 관련된 보안 이슈 이해
______네트워크 분석에 정책 정의
______네트워크 트래픽이 들어있는 파일의 안전성
______원치 않은 '스니퍼'로부터 네트워크 보호
______네트워크 트래픽 리스닝에 대한 법적 이슈 알아보기
___'건초더미에서 바늘 찾기 문제' 극복하기
___분석 작업 체크리스트 검토
___네트워크 트래픽 흐름 이해
______스위칭 개요
______라우팅 개요
______프록시, 방화벽, NAT/PAT 개요
______패킷에 영향을 미치는 기타 기술
______'잘 구축된' 인프라 장치에 대한 경고
___분석 세션 시작
___사례 연구: '필요 없는 패킷' 제거
___사례 연구: '안전하게 감춰진' 네트워크
___정리
___학습한 내용 복습
___연습 문제

2장 와이어샤크 소개
___와이어샤크란?
______와이어샤크 최신 버전
______와이어샤크 공개 버전과 개발자 버전 비교
______와이어샤크 개발자들에 대한 감사!
______와이어샤크 코드의 가치 계산
______와이어샤크 버그 리포트와 개선안 제출
______수출 규제 준수
______와이어샤크 기능에 영향을 주는 제품의 확인
___유/무선 네트워크에서 패킷 캡처
______Libpcap
______WinPcap
______AirPcap
___다양한 유형의 추적 파일 열기
___와이어샤크가 패킷을 처리하는 방법
______코어 엔진
______해독기, 플러그인, 디스플레이 필터
______그래픽 툴킷
___시작 페이지 사용
______캡처 영역
______파일 영역
______온라인 영역
______캡처 도움말 영역
___9개의 GUI 요소 식별
______타이틀 바 커스터마이징
______무선 툴바 표시
______창 열고 닫기
______상태 바 해석
___와이어샤크의 메인 메뉴
______File 메뉴 항목
______Edit 메뉴 항목
______View 메뉴 항목
______Go 메뉴 항목
______Capture 메뉴 항목
______Analyze 메뉴 항목
______Statistics 메뉴 항목
______Telephony 메뉴 항목
______Tools 메뉴 항목
______Help 메뉴 항목
___메인 툴바의 효과적 사용
______툴바 아이콘 정의
___필터 툴바를 이용한 빠른 작업
___무선 툴바 보이게 하기
___오른쪽 클릭 기능을 통한 옵션 접근
______오른쪽 클릭과 복사
______오른쪽 클릭과 칼럼 적용
______오른쪽 클릭과 Wiki 프로토콜 페이지(패킷 상세 정보 창)
______오른쪽 클릭과 필터 필드 참조(패킷 상세 정보 창)
______오른쪽 클릭과 이름 변환(패킷 상세 정보 창)
______오른쪽 클릭과 프로토콜 참조
___와이어샤크 메일링 리스트 가입
___와이어샤크 관련 사이트
___사례 연구: 데이터베이스가 동작하지 않음을 탐지
___정리
___학습한 내용 복습
___연습문제

3장 트래픽 캡처
___네트워크를 살펴보는 위치
___로컬에서 와이어샤크 실행
______휴대용 와이어샤크
______와이어샤크 U3
___교환형 네트워크에서 트래픽 캡처
______반이중 네트워크에서 단순 허브 사용
______전이중 네트워크에서 테스트 액세스 포트 사용
______원격 캡처용 분석기 에이전트 사용
______스위치에서 포트 스패닝/포트 미러링 설정
______SPAN 명령어의 예
______VLAN 스패닝
___라우터에 연결된 네트워크 분석
___무선 네트워크 분석
______모니터 모드
______본래의 어댑터 캡처 문제
___동시에 두 위치에서 캡처하기(듀얼 캡처)
___오른쪽 캡처 인터페이스 선택
______인터페이스 상세 정보
___원격으로 트래픽 캡처
______rpcapd에 대한 파라미터 환경 설정
______원격 캡처: 능동 모드와 수동 모드 환경 설정
______원격 캡처 환경 설정의 저장과 사용
___하나 이상의 파일에 자동으로 패킷 저장
______빠른 접속을 위한 파일 집합 생성
______저장되는 파일 수 제한을 위한 링 버퍼 사용
______자동으로 정지 기준 정의
___패킷 누락을 피하기 위한 와이어샤크 최적화
______최적화를 위한 캡처 옵션
______최적화 표시 옵션
___커맨드라인 캡처를 이용한 메모리 절약
___사례 연구: 이중 캡처 포인트 찾아내기
___사례 연구: 집에서 트래픽 캡처하기
___정리
___학습한 내용 복습
___연습 문제

