netlog¶õ??




*TCP¿Í UDP ÇÁ·ÎÅäÄÝÀÇ ³×Æ®¿÷ Æ®·¡ÇÈÀ» ¸ð´ÏÅÍÇÏ´Â netlog ÆÐÅ°Áö
*netlogÆÐÅ°Áö¸¦ ÀÌ¿ëÇÏ¿© ½Ã½ºÅÛ °ü¸®ÀÚ°¡ ºÐ¼®ÇÒ ¼ö ÀÖ´Â »çÇ×µé°ú netlog°¡ µîÀåÇÏ°Ô µÈ ÀÌÀ¯°¡ ¹«¾ùÀÎÁö
* netlog ÆÐÅ°Áö¸¦ ¾î´À Á¤µµ ¼öÁرîÁö ½Å·ÚÇÒ ¼ö ÀÖÀ¸¸ç '¼ö ºñÀÇ Ãø¸é'°ú '°ø°ÝÀûÀÎ Ãø¸é'¿¡¼­ÀÇ netlogÆÐÅ°ÁöÀÇ È¿¿ë

Texas A&M University 'Ÿ¹«'¶ó°í ºÒ¸®´Â °÷¿¡¼­ °³¹ßµÈ netlog µµ±¸´Â ¾Æ·¡ÀÇ ¼¼°¡Áö µµ±¸µé·Î ÀÌ·ç¾îÁ® ÀÖ´Ù.
¢º tcplogger: ¼­ºê³Ý¿¡¼­ÀÇ ¸ðµç TCP Á¢¼ÓµéÀ» ·Î±×ÆÄÀÏ·Î ³²±ä´Ù.
¢º udplogger : ¼­ºê³Ý¿¡¼­ÀÇ ¸ðµç UDP ¼¼¼ÇµéÀ» ·Î±×ÆÄÀÏ·Î ³²±ä´Ù.
¢º netwatch : ½Ç½Ã°£¿¡ ³×Æ®¿÷ Á¢¼ÓµéÀ» ¸ð´ÏÅ͸µÇÑ´Ù.




1. Netlog¿¡ »ç¿ëµÈ Ư¡


¸»±×´ë·Î netlog ÆÐÅ°Áö´Â TCP/IP Ä¿³Ø¼ÇÀÌ ÀϾ´Â »óȲÀÇ µ¥ÀÌÅͱ׷¥ Áß¿¡ ÀÎÁßµÇÁö ¾ÊÀº »ç¿ëÀÚ³ª È£½ºÆ®·ÎºÎÅÍÀÇ Á¢¼ÓÀÌ ÀϾ°Å³ª, ƯÁ¤ ¸í·É°ú °ü°è µÈ Á¢¼ÓÀÌ ÀϾ °æ¿ì ±× µ¥ÀÌÅͱ׷¥À» ºÐ¼®ÇÏ¿© ¿øÇÏ´Â Á¤º¸¸¦ »©¾î³»°Ô µÈ´Ù. Áï, ¼Ò½º IP ¾î µå·¹½º¿Í ÇØ´ç ¼­ºñ½º¸íµéÀ» ¸ð´ÏÅÍÇÏ°Ô µÇ´Â °ÍÀÌ´Ù. Áï, netwatchÀ̵ç, tcploggerÀ̵ç, udploggerÀÌµç ¸ðµÎ µ¥ÀÌÅͱ׷¥À¸·ÎºÎ ÅÍ ¿øÇÏ´Â Á¤º¸¸¦ »©¾î³¾ ¼ö ÀÖ°Ô²û ÇÏ´Â ·çƾÀÌ ¸ðµÎ ÇÊ¿äÇÏ°Ô µÈ´Ù. ÀÌ ¿ªÇÒÀ» ÇÏ´Â ·çƾÀÌ ¹Ù·Î pktfilt.c¿¡¼­ ¸Ã°Ô µÈ´Ù. Áï , ¸ðµç ÇÁ·Î±×·¥ÀÌ À§ÀÇ ¼Ò½º¸¦ ¸µÅ©ÇÏ¿© ÀûÀýÇÑ ½ºÆ®·°Ãĸ¦ ºÐ¼®ÇÏ°Ô µÈ´Ù. ¼Ò½º·¹º§¿¡¼­ ±Ã±ÝÇÑ Á¡ÀÌ ÀÖ´Â ½Ã½ºÅÛ °ü¸®ÀÚµéÀº ¾Æ·¡ÀÇ ÆÄÀϵéÀ» ºÐ¼®Çغ¸±â ¹Ù¶õ´Ù.




$NETLOG_DIR/netwatch/pktfilt.c
/tcplogger/pktfilt.c
/udplogger/pktfilt.c µî
Netlog µµ±¸ÀÇ pktfilt.cÀº telnetÀ̳ª ftpµîÀÇ TCP ÆÐŶ¿¡¼­ userID¿Í passwd ºÎºÐ¿¡ ÇØ´çÇÏ´Â µ¥ÀÌÅÍ´Â ÇÊÅ͸µÇÏÁö ¸øÇÑ´Ù. À̸¦ º¸°­ÇÑ °ÍÀÌ sunsniffer µîÀÌ´Ù.



