Deep dive into Kernel

Vista 나 7 에서 유닉스, 리눅스에서 윈도우 시스템으로의 파일 공유를 위해 많이 쓰이는 Samba 서버에 접근하면, 분명 아이디와 비밀번호가 맞는데 비밀번호가 틀렸다는 메시지가 뜹니다. 이는 윈도우의 로컬보안정책을 약간 바꿔주면 됩니다. 일단 실행창에 secpol.msc를 입력하여 로컬보안정책 창을 띄웁니다. 보안설정 -> 로컬정책 -> 보안옵션 항목의 네트워크 보안 항목에서 LAN Manager 인증수준을 기존 설정에서 LM 및 NTLM 보내기 - 협상되면 NTLMv2 세션 보안 사용 으로 바꿉니다. 이 방법은 vista에서는 홈프리미엄 이상 버전 7 에서는 프로페셔널 이상 버전에서 유효한데 그 이유는 하위 버전의 윈도우에서는 secpol.msc 가 존재하지 않습니다. 해당 버전 은 다음과 같은 ..

개요: 커널 모듈로 TCP Server가 필요함 --> usermode program 이 아닌 kernel 모드에서 동작하는 TCP/IP 소켓 참조: http://www.linuxquestions.org/questions/programming-9/socket-programming-in-kernel-tcp-ip-403685/ http://mail.nl.linux.org/kernelnewbies/2005-12/msg00193.html http://namjja.egloos.com/5061861 http://www.linuxforums.org/forum/linux-kernel/55923-kernel-sockets.html

Luca Deri 가 개발한 1G 이더넷 캡쳐 드라이버 http://www.nmon.net/shop/cart.php Product 설명 가격 nProbe 5.x Professinal Linux Netflow 5/9, PF_RING, Tilera 지원 199.95 1Gbit PCIe DNA Driver Linux PF_RING-DNA driver (e1000 family) 199.95 TNAPI 10Gbit Linux TNAPI 10G based on 82598/82599 249.95 TNAPI 1Gbit Linux TNAPI 1G based on 82575/82576 199.95

IRC 프로토콜 분석 http://irchelp.org/irchelp/rfc/rfc.html IRC 채팅 패킷을 분석해 보면 최초 로긴 시 USER command USER ; 내가 보낸 채팅은 PRIVMSG # 으로 전달되는데 다른 사람이 쓴 채팅이 나한테 올때는 ::!~@ PRIVMSG # 으로 앞에 누가 보낸 글인지가 붙여져서 나온다. 따라서 IRC 봇넷을 탐지할 때 좀비 PC들은 C&C서버로 부터 명령을 기다리기 때문에 다른사람이 쓴 채팅 형식의 payload를 파싱해서 분석해야 한다.

/* 패킷 캡쳐링 통계 정보 */ int pcap_stat(pcap_t *p, struct pcap_stat *ps) struct pcap_stat { u_int ps_recv; 총 패킷 수 u_int ps_drop; 드라이버에서 드랍된 패킷 수 u_int ps_ifdrop; 인터페이스에서 드랍된 패킷 수 };

소스코드 다운로드 mkdir my_pf_ring_goes_here cd my_pf_ring_goes_here svn co https://svn.ntop.org/svn/ntop/trunk/PF_RING/ 커널 업데이트 cd PF_RING cd legacy ./mkpatch.sh # pf_ring 관련 커널파일을 패치한다. 커널 컴파일 cd workspace cd linux-xxxx_PF_RING

유저 매뉴얼, 커널 이미지 등 http://luca.ntop.org/nCap/ 설명 자료 : http://www2.garr.it/ws6_slide/05-deri.pdf 추가 논문 : http://luca.ntop.org/MulticorePacketCapture.pdf

linux netem 을 이용하여 링크 delay 를 주는 방법 최초 설정 tc qdisc add dev eth0 root netem delay 100ms 변경시 tc qdisc change dev eth0 root netem delay ms

cmmmand line을 이용하여 putty 접속하는 방법 putty.exe [-ssh | -telnet | -rlogin | -raw] [user@]host (텔넷일 경우 아래도 동작) putty.exe telnet://host[:port]/ 윈도우에서 실행하는 방법(도스창에서 텔넷 실행) (Language : python) import subprocess as sub sub.Popen("start telnet " + host + " " + str(port), shell=True)

오늘 회사 네트워크 사정이 너무 안 좋아서 원인을 파악하였다. 현상: - 45M 전용 라인의 트래픽이 45M를 모두 점유 - 인터넷 서비스가 느려짐 예측: - 45M 트래픽이 다 점유한다는 것은 UDP 트래픽이 많아서가 아닐까? - 즉 공정하게 분배를 못하고 TCP는 느려지고 UDP는 현상 유지하고 뜨악: - 스위치의 패킷 미러링을 통해서 트래픽을 분석하였다. - 대부분의 트래픽이 TCP 였다. - 특정 호스트들의 점유율이 아주 높았다. (Heavy 유저 4명) - 해비 유저는 P2P (비토런트 등)을 사용하고 있었다. 조치: - 이놈들의 IP를 차단하고 나니 인터넷이 잘 되었다. 고찰 필요: - 특정 호스트가 어떻게 TCP를 사용하면서도 트래픽 점유율을 유지할 수 있지? - 그렇다면 호스트의 TCP 세..