4장 캡처 필터 생성과 적용
___캡처 필터의 목적
___자신에게 맞는 캡처 필터 생성
______식별자
______한정자
___프로토콜에 의한 필터링
___MAC/IP 주소나 호스트 네임 캡처 필터 생성
______애플리케이션 분석을 위한 'My MAC' 캡처 필터 사용
______추적 파일을 제외한 자신의 트래픽 필터링(배제 필터)
___하나의 애플리케이션 트래픽만 캡처
___캡처 필터를 조합하기 위한 연산자 사용
___바이트 값을 찾기 위한 캡처 필터 생성
___캡처 필터 파일의 수동 편집
______샘플 cfilters 파일
___캡처 필터 공유
___사례 연구: Kerberos UDP에서 TCP 이슈
___정리
___학습한 내용 복습
___연습 문제

5장 전역 환경 설정과 개인 환경 설정 정의
___환경 설정 폴더 찾기
___전역 환경 설정과 개인 환경 설정
___사용자 인터페이스 설정 커스터마이징
______'파일 열기(File Open)' 대화상자 동작
______목록 엔트리 최대화하기
______창 환경 설정
______칼럼
___캡처 환경 설정 정의
______빠른 캡처 시작을 위한 기본 인터페이스 선택
______다른 호스트의 트래픽을 분석하기 위해 무차별 모드 활성화
______차세대 추적 파일 형식: Pcap-ng
______실시간으로 트래픽 보기
______캡처하는 동안 자동 스크롤
___자동으로 IP와 MAC 이름 변환
______하드웨어 주소 변환(MAC 주소 변환)
______IP 주소 변환(네트워크 이름 변환)
______포트 번호 변환(전송 이름 변환)
______SNMP 정보 변환
______세계 지도에 IP 주소 표시
___통계 설정 구성
___ARP, TCP, HTTP/HTTPS, 기타 프로토콜 설정
______중복 IP 주소와 ARP 스톰 탐지
______와이어샤크가 TCP 트래픽을 처리하는 방법 정의
______HTTP와 HTTPS 분석에 대한 추가 포트 설정
______RTP 설정으로 VoIP 분석 강화
______SSL 트래픽을 해독하기 위한 와이어샤크 환경 설정
___오른쪽 클릭을 이용한 프로토콜 환경 설정
___사례 연구: 비표준 웹 서버 설정
___정리
___학습한 내용 복습
___연습 문제

6장 트래픽 컬러링
___트래픽을 구분하기 위한 컬러 사용
___컬러링 규칙 공유와 관리
___패킷이 특정 색상으로 된 이유 확인
___대화를 구분하기 위한 컬러링
___관심 있는 패킷을 일시적으로 마크
___스트림 재조립 컬러링 변경
___사례 연구: 로그인 동안 공유점 연결 컬러링
___정리
___학습한 내용 복습
___체크섬 Offloading 다루기
___연습 문제