2. NetlogÀÇ ´É·Â


Netlog ÆÐÅ°Áö´Â ¸» ±×´ë·Î ³×Æ®¿÷ »ó¿¡¼­ÀÇ ÆÐÅ°ÁöÀÇ Àü¼ÛÀ» ¸ð´ÏÅ͸µÇÏ´Â ±â´ÉÀ» Á¦°øÇØ ÁØ´Ù. ÇÏÁö¸¸, ¸·¿¬È÷ µ¥ÀÌÅÍ ÆÐŶÀÌ À̸®Àú¸® ¿Å°Ü´Ù´Ï´Â Çö»ó¸¸ ÀÖ´Ù¸é ±×°ÍÀº ½Ã½ºÅÛ °ü¸®ÀÚ¿¡°Ô ¾Æ¹«·± µµ¿òÀ» ÁÖÁö¸øÇϸç, ¾öû³­ ÀÚ¿øÀ» ³¶ºñÇÏ´Â °á°ú¸¦ ÃÊ·¡ÇÑ´Ù. ½ÇÁ¦·Î tcplogger ÇÁ·Î±×·¥À» ¾à 10ÃÊ°£ µ¹·ÈÀ» ¶§ ÆÐŶÀ» ¸ð´ÏÅ͸µÇÑ ÆÄÀÏÀº ¾à 5¡­10 ų·Î¹ÙÀÌÆ®¿¡ ´ÞÇÑ´Ù. netlog °¡ ²À ÇÊ¿äÇÏ°Ô ¾²ÀÌ´Â ÀÌÀ¯¿Í Netlog µµ±¸°¡ µîÀåÇÏ°Ô µÈ °¡Àå Å« ¿øÀÎÀº ¹Ù·Î 'IP spoofing attack' ¶§¹®ÀÌ´Ù. Áï, netlog ÆÐÅ°Áö¸¦ ÀÌ¿ëÇÏ¿© 'IP spoofing attack'°ú 'ÇÏÀÌÀçÅ· Åø'ÀÌ ÀÌ¿ëµÇ°í ÀÖ´ÂÁö üũÇϱâ À§ÇÑ ¸ñÀûÀ» ÁÖ·ÎÇÏ¿© °³¹ßµÇ¾ú´Ù.


IP spoofingÀ̶õ ±âÁ¸ÀÇ TCP/IP ÇÁ·ÎÅäÄÝÀÇ µðÀÚÀÎ »óÀÇ ¹®Á¦Á¡À» ÀÌ¿ëÇÏ¿© Ÿ°Ù È£½ºÆ®ÀÇ trusted È£½ºÆ®ÀΠô °¡ÀåÇÏ¿© Ÿ°Ù È£½ºÆ®·ÎÀÇ Ä§ÀÔÀ» ¼º°ø½ÃÅ°´Â ħÀÔ ¹æ¹ý ÁßÀÇ ÇϳªÀÌ´Ù.

3.NetlogÀÇ ¾ç¸é¼º


Netlog ÆÐÅ°Áö´Â ´Ü¼øÇÑ ¸ð´ÏÅ͸µ¸¸ Á¦°øÇØ ÁÙ »Ó, ¾î¶² exploit ÇÒ¸¸ÇÑ ´ë»óÀÌ µÇÁö ¸øÇÑ´Ù. Áï, 'ps -aux | grep netwatch'¿Í °°Àº ¼öÀÛ¾÷À» ÅëÇÏ¿© ÀÚ½ÅÀÌ ¸ð´ÏÅ͵ǰí ÀÖ´ÂÁö ¾Æ´ÑÁö¿¡ °üÇÑ Á¤º¸¸¸ intruder¿¡°Ô Á¦°øÇØ ÁÙ »ÓÀÌ´Ù. ¿¹¸¦ µé¾î, intruder°¡ kus.kaist.ac.kr¿¡ °èÁ¤À» °®°í ÀÖÁö¸¸, IP spoofingÀ» ÅëÇÏ¿© attackÀ» ½ÃµµÇÏ°íÀÚ ÇÒ °æ¿ì, 'ps -aux | grep netwatch'µîÀ» ÅëÇÏ¿© netwatch ÆÐÅ°Áö°¡ µ¿ÀÛÁßÀÎÁö¸¦ ¿ì¼± ¾Ë¾Æº» ´ÙÀ½ °ø°ÝÇÒ ¼ö ¹Û¿¡ ¾ø´Â °ÍÀÌ´Ù.


ºñ·Ï netlog ÆÐÅ°Áö¸¦ ÀÌ¿ëÇÏ¿© ÀÚ½ÅÀÌ °ø°Ý´çÇÒ ¿ì·Á´Â ¾øÁö¸¸, netlog ÆÐÅ°ÁöÀÇ ½Å·ÚµµµîÀ» ÀÚ¼¼È÷ »ìÆ캸°í ½ÅÁßÇÑ ºÐ¼®ÀÌ ÇÊ¿äÇÏ´Ù°í ÆǴܵȴÙ. ¿Ö³ÄÇϸé, netlog ÆÐÅ°Áö´Â ¸» ±×´ë·Î Network log¸¦ ¸ð´ÏÅÍÇÒ »ÓÀ̹ǷÎ, °ø°ÝÀÇ ¼ö´ÜÀº µÉ ¼ö ¾øÁö¸¸, ±² ÀåÈ÷ ¸¹Àº ·Î±×ÆÄÀÏÀ» ³²±â¹Ç·Î ¼¼¹ÐÈ÷ ºÐ¼®ÇØ º¸Áö ¾Ê´ÂÇÑ È¿°úÀûÀ¸·Î ½Ã½ºÅÛÀ» ¹æ¾îÇÒ ¼ö ¾ø´Ù. ¿¹¸¦ µé¾î, netwatch¸¦ ÀÌ¿ëÇÏ ¿© ¸ð´ÏÅÍÇÏ°í ÀÖ´õ¶óµµ, smtp Æ÷Æ®¿¡ debug ¸í·ÉÀ» ÇÕ¹ýÀûÀÎ »ç¿ëÀÚ°¡ ÇÊ¿ä¿¡ ÀÇÇÏ¿© À̸¦ »ç¿ëÇÏ°í ÀÖÀ» ¼öµµ ÀÖÁö¸¸, netwatc h ÇÁ·Î±×·¥ÀÌ À̸¦ ÆǺ°ÇÒ ¼ö´Â ¾ø±â ¶§¹®ÀÌ´Ù. netwatchÀÇ °á°ú¸¦ ÅëÇØ ³¸¼± °÷¿¡¼­ÀÇ debug ¸í·É µîÀÌ ³ªÅ¸³­´Ù¸é ÀÌ´Â ÀǽÉÇØ º¼ ¼ö ÀÖÀ» °ÍÀÌ´Ù.

