[봇넷 분석] 봇넷 탐지 및 분석 개요: 요즘 네트워크 보안 이슈의 한 가운데는 DDoS 공격이 있다. 이 DDoS 공격의 수단으로 사용 되는 것이 Botnet이다. 이러한 봇넷을 탐지하고 분석하는 방법에 대한 연구 주요 내용: ㅇ Network Behavior를 기반으로 봇넷 flow의 특성을 분석 키워드: ㅇ botnet, C&C, DDoS 관련 연구: ㅇ Botnet Detection Based on Network Behavior 주요 인물: ㅇ 누구? Passion/Reference 2010.01.11
[패킷분석] 패킷 분석 방법 연구 개요: 트래픽 분석에 가장 유용한 방법은 패킷 캡쳐를 통한 전수 조사이다. 하지만 수십기가의 트래픽을 캡쳐하고 분석하는 것은 성능상의 문제점을 가지고 있다. 이를 해결하기 위해서는 요즘은 주로 flow를 분석한다. 하지만 flow 분석을 위해서도 마찬가지로 패킷 캡쳐 기술이 필요하다. 지금까지의 netflow와 같은 기술은 샘플링을 통해서 패킷 분석을 한다. 하지만 모든 패킷을 캡쳐하고 여기서 flow를 뽑아서 분석해야 한다. 이를 위한 방법을 연구하고 기술을 개발할 필요가 있다. 제약사항: ㅇ 1G/10G 이더넷 패킷을 손실없이 소프트웨어적으로 처리한다. ㅇ 패킷의 flow를 뽑아서 관리한다. ㅇ flow모델을 구축한다. ㅇ netflow와의 compatability를 가진다. 개발 방법: ㅇ 네트워크.. Passion/Reference 2010.01.11
[FreeBSD 7] FlowScan 설치 개요: FlowScan은 Cisco, Juniper 라우터에서 받는 Netflow 정보를 보여주는 프로그램이다. 라우터) netflow -----+ | +--> (cflowdmux ---> cflowd) ---> (cfdcollect ---> arts 파일) | 라우터) netflow -----+ 1) FlowScan 설치 # pkg_add -r flowscan 2) flow-tools 설치 # pkg_add -r flow-tools 2-1) 데이터 저장소 만들기 (netflow 데이터와 rrd파일 저장소) # mkdir -p /var/netflow/ # mkdir -p /var/netflow/ft # mkdir -p /var/netflow/rrds # mkdir -p /var/netflow/scoreb.. R&D/hadoop-dna 2009.03.19
Python 패키지 만들기 파이슨을 여러모로 유용하게 사용하면서 개인적으로 좀더 발전시켜서 사용하고 있다. 이렇게 쓰다 보면 간단하게 나도 패키지를 만들어서 나눠주면 좋을거 같은데 정확하게 어떻게 패키지를 만들어야 할지 감이 오지 않는다. 좀더 솔직하게 말하면 귀찮아서 문서를 보지 않고 있다가 맞을거 같지만 ^^; 그래서 큰 맘먹고 원문을 읽지는 않고 자료는 찾고 잘 만든 샘플을 바탕으로 정리를 할려고 한다. 일단 패키지를 풀면 있는 파일 setup.py 이 놈을 열어보면 너무나 간단하여서 실망을 할거 같다. 안에 어떤 것을 넣어야 하는지는 이게 가이드라인인가 보다 Passion/Python 2007.06.27
WSDL - SOA를 사용하기 위한 방법 요즘 Open API니 하면서 많이 나오는 용어들에 숨어 있는 기술이 웹서비스이다. 기존의 단순한 http를 통해서 html을 받는 것이 아니라 복잡한 데이터를 제공하기 위한 방법이 필요하다. 이를 정의하는 것이 웹서비스이고, 이 안에는 UDDI, WSDL 이란 기술들이 사용된다. [wp.en]WSDL[/wp] (Web Service Description Language) ~ [ 위키피디아에 따르면 wiz-dull, 또는 W.S.D.L 이라고 발음] 이는 웹서비스간에 통신을 위해서 XML 기반의 서비스를 정의한 것이라고 보면 된다. WSDL(1.1 버전)에서 정의해야 할 내용들 Types : 데이터 타입을 정의함 Message : 서로 통신하는 데이터의 추상화(타입 포함) Operation : 통신에서 .. Passion/Programming 2007.06.20
Policy based QoS Management 정책을 할당하는 기준에는 1) Domain level policy 2) Device level policy 로 구분할 수 있다. * 정책 변환 프로세스 SLA-level policy ---> Domain-level policy ---> Device-level policy * Function domain 1) DiffServ domain 2) IntServ domain - Functional domain은 Administrative domain을 반영한다. * Administrative domain Passion/Network 2007.03.03
getopt 사용하기 프로그램을 짜다 보면 시작시 인자를 받을 때가 많다. 이 인자는 argv를 통해서 받는데 소시적에는 이러한 인자의 순서를 정하고 이에 맞춰서 인자들이 제대로 들어왔는지를 하드코딩을 했다. 그건 물론 아무도 getopt을 쓰면 좀더 잘 짤 수 있다고 말해준 친구들이 없었기 때문이지만 ㅡ,ㅡ 간단하게 getopt을 사용하는 방법에 대해서 정리를 해보겠다. 참조는 man 3 getpot을 하면 된다. ********************************************* include 해야하는 파일 : unistd.h extern char *optarg; extern int optind; extern int optopt; extern int opterr; extern int optreset; int.. Passion/Programming 2007.03.03
C코드 파싱한 정보 분석 우연히 C코드의 AST는 어떻게 만들어 질까에 대해서 검색을 하다가 gcc의 파싱 정보를 보여주는 옵션을 발견하였다. [CODE type=C] int main() { int a=0; a++; return 0; } [/HTML][/CODE] #gcc -fdump-translation-unit hello.c 이 옵션을 주면 hello.c.tu 라는 파일이 생성되고 파싱된 정보를 기록합니다. 하지만 아직까지 파싱된 정보를 해석하는 방법은 잘 몰라요 ㅋㅋ 이외에 cpp 클래스를 분석하는 옵션도 있다. (hello.cpp가 있다고 가정할떄) #gcc -fdump-class-hierarchy hello.cpp 이옵션을 주면 hello.cpp.class라는 파일이 생성되고 클래스 상속관계를 보여준다. 이 놈도 아직 .. Passion/Programming 2007.01.25
프로세스 분석 프로그램을 작성하고 컴파일이 되면 컴파일된 이미지를 실행합니다. 이러한 실행이미지가 어떻게 동작하는지에 대해서 궁금증을 풀어갈 볼까 합니다. 분석 명령어 팁 ldd : 실행파일에서 shared library의 종류를 표현해줌 nm : Linking 하기 전의 오브젝트 파일에 대해서 심볼테이블을 보여 줌 readelf : 실행파일(elf 타입)의 정보를 표시 R&D/OS 2007.01.17