7장 시간 값 지정과 요약 해석
___네트워크 문제점 식별을 위한 시간 사용
______와이어샤크의 패킷 시간 측정 방법
______이상적인 시간 표시 형식 선택
______시간 정확성과 분석 이슈
___시간 영역으로 추적 파일 전송
___시간 값으로 지연 식별
______시간 칼럼 추가 생성
______시간 기준을 이용한 패킷 도착 시간 측정
___클라이언트 지연, 서버 지연, 경로 지연 식별
______종단-대-종단 경로 지연 계산
______느린 서버 응답 찾기
______오버로드된 클라이언트 찾기
___트래픽률, 패킷 크기, 전송되는 전체 바이트의 요약 보기
______단일 요약 창에서 3개의 트래픽 유형 비교
______두개 이상의 추적 파일에 대한 요약 정보 비교
___사례 연구: 시간 칼럼으로 지연된 ACK 찾기
___정리
___학습한 내용 복습
___연습 문제

8장 기본 추적 파일 통계 해석
___와이어샤크 통계 창 시작
___네트워크 프로토콜과 애플리케이션 식별
___가장 활발한 대화 식별
___종단점 나열과 지도에 표시
___특정 트래픽 유형에 대한 대화와 종단점 나열
___패킷 길이 평가
___트래픽의 모든 IP 주소 나열
___트래픽의 모든 목적지 나열
___사용된 모든 UDP와 TCP 포트 나열
___UDP 멀티캐스트 스트림 분석
___트래픽 흐름과 그래프
___HTTP 통계 수집
___모든 WLAN 통계 검사
___사례 연구: 애플리케이션 분석: Aptimize Website Accelerator™
___사례 연구: VoIP 품질 문제 찾기
___정리
___학습한 내용 복습
___연습 문제

9장 디스플레이 필터 생성과 적용
___디스플레이 필터의 목적
___자동 완성 기능을 이용한 디스플레이 필터 생성
___저장된 디스플레이 필터 적용
___필터 지원을 위한 표현식 사용
___오른쪽 클릭 필터링을 사용해 디스플레이 필터 빠른 생성
______필터 적용
______필터 준비
______Copy As Filter
___대화와 종단점에서의 필터
___디스플레이 필터 구문
___비교 연산자를 이용한 디스플레이 필터 결합
___괄호로 디스플레이 필터의 의미 변경
___패킷에서 특정 바이트 필터링
___와이어샤크 디스플레이 필터의 실수 잡아내기
___복잡한 필터링을 위한 디스플레이 필터 매크로 사용
___일반적인 디스플레이 필터 실수 피하기
___dfilters 파일 직접 수정
___사례 연구: 데이터베이스 문제를 해결하기 위해 필터와 그래프 사용
___사례 연구: 복잡하고 어수선한 브라우저
___사례 연구: 바이러스와 웜 잡기
___정리
___학습한 내용 복습
___연습 문제

10장 스트림 추적과 데이터 조립
___트래픽 조립
___UDP 대화 추적과 조립
___TCP 대화 추적과 조립
______일반 파일 형식 식별
______FTP 파일 전송 재조립
___SSL 대화 추적과 재조립
___사례 연구: 식별된 알 수 없는 호스트
___정리
___학습한 내용 복습
___연습 문제

11장 와이어샤크 프로파일 변경
___프로파일로 와이어샤크를 취향에 맞게 변경
______프로파일 새로 생성
______프로파일 공유
______회사 프로파일 생성
______WLAN 프로파일 생성
______VoIP 프로파일 생성
______보안 프로파일 생성
___사례 연구: 고객을 위해 와이어샤크를 취향에 맞게 변경하기
___정리
___학습한 내용 복습
___연습 문제

12장 패킷 저장, 추출과 인쇄
___필터링, 마킹, 범위가 지정된 패킷 저장
___다른 프로그램에서 사용하기 위해 패킷 내보내기
___대화, 종단점, IO 그래프, 흐름 그래프 정보 저장
___패킷 바이트 내보내기
___사례 연구: 문제를 분리하기 위해 트래픽의 일부를 저장
___정리
___학습한 내용 복습
___연습 문제