ÇÏÁö¸¸, network firewallÀÇ ½Å·Úµµ°¡ ³ô¾ÆÁö°í, °ü¸®ÀÚµéÀÇ Áö½ÄÀÌ ´Ã¼ö·Ï IP ½ºÇªÇΰú °°Àº ħÀÔÀº ÁÙ¾îµé °ÍÀ¸·Î ¿¹»óµÈ´Ù. ¿Ö³ÄÇϸé, IP spoofingÀÇ ¿øõÀûÀÎ ºÀ¼â ¹æ¹ýÀÌ ¹Ù·Î filtering routerÀÇ ¼³Ä¡¸¦ ÀÌ¿ëÇÑ firewallÀÇ setupÀ̱⠶§¹®ÀÌ´Ù. ±×·¯ ³ª, TCP/IP ÇÁ·ÎÅäÄÝ µðÀÚÀÎÀÌ º¯ÇÏÁö ¾Ê´Â ÀÌ»ó IP spoofingÀº ¾ðÁ¦µçÁö ÀϾ ¼ö ÀÖ´Â ÀÏÀ̹ǷÎ, ¶ó¿ìÅÍ ¼Â¾÷(filtering rout er)µîÀÇ °úÁ¤À» °ÅÃÄ Ã¶ÀúÇÑ trusted ȯ°æÀ» ±¸ÃàÇØ¾ß ÇÒ °ÍÀÌ´Ù.

¸ÕÀú IP spoofing¿¡ ´ëÇÑ Áö½ÄÀÌ ÀÖ¾î¾ß netlog ÆÐÅ°ÁöÀÇ Á߿伺À» ½Ç°¨ÇÒ ¼ö ÀÖÀ» °ÍÀÌ´Ù.

4.°á·Ð»çÇ×


Netlog ÆÐÅ°Áö´Â intruder·Î ºÎÅÍ exploitµÉ ¸¸ÇÑ ¿ì·ÁÀÇ ¼ÒÁö´Â ÀüÇô¾ø´Ù. ÇÏÁö¸¸, À¢¸¸ÇÑ Áö½ÄÀÌ ¾ø´Â ½Ã½ºÅÛ °ü¸®ÀÚ¿¡°Ô´Â ¹«¿ëÁö¹°À̳ª ´Ù¸§ÀÌ ¾ø´Ù. IP spoofingµîÀÇ »çÀü Áö½ÄÀ» ÇÊ¿ä·Î ÇÏ¸ç ¼­ºê³ÝÀÇ ¸ðµç Ä¿³Ø¼ÇµéÀ» ·Î±×ÆÄÀÏ¿¡ ³²±æ °æ¿ì ÀÚ¿øÀÇ ³¶ºñ°¡ ½ÉÇÒ ¼ö ÀÖ´Ù.

Netlog ÆÐÅ°ÁöÀÇ ¹æ¾î¿ë ¼ÒÇÁÆ®¿þ¾î·ÎÀÇ °¡Àå ÃÖ¼±ÀÇ Àü·«Àº ¹«¾ùÀϱî?

Netlog ÆÐÅ°Áö´Â ±âº»ÀûÀ¸·Î IP spoofingÀ» ÆľÇÇÒ ¼ö ÀÖ´Ù. ÇÏÁö¸¸, ¾Õ¼­µµ ¸»ÇßµíÀÌ IP spoofingÀ» ¿øõÀûÀ¸·Î ºÀ¼âÇÒ ¼ö´Â ¾ø´Ù. IP spoofing attackÀÌ ½ÃµµµÇ°í ÀÖ´Ù¸é, Áï½Ã ½Ã½ºÅÛÀ» ÁߴܽÃÅ°´øÁö, ¾Æ´Ï¸é IP spoofing attack¿¡ »ç¿ëµÇ´Â TCP ¼­ºñ½º ¸¦ ã¾Æ¼­ deamonÀ» Á×ÀÌ´Â ¹æ¹ýÀ» ÃëÇØ¾ß ÇÑ´Ù. Netlog´Â ¶ÇÇÑ Ä¯ÆÄÀÏ ½Ã¿¡ '$NETLOG_DIR/netwatch/monitors/lognames.h' ÆÄÀÏ ¿¡ ÀûÀýÇÑ »ç¿ëÀÚ ID¸¦ Ãß°¡ÇÏ¿©, ÀǽÉÀÌ µÇ´Â »ç¿ëÀÚ¸¦ ÁýÁßÀûÀ¸·Î ¸ð´ÏÅÍÇÒ ¼ö ÀÖ´Ù. ±âº»ÀûÀ¸·Î lognames.h¿¡ Æ÷ÇԵǾî ÀÖ´Â »ç¿ëÀÚµé·Î´Â 'sybase, oracle, irc, bbs, anonymous, info, ftp, guest, gopher' µîÀÌ ÀÖ´Ù.

ÀÌ·¯ÇÑ lognames.h ÆÄÀÏ¿¡ ÇÊ¿ä¿¡ µû¶ó »ç¿ëÀÚµéÀ» Ãß°¡ÇÏ¿© ¸ð´ÏÅÍÇÏ¸é ±²ÀåÈ÷ À¯¿ëÇÑ ±â´ÉÀ» ¹ßÈÖÇÒ ¼ö ÀÖ´Ù. ¶ÇÇÑ, '½Ã°£, °ø°Ý ¼­ºñ½º¸í, °ø°Ý½Ãµµ È£½ºÆ®, Ÿ°Ù È£½ºÆ®, ¸í·É'µîÀ¸·Î ÀÌ·ç¾îÁø Ãâ·Â¹°À» ÀÌ¿ëÇÏ¿© ºÐ¼®·Â°ú ½Ã½ºÅÛ °ü¸®ÀÚÀÇ ÀÚÁúÀ» ±â¸¦ ¼ö ÀÖ´Ù.

@@@@@@netlog ÆÐÅ°Áö´Â °ø°Ý¿ëÀ¸·Î ÀüÇô ¾²ÀÏ ¼ö ¾øÀ»±î?

