Deep dive into Kernel

cmmmand line을 이용하여 putty 접속하는 방법 putty.exe [-ssh | -telnet | -rlogin | -raw] [user@]host (텔넷일 경우 아래도 동작) putty.exe telnet://host[:port]/ 윈도우에서 실행하는 방법(도스창에서 텔넷 실행) (Language : python) import subprocess as sub sub.Popen("start telnet " + host + " " + str(port), shell=True)

오늘 회사 네트워크 사정이 너무 안 좋아서 원인을 파악하였다. 현상: - 45M 전용 라인의 트래픽이 45M를 모두 점유 - 인터넷 서비스가 느려짐 예측: - 45M 트래픽이 다 점유한다는 것은 UDP 트래픽이 많아서가 아닐까? - 즉 공정하게 분배를 못하고 TCP는 느려지고 UDP는 현상 유지하고 뜨악: - 스위치의 패킷 미러링을 통해서 트래픽을 분석하였다. - 대부분의 트래픽이 TCP 였다. - 특정 호스트들의 점유율이 아주 높았다. (Heavy 유저 4명) - 해비 유저는 P2P (비토런트 등)을 사용하고 있었다. 조치: - 이놈들의 IP를 차단하고 나니 인터넷이 잘 되었다. 고찰 필요: - 특정 호스트가 어떻게 TCP를 사용하면서도 트래픽 점유율을 유지할 수 있지? - 그렇다면 호스트의 TCP 세..

MAC 헤더 동작 방식 MAC 헤더 동작 ~ 상위 14 바이트 (6 + 6 + 2) ~ 하위 4 바이트 받은 데이터는 Network order 이므로 Host order로 바꾸어야 한다.

MAC 은 48 bit address (8 bit * 6)를 가지고 있다. 앞쪽 3byte는 OUI를 제조사 번호라고 보면 된다. 뒤쪽 3byte는 고유 번호이다.

주니퍼 홈페이지에 가입을 하고 나면 자료를 다운로드 가능하다. 주니퍼 시험은 3종류가 있다. 라우팅 관련: JNCIA-ER, JNCIS-ER 스위치 관련: JNCIA-EX 보안 관련: JNCIS-ES JNCIA-M (필기) --> JNCIS-M (필기) --> JNCIP-M (실기) --> JNCIE-M (실기) JNCIA = CCNA JNCIS = CCNP JNCIP = CCIE RS JNCIE = CCIE SP 시스코와 비교하면 이정도 래벨이 되는거 같다. 시험 덤프명 JNCIA-ER : JNO-342 JNCIS-ER : JNO-350 JNCIA-EX : JNO-400 JNCIS-ES : JNO-330 라우팅 관련 시험(JN0-342) 시험 내용: 라우터, 라우팅 시험 시간: 2시간 시험 문항: 60..

TCPDUMP는 트래픽 분석의 가장 기본적인 프로그램이다. 1. 명령어 옵션 -a : 네트워크 & Broadcast 주소들을 이름으로 바꿈 -n : 모든 주소들을 번역하지 않음 -N : 호스트 이름을 출력할 때, 도메인을 찍지 않음 -i : 특정 인터페이스에 나온 트래픽만 모니터링 -q : 프로토콜에 대한 정보를 덜 출력한다 -S : TCP sequence 번호를 절대적인 번호로 출력 -t : 시간을 출력하지 않음 -tt : 형식이 없는 시간들로 출력 -w : 파일에 저장 -x : 헥사코드로 출력 2. 주요 필터링 방법 목적지 포트별(XX) 필터링 (Language : text) tcpdump dst port DHCP 패킷만 분석시tcpdump -i eth0 -nN port bootps layer 7에 ..

개요: Pcap library는 네트워크 인터페이스 카드를 지나가는 패킷을 까는 라이브러리 이다. Ethernet 헤더 구조체 struct ethhdr (Language : c) struct ethhdr { unsigned char h_dest[ETH_ALEN]; /* destination eth addr */ unsigned char h_source[ETH_ALEN]; /* source ether addr */ unsigned short h_proto; /* packet type ID field */ }; IP 헤더 구조체 struct ip (Language : c) struct ip { #if __BYTE_ORDER == __LITTLE_ENDIAN unsigned int ip_hl:4; /* hea..

CONFIGURE YOUR SWITCH To be sure your IDS analyzes the data you want, you must mirror the traffic of a switch port or VLAN. For this, we will use the "port mirroring" mechanism which means the switch duplicates the traffic on your chosen interface or VLAN and send it to Snort. Of course, on your IDS system, you need at least one network interface to listen to the traffic, but if you can have two..

NTOP: 네트워크 인터페이스를 모니터링 해주고 분석해주는 툴 # 우분투에서 ntop 설치하기 apt-get install ntop # 우분투에서 rrdtool 설치하기 (그림을 이쁘게 보여줌) apt-get install rrdtool # 실행하기 ntop 아주 간단하다. # 웹에서 화면 보기(포트 3000번) http://hostip:3000/

Network anomaly detection 방법에 대한 주요 특허 조사 1. 국내 특허 ##요약## ETRI 2003년 2. 해외 특허