13장 와이어샤크의 전문가 시스템 사용
___와이어샤크의 전문가 정보 가이드
______전문가 정보의 빠른 실행
______전문가 정보 요소 색상화
______TCP 전문가 정보 요소에 대한 필터
___TCP 전문가 정보 이해
______TCP 재전송 트리거
______이전 세그먼트 손실 트리거
______ACKed 손실 패킷 트리거
______킵 얼라이브 트리거
______중복 ACK 트리거
______제로 창 트리거
______제로 창 탐색 트리거
______제로 창 탐색 ACK 트리거
______킵 얼라이브 ACK 트리거
______고장 난 트리거
______빠른 재전송 트리거
______윈도우 업데이트 트리거
______윈도우가 가득 찼음 트리거
______재생된 TCP 포트 트리거
___사례 연구: 전문가 정보가 원격 액세스 골칫거리를 잡다.
___정리
___학습한 내용 복습
___연습 문제

14장 TCP/IP 분석 개요
___TCP/IP 기능의 개요
______모두 올바르게 동작할 때
______다중 단계 결정 프로세스
______단계 1: 포트 번호 결정
______단계 2: 네트워크 이름 결정(옵션)
______단계 3: 대상이 로컬일 때 라우터 결정
______단계 4: 로컬 MAC 주소 결정
______단계 5: 경로 결정(대상이 원격일 때)
______단계 6: 게이트웨이에 대한 로컬 MAC 주소 결정
___패킷 구축
___사례 연구: 네트워크 책임 회피하기
___정리
___학습한 내용 복습
___연습 문제

15장 DNS 트래픽 분석
___DNS의 목적
___일반적인 DNS 쿼리/응답 분석
___DNS 문제 분석
___DNS 패킷 구조 분석
______Transaction ID
______Flags
______Question Count
______Answer Resource Record(RR) Count
______Authority RRs Count
______Additional RRs Count
______Questions
______Answer RRs
______RR Time to Live
______Authority RRs
______Additional RRs
___DNS/MDNS 트래픽에서 필터링
___사례 연구: DNS가 웹 브라우징 성능을 저하시키다.
___정리
___학습한 내용 복습
___연습 문제

16장 ARP 트래픽 분석
___ARP의 목적
___일반적인 ARP 요청/응답 분석
___쓸모없는 ARP 분석
___ARP 문제 분석
___ARP 패킷 구조 분석
______하드웨어 유형
______프로토콜 유형
______하드웨어 주소 길이
______프로토콜 주소 길이
______Opcode
______발신자 하드웨어 주소
______발신자의 프로토콜 주소
______대상 하드웨어 주소
______대상 프로토콜 주소
___ARP 트래픽 필터링
___사례 연구: ARP에 의한 죽음
___정리
___학습한 내용 복습
___연습 문제

17장 IPv4 트래픽 분석
___IPv4의 용도
___일반적인 IPv4 트래픽 분석
___IPv4 문제 분석
___IPv4 패킷 구조 분석
______버전 필드
______헤더 길이 필드
______차별화된 서비스 필드와 명시적 혼잡 알림
______전체 길이 필드
______식별 필드
______플래그 필드
______Fragment 오프셋 필드
______Time to Live 필드
______프로토콜 필드
______헤더 체크섬 필드
______발신지 주소 필드
______목적지 주소 필드
______옵션 필드
______브로드캐스트/멀티캐스트 트래픽
___추적 파일에서 불필요한 IP 주소 삭제
___IP 프로토콜 환경 설정
______단편화된 IP 데이터그램 재조립
______GeoIP 조회 기능 사용
______예약된 플래그를 보안 플래그로써 해석(RFC 3514)
___암호화된 통신 문제 해결
___IPv4 트래픽 필터링
___사례 연구: 모두가 라우터를 탓했다.
___사례 연구: 이것은 네트워크 문제가 아니야!
___정리
___학습한 내용 복습
___연습 문제

18장 ICMP 트래픽 분석
___ICMP의 목적
___기본 ICMP 트래픽 분석
___ICMP 문제 분석
___ICMP 패킷 구조 분석
______유형
______코드
______체크섬
___ICMP 트래픽 필터링
___사례 연구: Dead-End 라우터
___정리
___학습한 내용 복습
___연습 문제

