BoanHack

tshark는 wireshark 커맨드라인 버전으로 생각하면 된다. 사이즈가 큰 패킷 덤프 파일은 wireshark로 분석하기에는 처리속도라는 어려움이 있다. 그 때는 tshark를 사용하면 속도 문제를 해결할 수 있다. 물론 익숙지 않는 사람들에게는 커맨드라인이라는 불편함이 따라온다. 우선 통계 생성을 해보자. tshark에서는 -z 옵션을 통해서 통계를 생성한다. -z 옵션을 사용할 때는 -q 도 같이 사용하는게 좋다. -q를 사용하지 않을 때는 모든 패킷 리스트가 출력하며, -q를 사용하면 결과값만을 출력한다. $ tshark -r test.pcap -qz ip_hosts,tree ==================================================================..

참조 : http://www.wireshark.org/docs/man-pages/tshark.html TSHARK(1) The Wireshark Network Analyzer TSHARK(1) NAME tshark - Dump and analyze network traffic SYNOPSIS tshark [ -a ] ... [ -b ] ... [ -B ] [ -c ] [ -C ] [ -d ==, ] [ -D ] [ -e ] [ -E ] [ -f ] [ -F ] [ -h ] [ -H ] [ -i |- ] [ -I ] [ -K ] [ -l ] [ -L ] [ -n ] [ -N ] [ -o ] ... [ -p ] [ -q ] [ -r ] [ -R ] [ -s ] [ -S ] [ -t ad|a|r|d|dd|e ..

capinfos tcpdstat와 중복되는 정보도 있기는 하지만 다른점이라면 Bytes/sec, bits/sec, PPS 등을 한 눈에 볼 수 있다는 점과 dump 파일에 대한 Hash 값을 알려준다. $ sudo capinfos test.pcap File name: test.pcap File type: Wireshark/tcpdump/... - libpcap File encapsulation: Ethernet Packet size limit: file hdr: 65535 bytes Number of packets: 831697 File size: 886591637 bytes Data size: 873284461 bytes Capture duration: 5575 seconds Start time: Mo..

대용량 패킷 분석이라고는 했지만 분석할 대용량 패킷이 없어서 패킷 덤프한 파일 시이즈 900MB 정도로 분석할 예정이다. tcpdstat tcpdstat는 프로토콜 통계를 알려주는 유틸이다. $ sudo tcpdstat test.pcap DumpFile: test.pcap FileSize: 845.52MB Id: 201303041256 StartTime: Mon Mar 4 12:56:19 2013 EndTime: Mon Mar 4 14:29:15 2013 TotalTime: 5575.40 seconds TotalCapSize: 832.83MB CapLen: 1514 bytes # of packets: 831697 (832.83MB) AvgRate: 12.83Mbps stddev:7.07M PeakRate..

참조 : http://hasucoder.tistory.com/1165749347 솔라리스(Solaris) 10 에서는 기존과 다르게 서비스를 /etc/rc.* 으로 제어하지 않고, 대부분의 서비스를 svc 라는 것으로 제어한다. 아마도 Windows 의 영향을 받은거 같은데, 사용하기가 귀찮아서 별로 좋지는 않다. 그래도 기존의 /etc/init.d 의 실행스크립트보다 이녀석을 사용해야 하기때문에 사용하는 법을 알아두도록 하죠. 우선 사용하는 프로그램의 종류를 살펴보자. 0. Utilties for facility control svcs : (svc status)현재 서비스들(데몬서비스)의 상태를 보게 해준다. svcadm : svc 들을 제어한다. 재시작, 설정변경들이 가능하다. svccfg : svc..

pcap.h 에러 메세지가 뜨면 libpcap-dev(el) 설치되어 있는 지 확인. http://sickbits.net/tcpdstat-fixing-a-compilation-bug-and-using-statistics/ Synopsis: tcpdstat [1] is very small program (see below) that provides statistical summary information from a pcap file. Network anomalies and traffic deviations can be detected more easily when perusing statistical information once a baseline has been established. To my kn..

https://code.google.com/p/security-onion/wiki/Upgrade Upgrade Security Onion Upgrade Procedure Updated Jan 21, 2014 by doug.bu...@gmail.com Security Onion 12.04 Update Procedure Initiating an update over SSH If you're updating your Security Onion box over an SSH connection and your connection drops, then your update process may be left in an inconsistent state. It is therefore recommended to run..

리눅스(CentOS 기준)에는 BOF 대비해서 메모리 보호 기법이 적용되어 있다. NX(Not Executable) [root@centos ~]# sysctl kernel.exec-shield kernel.exec-shield = 1 현재는 기본값으로 라이브러리가 저장된 영역과 코드가 실행 될 수 있는 스택 영역의 실행 권한을 삭제한다. [root@centos /]# cat /proc/self/maps 00664000-00665000 r-xp 00664000 00:00 0 [vdso] 00bda000-00bf5000 r-xp 00000000 08:03 4587558 /lib/ld-2.5.so 00bf5000-00bf6000 r-xp 0001a000 08:03 4587558 /lib/ld-2.5.so 00..

dmidecode는 시스템 정보를 수집 및 확인 시켜주는 툴이다. 참조 : http://www.nongnu.org/dmidecode/ 사이트에 보면 아래 OS를 지원할 수 있다고 되어 있다. Linux i386, x86-64, ia64 FreeBSD i386, amd64 NetBSD i386, amd64 OpenBSD i386, amd64 BeOS i386 Cygwin i386 Solaris x86Haiku i586 소스 설치 할 때는 make, make install 만 하면 된다. [root@boanhack ~]# dmidecode -h Usage: dmidecode [OPTIONS] Options are: -d, --dev-mem FILE Read memory from device FILE (def..

테스트 환경 : CentOS 6.4 , openssl v1.0.1e(compile) RSA 방식으로 통신하기 위해서는 Private/Public Key 쌍이 필요하다. Private Key는 서버 또는 인증기관에서 가지고 있으며, Public Key(공인인증서)를 클라이언트에게 배포되는 Key이다. 예를 들어, 홈페이지 보안서버 구축시 Private Key를 서버에서 생성하며, private key를 가지고 인증요청서(CSR)를 만들어 CA에 보내고 인증된 인증서(CER)을 받아 클라이언트에서 서버에 접속할 수 있도록 인증서를 배포한다. 인증 기관의 인증을 받았기 때문에 공인인증서라 하며, 인증기관이 아닌 웹서버 자체적으로 인증을 거처서 인증서를 발행해서 사용하면 사설인증서(?)라고 할 수 있다. 브라우..