°³ÀÎÀûÀÎ ¼Ò°¨À¸·Î´Â ±×·¸´ÙÀÌ´Ù. ¸» ±×´ë·Î netlog ÆÐÅ°Áö´Â ³×Æ®¿÷ ·Î±×ÆÄÀÏÀ» ³²±â°Å³ª ¸ð´ÏÅÍÇÏ´Â °ÍÀÌ ÁÖµÈ ¿ªÇÒ ÀÌ´Ù. ±×·¸´Ù°í sunsniffer¿Í °°ÀÌ TCP ÆÐŶ¿¡¼­ »ç¿ëÀÚ Á¤º¸¸¦ ¹«ÀÛÀ§·Î ij³»´Â ÁþÀº ÇÏÁö ¾Ê´Â´Ù. ¶§¹®¿¡ À̸¦ ÅëÇÑ ¾î¶°ÇÑ »ç ¿ëÀÚ¿¡´ëÇÑ Á¤º¸³ª ÃßÃø °¡´ÉÇÑ Á¤º¸¸¦ ¾òÀ» ¼ö ¾øÀ¸¹Ç·Î °ø°Ý¿ë ¼ÒÇÁÆ®¿þ¾î·Î´Â ¾î¿ï¸®Áö ¾Ê´Â ÆíÀÌ´Ù.

»ç¿ëÀÚ ÀÎÅÍÆäÀ̽ºÀÇ °³¼±°ú help ±â´ÉÀÇ Ãß°¡¸¦ ÅëÇÑ °³·®ÀÌ °¡´ÉÇÒ °ÍÀ¸·Î º¸ÀδÙ. ¶ÇÇÑ netlog ÆÐÅ°Áö¿Í ¿©·¯ °ü¸® µµ±¸¸¦ º´ÇÕÇÏ¿© ½Ã½ºÅÛ Æı«¿¡ ÇØ´çÇÏ´Â Áõ°Å¸¦ Àâ¾Æ³»´Â À¯Æ¿¸®Æ¼µéÀ» ¸¸µé ¼ö ÀÖÀ» °Í °°´Ù.



Netlog°¡ ÀÖ´Â °÷

ftp://net.tamu.edu/pub/security/netlog-1.2.tar.gz

ftp://ftp.cert-kr.or.kr/pub/Security/tool/netlog-1.2.tar.gz




NetlogÆÐÅ°ÁöÀÇ ÀνºÅç




ÀÌ ºÎºÐ¿¡ °üÇÑ ÀÚ¼¼ÇÑ ³»¿ëÀº ¾Æ·¡ÀÇ ÆÄÀÏÀÇ ¾ÐÃàÀ» Ǭ ÈÄ »ý¼ºµÇ´Â README ÆÄÀÏÀ» ÂüÁ¶Çϱ⠹ٶõ´Ù. ¶ÇÇÑ, °¢°¢¿¡ ÇØ´çÇÏ´Â ¸Þ´º¾ó ÆäÀÌÁö°¡ Á¦°øµÇ´Ï À̸¦ ÅëÇÑ µµ¿ò¸»À» ÀÌ¿ëÇÒ ¼ö ÀÖ´Ù.

¾Æ·¡ ÁÖ¼Ò¸¦ ÀÌ¿ëÇÏ¿© ¼Ò½º¸¦ °¡Á®¿Â´Ù.


ftp:ftp.cert-kr.or.kr/pub/Security/tool/netlog-1.2.tar.gz

ÀÌ °÷ ¿Ü¿¡µµ netlog°¡ ÀÖ´Â °÷ÀÌ ÇÊ¿äÇÏ´Ù¸é,click!!!
¾Æ·¡ ¸í·ÉÀ» ÀÌ¿ëÇÏ¿© ÀÓÀÇÀÇ µð·ºÅ丮¿¡ ¾ÐÃàÀ» Ǭ´Ù. ±×¸®°í ÀÌ µð·ºÅ丮¸¦ $NET- LOG_DIRÀ̶ó ĪÇϱâ·Î ÇÏÀÚ.


$ gzip -d netlog-1.2.tar.gz ; tar -xvf netlog-1.2.tar
netlog ÆÐÅ°Áö´Â SunOS 4.x¿Í SunOS 5.x(Solaris x)¿¡¼­¸¸ ½ÇÇàµÈ´Ù. MakefileÀÇ Á¦ 13, 18, 23ÇàÀÇ ´ÙÀ½°ú °°Àº ¶óÀο¡¼­ ÀÚ ½ÅÀÇ ½Ã½ºÅÛ¿¡ ¸Ã´Â °ÍÀ» ¼±ÅÃÇϵµ·Ï ÇÏÀÚ.


# SunOS 4 or Solaris (SunOS 5)?
#
FLAGS=-DSUNOS4 -> sUNos 4.x »ç¿ë ¸Ó½®
##FLAGS=-DSOLARIS -> Solaris x »ç¿ë ¸Ó½®


make ¸í·ÉÀ» ÀÌ¿ëÇÏ¿© ÄÄÆÄÀÏÀÌ Àß µÇ³ª È®ÀÎÇϱ⠹ٶõ´Ù. ¿¡·¯ ¸Þ¼¼Áö°¡ ³ªÅ¸³ª¸é ÄÄÆÄÀÏÀÌ Á¦´ë·Î ¾ÈµÆÀ» °¡´É¼ºÀÌ ¸¹À¸´Ï $ NETLOG_DIR/bin µð·ºÅ丮¿¡ tcplogger, udplogger, netwatch, extract ÇÁ·Î±×·¥ÀÏ Á¦´ë·Î ¼³Ä¡µÇ¾î ÀÖ´ÂÁö »ìÆ캸±â ¹Ù¶õ´Ù. Çö ½ÇÀûÀ¸·Î ¸ðµç ¿¡·¯ ¸Þ½ÃÁö¿¡ ´ëÇÑ ÇØ°áÃ¥À» ³ª¿­ÇÑ´Ù´Â °ÍÀº ºÒ°¡´ÉÇÏ´Ù. ±×·¯¹Ç·Î, ¿¡·¯¸Þ½ÃÁö¸¦ Á¤È®È÷ ÀÐ°í ±×¿¡ ÇØ´çÇÏ´Â ÀûÀýÇÑ ÀÛ¾÷À» ¼öÇàÇϱ⠹ٶõ´Ù.