19장 UDP 트래픽 분석
___UDP의 목적
___일반 UDP 트래픽 분석
___UDP 문제 분석
___UDP 패킷 구조를 분석
______목적지 포트 필드
______목적지 포트 필드
______길이 필드
______체크섬 필드
___UDP 트래픽 필터링
___사례 연구: 시간 동기화 문제 해결
___정리
___학습한 내용 복습
___연습 문제

20장 TCP 트래픽 분석
___TCP의 용도
___일반적인 TCP 통신 분석
______TCP 연결의 설정
______TCP 기반 서비스가 거부된 경우
______TCP 연결의 종료
______TCP가 패킷을 순차적으로 추적하는 방법
______패킷 손실로부터 TCP를 복구하는 방법
______선택적 확인 응답을 통해 패킷 손실 복구 능력 향상
______TCP 흐름 제어 이해
______Nagling과 지연된 ACK 이해
___TCP 문제 분석
___TCP 패킷 구조 분석
______발신지 포트 필드
______목적지 포트 필드
______순차 번호 필드
______확인 응답 번호 필드
______데이터 오프셋 필드
______플래그 필드
______윈도우 필드
______체크섬 필드
______긴급 포인터 필드(옵션)
______TCP 옵션 영역(옵션)
___TCP 트래픽 필터링
___TCP 프로토콜 환경 설정
______가능한 경우 TCP 체크섬을 입증
______TCP 스트림을 재조립하기 위해 Subdissector 허가
______TCP 순차 번호 분석
______연관된 순차 번호와 윈도우 스케일링
______여행에서 바이트의 수를 추적
______대화 타임스탬프 계산
___사례 연구: 연결은 4개의 시도를 요구한다
___정리
___학습한 내용 복습
___연습 문제

21장 그래프 IO율 TCP 트렌드
___트렌드를 보기 위한 그래프 사용
___기본 IO 그래프 생성
______필터 IO 그래프
______컬러링
______스타일과 레이어
______X축과 Y축
___고급 IO 그래프 생성
______SUM(*) Calc
______MIN(*), AVG(*), MAX(*) Calcs
______COUNT(*) Calc
______LOAD(*) Calc
___IO 그래프에서 트래픽 동향 비교
___왕복 시간 그래프
___처리율 그래프
___시간상의 TCP 순차 번호 그래프
______TCP 윈도우 크기 이슈 해석
______패킷 손실, 중복 확인 응답, 재전송 해석
___사례 연구: 성능 레벨 "Drop" 관찰
___사례 연구: 회사 사무실 왕복 시간 그래프 만들기
___사례 연구: QoS 정책 테스트
___정리
___학습한 내용 복습
___연습 문제

22장 DHCP 트래픽 분석
___DHCP의 목적
___일반적인 DHCP 트래픽 분석
___DHCP 문제점 분석
___DHCP 패킷 구조 분석
______메시지 유형
______하드웨어 유형
______하드웨어 길이
______홉
______트랜잭션 식별자
______초 단위 경과 시간
______BOOTP 플래그
______클라이언트 IP 주소
______사용자(클라이언트) IP 주소
______다음 서버 IP 주소
______중계 에이전트 IP 주소
______클라이언트 MAC 주소
______서버 호스트 이름
______부트 파일 이름
______매직 쿠키
______옵션
___DHCP 트래픽 필터
___BOOTP-DHCP 통계 디스플레이
___사례 연구: 감소하는 클라이언트
___정리
___학습한 내용 복습
___연습 문제

23장 HTTP 트래픽 분석
___HTTP의 목적
___일반적인 HTTP 통신 분석
___HTTP 문제점 분석
___HTTP 패킷 구조 분석
______HTTP 메소드
______호스트
______요청 수식자
___HTTP/HTTPS 트래픽 필터
___HTTP 객체 내보내기
___복사를 이용해 웹 페이지 재구축
___HTTP 통계 디스플레이
______HTTP 부하 분산
______HTTP 패킷 카운터
______HTTP 요청
___HTTP 트래픽 흐름 그래픽
______패킷 선택
______흐름 유형 선택
______노드 주소 유형 선택
___HTTP 환경 설정
___HTTPS 통신 분석
______HTTPS 핸드셰이크
______HTTPS 트래픽 복호화
___사례 연구: HTTP 프록시 문제점
___정리
___학습한 내용 복습
___연습 문제

24장 FTP 트래픽 분석
___FTP의 목적
___일반적인 FTP 통신 분석
______수동 모드 연결 분석
______능동 모드 연결 분석
___FTP 문제점 분석
___FTP 패킷 구조 분석
___FTP 트래픽 필터
___FTP 트래픽 재조립
___사례 연구: 비밀 FTP 통신
___정리
___학습한 내용 복습
___연습 문제

25장 이메일 트래픽 분석
___POP의 목적
___일반적인 POP 통신 분석
___POP 문제점 분석
___POP 패킷 구조 분석
___POP 트래픽 필터
___SMTP의 목적
___정상적인 SMTP 통신 분석
___SMTP 문제점 분석
___SMTP 패킷 구조 분석
___SMTP 트래픽 필터
___사례 연구: SMTP 문제점: Scan2Email 작업
___정리
___학습한 내용 복습
___연습 문제

26장 802.11(WLAN) 분석 개요
___WLAN 트래픽 분석
___신호 강도와 인터페이스 분석
___WLAN 트래픽 캡처
______모니터 모드와 무차별 모드 비교
______무선 인터페이스 선택
______WLAN 복호화 설정
______Radiotap이나 PPI 헤더 추가를 위한 선택
______신호 강도와 신호 대 잡음비 비교
___802.11 트래픽 기본 이해
______데이터 프레임
______관리 프레임
______제어 프레임
___일반적인 802.11 통신 분석
___802.11 프레임 구조 분석
___모든 WLAN 트래픽 필터
___프레임 제어 유형과 부유형 분석
___WLAN 분석을 위해 와이어샤크를 취향에 맞게 지정
___사례 연구: 지저분한 바코드 통신
___정리
___학습한 내용 복습
___연습 문제

27장 VoIP 분석 개요
___VoIP 트래픽 흐름 이해
___세션 대역폭과 RTP 포트 정의
___VoIP 문제점 분석
______패킷 손실
______지터
___SIP 트래픽 검사
______SIP 명령어
______SIP 응답 코드
___RTP 트래픽 검사
___VoIP 대화 재생
___VoIP 프로파일 생성
___VoIP 트래픽 필터
___사례 연구: VoIP 톤 손실
___정리
___학습한 내용 복습
___연습 문제

28장 정상 트래픽 패턴 베이스라인
___베이스라인의 중요성 이해
______브로드캐스트, 멀티캐스트 유형과 비율 베이스라인
______프로토콜과 애플리케이션 베이스라인
______부트업 순서 베이스라인
______로그인/로그아웃 순서 베이스라인
______유휴 시간 동안 트래픽 베이스라인
______애플리케이션 시작 순서와 중요 작업 베이스라인
______웹 브라우징 세션 베이스라인
______네임 분석 세션 베이스라인
______처리율 테스트 베이스라인
______무선 연결성 베이스라인
______VoIP 통신 베이스라인
___사례 연구: 로그인 로그 잼
___사례 연구: SAN 연결 해제 해결
___정리
___학습한 내용 복습
___연습 문제

29장 성능 문제의 최대 원인 찾기
___성능 문제 트러블슈팅
___높은 지연 시간 확인
______도착 시간 필터
______델타 시간 필터
______참조 시간이나 첫 번째 패킷 이후 시간 필터
___프로세스 시간을 느리게 하는 지점
___패킷 손실 위치 검색
___구성 오류 신호 관찰
___재지정 트래픽 분석
___작은 페이로드 크기 관찰
___혼잡 검색
___애플리케이션 결함 확인
___네임 해석 실패
___성능 문제 분석 시 중요 사항
___사례 연구: 한 방향 문제
___사례 연구: 네트워크 문제의 완벽한 폭풍
___정리
___학습한 내용 복습
___연습 문제