ÄÄÆÄÀÏÀÌ Á¦´ë·Î µÇ¾úÀ¸¸é $NETLOG_DIR/docÀÇ ¸Þ´º¾ó ÆäÀÌÁöµéÀ» /usr/man/man8 µð·ºÅ丮·Î º¹»çÇØ µÎ°í, ÇÊ¿äÇÒ ¶§¸¶´Ù #man netwatch µî°ú °°ÀÌ µµ¿ò¸»À» »ç¿ëÇϱ⠹ٶõ´Ù. ±×¸®°í ¼º°øÀûÀÎ ÄÄÆÄÀÏÀ» È®ÀÎÇϱâ À§ÇÏ¿© °¢ ½ÇÇàÆÄÀϵéÀ» ½ÇÇàÇØ º»´Ù.








Netlog »ç¿ë¹ý





¾Æ·¡¿¡ µû·Î ¼³¸íÇÑ ÀνºÅç °¡À̵忡 µû¶ó ¼º°øÀûÀ¸·Î netlog ÆÐÅ°Áö¸¦ ÀνºÅçÇÏ¿´´Ù¸é, netlog ÆÐÅ°ÁöÀÇ ¾ÐÃàÀ» Ǭ µð·ºÅ丮 ($NETLOG_DIR)ÀÇ bin µð·ºÅ丮¿¡ 'netwatch', 'tcplogger' ÇÁ·Î±×·¥, ±×¸®°í 'udplogger'¿Í 'extrack'ÇÁ·Î±×·¥ÀÌ ¼³Ä¡µÉ °ÍÀÌ´Ù. (ÀÌ °æ¿ì ½Ã½ºÅÛ¿¡ µû¶ó 'extrackt' ÇÁ·Î±×·¥ÀÌ ¼³Ä¡µÇÁö ¾Ê´Â °æ¿ì°¡ ÀÖ´Ù. ÀÌ·² °æ¿ì [email protected]¿¡°Ô E-mailÀ» º¸³»¾î »ó¼¼ÇÑ Á¶¾ðÀ» ¹Þµµ·Ï ÇÏÀÚ.)

netlog°¡ ÀÖ´Â °÷('ÁÖ¼Ò'¿¡ ÀÖÀ½")¿¡¼­ À§ ÆÄÀÏÀ» °¡Á®¿Í ¾ÐÃàÀ» Ǭ µð·ºÅ丮¸¦ ÀÌÁ¦ netlog µð·ºÅ丮ÀÎ '$NETLOG_DIR'À̶ó ÇÏ°Ú´Ù.


ÀÌÁ¦ °¢°¢ÀÇ ÇÁ·Î±×·¥µéÀÇ ¿À¼Ç°ú »ç¿ë¹ý¿¡ ´ëÇÏ¿© ¾Ë¾Æº¸µµ·Ï ÇÏÀÚ. ¸ÕÀú ÁÖÀÇÇØ¾ß ÇÒ Á¡Àº, netlog ÆÐÅ°ÁöÀÇ ¸ðµç µµ±¸µéÀº root¸¸ÀÌ »ç¿ëÇÒ ¼ö ÀÖ´Ù´Â Á¡À» ¸í½ÉÇϱ⠹ٶõ´Ù.

ÀÌÇÏ´Ânetlogµµ±¸µéÀÇ »ç¿ë¹ýÀÌ´Ù.


1.Netwatch(etherscan)µµ±¸ÀÇ »ç¿ë
2.Tcploggerµµ±¸ÀÇ »ç¿ë
3.Udploggerµµ±¸ÀÇ »ç¿ë




1.Netwatch(etherscan)



µ¹¾Æ°¡±â
Netwatch ÇÁ·Î±×·¥Àº ³×Æ®¿÷ Ä¿³Ø¼ÇÀÌ ÀϾ´Â »óȲÀ» ½Ç½Ã°£À¸·Î ¸ð´ÏÅÍÇÒ ¼ö ÀÖµµ·Ï ÇØÁØ´Ù.


$ netwatch [-u] [-i interface] [-f file] [-p] tcp_port_list



¿©±â¼­ 'tcp_port_list'Àμö´Â netwatch ÇÁ·Î±×·¥ÀÌ Ã¼Å©ÇÒ TCP ¼­ºñ½ºµéÀ» ¼³Á¤ÇØ µÎ¾î¾ß ÇÑ´Ù. telnet, ftp, rlogin, rsh, s mtp µîÀÇ ¼­ºñ½ºµéÀ» üũÇϸç, telnet°ú ftpÀÇ °æ¿ì Á¢¼Ó½Ãµµ È£½ºÆ®¿Í ¸ñÀû È£½ºÆ® ¸ðµÎ¿¡ °üÇÑ Á¤º¸¸¦ Á¦°øÇØ ÁØ´Ù. (À̶§, °¢°¢ÀÇ TCP ¼­ºñ½ºµéÀº ÇØ´ç Æ÷Æ®¿¡ Ç×»ó ¶° ÀÖÀ¸¹Ç·Î, netwatch´Â °¢°¢ÀÇ ¼­ºñ½ºµé¿¡ ÇØ´çÇÏ´Â Æ÷Æ®¸¸ ½ºÄµÇÏ°Ô µÈ´Ù. ¸ðµç Æ÷ Æ®¹øÈ£¸¦ ÀÏÀÏÀÌ ¾Ë ÇÊ¿ä´Â ¾øÀ¸³ª, ÇØ´çÇÏ´Â Æ÷Æ®¸¦ Àû¾îº¸¸é ´ÙÀ½°ú °°´Ù.)