30장 네트워크 포렌식 개요
___호스트 포렌식과 네트워크 포렌식 비교
___증거 수집
___탐지 회피
___증거의 올바른 취급
___비정상 트래픽 패턴 인식
___비정상 트래픽 패턴의 컬러링
___보완적인 포렌식 도구 확인
___사례 연구: SSL/TLS 취약점 연구
___정리
___학습한 내용 복습
___연습 문제

31장 스캐닝 탐지와 발견 처리
___발견과 점검 처리의 목적
___ARP 스캔(일명 ARP 스윕) 탐지
___ICMP Ping 스윕 탐지
___다양한 타입의 TCP 포트 스캔 탐지
______TCP 반개방 스캔(일명 '스텔스 스캔')
______TCP 전체 연결 스캔
______널 스캔
______Xmas 스캔
______FIN 스캔
______ACK 스캔
___UDP 포트 스캔 탐지
___IP 프로토콜 스캔 탐지
___아이들 스캔 이해
___ICMP 유형과 코드 알아보기
___엔맵 스캔 명령 시도
___Traceroute 경로 발견 분석
___동적 라우터 발견 탐지
___애플리케이션 매핑 프로세스 이해
___수동적인 OS 핑거프린팅을 위한 와이어샤크 사용
___능동적인 OS 핑거프린팅 탐지
___스캔에서 스푸핑된 주소 식별
___사례 연구: Conficker로부터 배운 교훈
___정리
___학습한 내용 복습
___연습 문제

32장 수상한 트래픽 분석
___'수상한' 트래픽이란?
___TCP/IP 해결 프로세스의 취약점 식별
______포트 해결 취약점
______이름 해결 프로세스 취약성
______MAC 주소 해결 취약성
______라우트 해결 취약점
___받아들일 수 없는 트래픽 식별
______악의적으로 변형된 패킷 찾기
______유효하지 않거나 '알기 어려운' 목적지 주소 식별
______플루딩과 표준 서비스 거부 트래픽 구별
______명백한 텍스트 패스워드와 데이터 발견
______전화 홈 트래픽 식별
______이상한 프로토콜과 애플리케이션 잡아내기
______ICMP를 사용하는 라우트 재지정 위치 찾기
______ARP 오염 잡아내기
______IP 단편화와 덮어쓰기 잡아내기
______TCP 스플라이싱 발견하기
______기타 이상한 TCP 트래픽
______패스워드 크래킹 시도 식별
___보는 위치 알기: 시그니처 위치
______헤더 시그니처
______순서열 시그니처
______페이로드 시그니처
___사례 연구: 플루딩 호스트
___사례 연구: 키 로깅 트래픽 잡아내기
___사례 연구: 수동적으로 멀웨어 찾아보기
___정리
___학습한 내용 복습
___연습 문제

33장 커맨드라인 도구의 효과적인 사용
___커맨드라인 도구의 효력 이해
___wireshark.exe(커맨드라인 실행) 사용
______와이어샤크 구문
______와이어샤크의 시작의 사용자 지정
___Tshark을 이용한 트래픽 캡처하기
______Tshark 구문
______Tshark 통계 보기
______Tshark 사용 예
___Capinfos를 이용해 추적 파일 상세 정보 열거
______Capinfos 구문
______Capinfos의 예
___Editcap을 이용한 추적 파일 편집
______Editcap 구문
______Editcap의 예
___Mergecap을 이용한 추적 파일 병합
______mergecap 구문
______mergecap의 예
___text2pcap을 이용한 텍스트 변환
______Text2pcap 구문
______Text2pcap의 예
___Dumpcap를 이용한 트래픽 캡처
______Dumpcap 구문
______Dumpcap의 예
___Rawshark 이해
______Rawshark 구문
___사례 연구: GETS와 의심을 얻기
___정리
___학습한 내용 복습
___연습 문제