TCP ¼­ºñ½º »ç¿ëÇÏ´Â Æ÷Æ®¹øÈ£
------------- -----------------
telnet 23
smtp 25
rlogin 513
rsh 514
ftp 21
uucp 540


Å©°Ô ¸ð´ÏÅÍÇÒ ¼ö ÀÖ´Â °ÍµéÀ» µé¾îº¸¸é ´ÙÀ½°ú °°´Ù.


¢º "login to remote(local) host" : ¸» ±×´ë·Î ƯÁ¤ °èÁ¤ÀÇ 'login'½Ãµµ¸¦ üũÇØ ÁØ´Ù.

¢º "using remote shell command via rsh" : rsh ¸í·ÉÀ» ÀÌ¿ëÇÏ¿© Ÿ°Ù È£½ºÆ®ÀÇ ¸í·ÉÀ» ¼öÇàÇÏ´Â °úÁ¤ À» üũÇÑ´Ù.

¢º"smtp connection" : ÀÚüÀûÀ¸·Î ³»ÀåµÈ 'smtp' µå¶óÀ̹ö¸¦ ÀÌ¿ëÇÏ¿© Ÿ°ÙÈ£½ºÆ®ÀÇ 'smtp'Æ÷Æ®·Î ÀÇ Á¢¼ÓÀ» üũÇÑ´Ù.

¢º "other unrecognized protocol connection" : ÀÌ¿Ü¿¡ ¾Ë ¼ö ¾ø´Â ÇÁ·ÎÅäÄÝÀ» ÀÌ¿ëÇÑ Á¢ ¼ÓµéÀ» üũ ÇÑ´Ù.


Netwatch ÀÇ ¿É¼ÇÀº ¾Æ·¡¿Í °°´Ù.@@@@@table ÀÛ¼º@@@@@@


¢º i ¿É¼Ç : »ç¿ëÇÒ ÀÎÅÍÆäÀ̽º¸¦ ¼³Á¤ÇÑ´Ù.

¢º f ¿É¼Ç : ¸ð´ÏÅ͸µÇÏ°í ÀÖ´Â ³»¿ëÀ» ÆÄÀÏ·Î ³²±æ ¼ö ÀÖ´Ù. ÀÌ ¿É¼ÇÀ» »ç¿ëÇÏÁö ¾ÊÀ¸¸é ¸ð´ÏÅ͸µµÇ´Â °á°ú´Â ½º ÅÄ´Ùµå¾Æ¿ôÀ¸·Î Ç¥ÁØ Ãâ·ÂµÈ´Ù.

¢º u ¿É¼Ç : ±âº»ÀûÀ¸·Î üũÇÏ´Â TCP ÆÐŶ¿Ü¿¡ UDP ÆÐŶµµ üũÇÑ´Ù. ¿¹¸¦ µé¾î 'tftp' Æ®·¡ÇÈ, 'SunRPC' Æ®·¡ÇÈ, 'FSP' ¼­¹ö·ÎÀÇ Á¢¼ÓµéÀÌ Ã¼Å©µÈ´Ù. LAN¿¡¼­ÀÇ RPCÆ®·¡ÇÈ ÀÌ ±²ÀåÈ÷ ¸¹Àº °æ¿ì ÀÌ ±â´ÉÀ» »ç¿ëÇÏÁö ¾Ê´Â °ÍÀÌ ÁÁ´Ù. ¿Ö³ÄÇϸé Çؼ®ÀÌ ±²ÀåÈ÷ ³­ ÇØÇØÁö±â ¶§¹®ÀÌ´Ù.
¢º p ¿É¼Ç : ½Ã½ºÅÛÀÇ ·Îµå¸¦ ÁÙÀ̸鼭 'non-promiscuous mode'·Î netwatch¸¦ ½ÇÇà½ÃŲ ´Ù. Áï, ¼­ºê³ÝÀÇ ¸ðµç ÆРŶÀ» °Ë»çÇÏÁö ¾Ê°í ÀÚ±â È£½ºÆ®·ÎÀÇ Á¢¼Ó¸¸À» ¸ð´ÏÅ͸µÇÑ´Ù.


rlogin $NETLOG_DIR/netwatch/monitors/lognames.h ÆÄÀÏ¿¡ ¼³Á¤µÈ »ç¿ëÀڵ鿡 ´ëÇÑ rlogin Á¢¼Ó¿¡ °ü°èµÈ ÀÚ·áµéÀ» ¸ð´ÏÅÍÇÑ´Ù . °£´ÜÇÑ lognames.hÀÇ ¿¹¸¦ µé¾î º¸±â·Î ÇÏÀÚ.
static char *names[] = { "me","lp","bin","daemon"," guest", "demo",sync","uucp", "sys"," ftp"," nobody"," news"," demos", "tutor", "anonymous", "gopher", "netfind", "in fo", "system", "user", "userp", "field", "operator", "sybase ", "oracle", "irc", "bbs", "limx", "new", "chat", "super", (char*)0 } ; ÀÌ°÷¿¡ ÇØ´çÇÏ´Â À¯Àú¾ÆÀ̵𸦠¼³Á¤ÇÏ¸é µÈ´Ù.
¿¹¸¦ µé¾î "chang","diag ","sysdiag" µîµî

rsh ¸¶Âù°¡Áö·Î lognames.h ÆÄÀÏ¿¡ ¼³Á¤µÈ »ç¿ëÀÚµéÀÇ shellÀ» ¸®¸ðÆ®¿¡¼­ »ç¿ëÇÏ·ÁÇÒ ¶§ ¸ð ´ÏÅÍÇØ ÁØ´Ù. ¶ÇÇÑ 'csh -bif'¿Í °°Àº Á¢¼Óµµ ¸ð´ÏÅÍÇÑ´Ù.
Âü°í : rsh hostname -l userID csh -bif¸¦ ÀÌ¿ëÇÏ¿© 'tty'¸¦ »ç¿ëÇÏÁö ¾Ê°í ½Ã½ºÅÛÀ» ÀÌ¿ëÇÒ ¼ö ÀÖ°Ô µÇ¹Ç·Î, ÀÚ½ÅÀ» °¨Ãß·Á´Â Àǵµ°¡ £´Ù.
¶§¹®¿¡ ÀÌ·¯ÇÑ »ç¿ëÀÚµéÀ» ÅëÇÏ¿© ½Ã½ºÅÛÀÌ Æı«´çÇÒ ¿ì·Á°¡ ÀÖÀ¸¹Ç·Î netlog´Â 'csh -bif'¿Í °°Àº Æ®¿÷ Á¢¼Óµµ ¸ð´ÏÅÍ ÇØÁØ´Ù.

0 ftp FTP¿¡ °ü·ÃµÈ ³×Æ®¿÷ Æ®·¡ÇÈÀ» üũÇÑ´Ù. Áï, anonymous FTP¸¦ ÀÌ¿ëÇÑ passwd ÆÄÀÏ À̳ª .rhosts ÆÄÀÏ ±×¸®°í .forward ÆÄ ÀÏÀÇ Àü¼Û µîÀ» üũÇÒ ¼ö ÀÖ´Ù.
Âü°í : ftp ¼­ºñ½º¸¦ ÅëÇÏ¿© .rhosts ³ª .forward ÆÄÀÏÀ» µ¤¾î¾²°Å³ª ÇÏ´Â µîÀÇ ÀÛ¾÷À» Åë ÇÏ¿© ½Ã½ºÅÛÀÌ ÇÇÇظ¦ ÀÔÀ» ¼ö ÀÖ´Ù. ¶§¹®¿¡ netlog´Â ÀÌ·¯ÇÑ ½Ãµµ¸¦ ¸ð´ÏÅÍÇÑ´Ù. ¿¹¸¦ µé¾î, ¿ì¿¬Âú°Ô 'ftp>' ÇÁ·ÒÇÁÆ® »óÅ·Π¿¬°áµÈ Å͹̳ÎÀ» ¹ß°ßÇÏ ¿´À» °æ¿ì .rhosts ÆÄÀÏÀÇ ³»¿ëÀ» '£«£«'·Î µ¤¾î¾´ ÈÄ, ´ÙÀ½¿¡ ±× »ç¿ëÀÚ·Î rloginµîÀÇ Á¢¼ÓÀ» ÇÒ ¼ö ÀÖÀ¸¹Ç·Î ±²Àå È÷ ÁÖÀÇÇØ ¾ß ÇÑ´Ù. ¶ÇÇÑ, anonymous ftp ¼Â¾÷ »óÀÇ ¹®Á¦Á¡ÀÇ °æ¿ìµµ ±²ÀåÈ÷ À§ÇèÇÏ´Ù. 'anonymous ftp attack'¿¡ °üÇؼ­´Â CERT advisory Áß 'CA93:10. anonymous. FTP.ac- tivity'¸¦ ÂüÁ¶Çϱ⠹ٶõ´Ù.

telnet ƯÁ¤ »ç¿ëÀÚ·ÎÀÇ telnet Á¢¼ÓÀ» ¸ð´ÏÅÍÇÑ´Ù.

smtp 'smtp'µå¶óÀ̹ö¸¦ ÀÌ¿ëÇÏ¿© wiz, kill, debug ¸í·É¿¡ °ü°èµÈ smtp Á¢¼ÓÀ» ¸ð´ÏÅÍÇÑ´Ù.
Âü°í : °¡Àå vulnarableÇÑ sendmail¹ö±×¸¦ ÀÌ¿ëÇÑ Ä§ÀÔ¿¡ ¾²ÀÌ´Â ¸í·É¾îµéÀÌ ¹Ù·Î À§ÀÇ wiz, kill, debug ¸í·ÉµéÀÌ´Ù. ¶§¹®¿¡ netlog´Â ÀÌ·¯ÇÑ ½Ãµµ¸¦ ¸ð´ÏÅÍ ÇØÁØ´Ù. sendmail¿¡ °üÇÑ µµÅ¥¸ÕÆ®¸¦ ÂüÁ¶Çϱ⠹ٶõ´Ù.


ÀÌÁ¦ ½ÇÁ¦ ½ºÅ©¸³Æ®µÈ ¿¹¸¦ º¸¸ç ÀÚ¼¼È÷ ¾Ë¾Æº¸±â·Î ÇÏÀÚ. ¾Æ·¡´Â baikdu.kaist.ac.kr¿¡¼­ kus.kaist.ac.kr·Î smtp Á¢¼ÓÀ» Çà ÇÏ¿© debug ¸í·ÉÀ» ¼öÇàÇÏ¿´À» °æ¿ì¸¦ º¸¿©ÁØ´Ù.





/staff/kus/chang>telnet kus smtp
Trying 143.248.1.180 . . .
Connected to kus.kaist.ac.kr.
Escape character is '^]'.
220-kus.kaist.ac.kr Sendmail 8.6.12H1/8.6.12 ready at Thu, 30 Nov 1995 14:51:57
220 ESMTP spoken here +0900
debug ; kus.kaist.ac.krÀº sendmail bug°¡
500 Command unrecognized ; ÆÐÄ¡µÇ¾ú´Ù´Â °ÍÀ» ÀǹÌÇÑ´Ù.


¾Æ·¡´Â kus ¸Ó½®¿¡¼­ netwatchÀ» ÀÌ¿ëÇÏ¿© ½Ç½Ã°£¿¡ ¸ð´ÏÅ͸µÇÑ °á°ú¸¦ º¸¿©ÁØ´Ù.


kus# ./netwatch telnet smtp ; telnet, smtp¿¡ °üÇÑ ¸ð´ÏÅ͸¦ ½ÃÀÛÇÑ´Ù.
Using interface le0
Added telnet ; telnet°ú smtp¿¡ °üÇÑ ¸ð´ÏÅ͸¦ ½ÃÀÛÇß´Ù.
Added smtp
11/30/95 14:51:59 [smtp] baikdu.kaist.ac.kr.3673 kus.kaist.ac.kr cmd debug

¸ð´ÏÅ͸µÀÇ °á°ú´Â (¸ð´ÏÅÍµÈ ½Ã°£; Á¢¼Ó¼­ºñ½º; Á¢¼ÓÀ» ½ÃµµÇÑ °÷ÀÇ IP; Target Host; »ç¿ëÇÑ ¸í·É)·Î ÁÖ¾îÁø´Ù. ¹°·Ð, À§¿¡ ¼­ Á¦°øµÇ´Â ¿©·¯ µå¶óÀ̹öµéÀ» ÀÌ¿ëÇÏ¿© ¿øÇÏ´Â ¸ðµç Á¤º¸µéÀ» ¾òÀ» ¼ö ÀÖ´Ù.