부록 A 참고 웹사이트
______Chanalyzer/Wi-Spy Recording(.wsr 파일)
______MaxMind GeoIP 데이터베이스 파일(.dat 파일)
______PhoneFactor SSL/TLS 취약성 문서/추적 파일
______Wireshark 사용자 지정 프로파일
______추적 파일 연습

부록 B 연습문제 풀이


『시스코 네트워크 보안』

1장 IP 네트워크 보안 개요
___개요
___네트워크에서 보안의 역할은?
___네트워킹 기초
___어디에 보안을 적용할 것인가?
___Cisco IP 보안 하드웨어와 소프트웨어

2장 우리는 무엇을 예방하고자 하는가?
___개요
___당신의 네트워크에 닥친 위협은?
___악성 모바일 코드
___서비스 거부
___침해 탐지
___공격 예방

3장 Cisco PIX 방화벽
___개요
___보안 기능 개관
___초기 설정
___명령행 인터페이스
___NAT와 PAT 설정
___보안 정책 설정
___PIX 설정 예제
___PIX 보안과 관리

4장 Cisco IOS에서의 트래픽 필터링
___개요
___접근 목록
___자물쇠-열쇠 접근 목록
___재귀 접근 목록
___컨텍스트-기반 접근 제어
___포트-애플리케이션 매핑 설정

5장 네트워크 주소/포트 변환(NAT/PAT)
___소개
___NAT 개관
___NAT 구조
___NAT와 PAT 구현 지침
___IOS NAT의 IP 텔레포니 지원 기능
___Cisco IOS에서 NAT 설정
___NAT와 PAT의 고려 사항

6장 암호학
___소개
___암호학의 개념 이해하기
___표준 암호 알고리즘
___Brute Force 공격
___암호 알고리즘을 잘못 사용하는 경우
___비전문가가 만든 암호 알고리즘 깨기

7장 Cisco LocalDirector와 DistributedDirector
___개요
___Cisco LocalDirector를 이용한 보안 강화
___LocalDirector 보안 기능
___Cisco DistributedDirector를 이용한 지리적으로 분산된 서버 팜 보호
___DistributedDirector 보안 기능

8장 가상 사설망과 원격 접근
___개요
___여러 VPN 기술 개관
___Layer 2 Transport Protocol
___Sec

9장 Cisco 인증, 인가, 과금 방식
___개요
___Cisco AAA 개요
___Cisco AAA 방식
___인증 프럭시

10장 Cisco 컨텐트 서비스 스위치
___개요
___컨텐트 서비스 스위치 개관
___Cisco 컨텐트 서비스 스위치 제품 정보
___Cisco 컨텐트 서비스 스위치의 보안 기능

11장 Cisco Secure Scanner
___소개
___Secure Scanner를 위한 최소 시스템 사양
___네트워크에서 취약점 찾기
___결과 확인
___시스템을 최신 버전으로 유지

12장 Cisco Secure Policy Manager
___개요
___Cisco Secure Policy Manager 개관
___Cisco Secure Policy Manager 기능
___Cisco Secure Policy Manager 사용

13장 침입 탐지
___개요
___침입 탐지란 무엇인가?
___IDS 튜닝
___네트워크 공격과 침입
___Cisco Secure Network Intrusion Detection System

14장 네트워크 보안 관리
___개요
___PIX Device Manager
___Cisco Works2000 Access
___Control List Manager
___Cisco Secure Policy Manager
___Cisco Secure Access Control Server

15장 Cisco 무선 보안
___개요
___보안의 기본 원리와 보호 원칙 이해
___MAC 필터링
___정책의 역할
___WEP 구현
___일반적인 위험과 위협
___스니핑, 가로채기, 도청
___스푸핑과 허가받지 않은 접근
___네트워크 하이재킹과 변경
___서비스 거부와 홍수 공격