2.Tcplogger



µ¹¾Æ°¡±â
Tcplogger´Â È£½ºÆ®·ÎÀÇ TCPÄ¿³Ø¼ÇÀÌ ¿äûµÉ ¶§ À̸¦ ·Î±× ÆÄÀÏ¿¡ ³²±ä´Ù. ÇöÀç TAMU¿¡¼­ °³¹ßµÈ tcplogger´Â SunOS 4.x¿Í SunO S 5.x Ç÷§Æû¿¡¼­¸¸ ½ÇÇà°¡´ÉÇÏ´Ù. ÇÏÁö¸¸, SunOS4.x Ç÷§Æû¿¡¼­´Â Çì´õÆÄÀÏÀÇ ºÎÁ·À¸·Î ÄÄÆÄÀϵÇÁö ¾Ê´Â °æ¿ì°¡ ÀÖÀ¸´Ï, root@n et.tamu.edu·Î ¿¬¶ôÀ» ÃëÇϱ⠹ٶõ´Ù.

Tcplogger´Â ¾Æ·¡¿Í °°Àº Çü½ÄÀ¸·Î »ç¿ëµÈ´Ù.

# tcplogger [-i if] [-a|-b] [-f file]


TcploggerÀÇ ¿É¼ÇÀº ¾Æ·¡¿Í °°´Ù.

¢º i ¿É¼Ç : TCP Á¢¼Ó ¿äûÀÌ ÀÌ·ç¾îÁú ¶§ ÀÎÅÍÆäÀ̽º¸¦ ¼³Á¤ÇÑ´Ù.

¢º a ¿É¼Ç : ·Î±×ÆÄÀÏÀ» ASCII Çü½ÄÀ¸·Î ¼³Á¤ÇÑ´Ù.

¢º b ¿É¼Ç : extract ¸í·ÉÀ» ÀÌ¿ëÇϱâ À§ÇÏ¿© binary ¸ðµå·Î ·Î±×ÆÄÀÏÀ» ¼³Á¤ÇÑ´Ù. À̶§ Á¤ÀǵǴ ±¸Á¶Ã¼´Â ¸Å´º¾ó ÆäÀÌÁö ¸¦ ÂüÁ¶Çϱ⠹ٶõ´Ù. ¶ÇÇÑ extract ÇÁ·Î±×·¥ÀÌ Á¦´ë ·Î ÄÄÆÄÀϵÇÁö ¾Ê´Â ½Ã½ºÅÛÀÇ °æ¿ì À§ÀÇ -a ¿É¼ÇÀ» ÀÌ¿ëÇϱ⸦ ±ÇÇÑ´Ù.

¢º f ¿É¼Ç : Ãâ·ÂÀ¸·Î ³²±æ ÆÄÀÏÀ» Á¤ÀÇÇÑ´Ù. À̶§ Á¤ÀÇÇÏÁö ¾ÊÀ¸¸é ½ºÅÄ´Ùµå¾Æ¿ôÀ¸·Î Ç¥ ÁØ Ãâ·ÂµÈ´Ù.

¢º n ¿É¼Ç : DNS¸¦ ÀÌ¿ëÇÑ hostnameÀ» »ç¿ëÇÏÁö ¾Ê°í, dotted IP ÁÖ¼Ò·Î ³ªÅ¸³½´Ù.

¢º p ¿É¼Ç : 'non-promiscuous' mode·Î ¼³Á¤ÇØ µÐ´Ù. Áï, subnetÀ¸·ÎÀÇ ¸ðµç ÆÐŶÀ» ·Î ±×ÆÄÀÏ¿¡ ³²±âÁö ¾Ê°í ÀÚ±âÀڽŠȣ½º Æ®¿¡ °üÇÑ ÆÐŶ¸¸À» ·Î±×ÆÄÀÏ¿¡ ³²±ä´Ù. Çϵåµð ½ºÅ©¿Í °°Àº ÀÚ¿øÀÇ È°¿ë¿¡ È¿°úÀûÀÌ´Ù.


3.Udplogger



µ¹¾Æ°¡±â
Udplogger´Â tcplogger¿Í °ÅÀÇ ºñ½ÁÇÑ ±â´ÉÀ» Á¦°øÇÏÁö¸¸, ´ÜÁö UDP Á¢¼Ó¿¡ °üÇÑ ³»¿ë¸¸ üũÇÑ´Ù´Â µ¥ Â÷ÀÌÁ¡ÀÌ ÀÖ´Ù. ´Ù¸¥ ±â ´ÉÀº ¸ðµÎ tcplogger¿Í °°±â ¶§¹®¿¡ ÂüÁ¶Çϱ⠹ٶõ´Ù.

udploggerÀÇ »ç¿ëÀº ¾Æ·¡¿Í °°Àº Çü½ÄÀ¸·Î ÀÌ·ç¾îÁø´Ù.

# udplogger [-i if] [-a|-ab] [-f file] [-n] [-t ###] [-p]


¿É¼ÇÀ¸·Î´Â -t ¿É¼ÇÀ» ÀÌ¿ëÇÏ¿© UDP ¼¼¼ÇÀÌ ÀÌ·ç¾îÁø ÈÄ ¾ó¸¶°£ÀÇ ½Ã°£ÀÌ Áö³ª´õ¶óµµ ÆÐŶÀÇ Àü¼ÛÀÌ ÀÌ·ç¾îÁöÁö ¾ÊÀ» ¶§ ·Î±× ¸¦ Á¤ÁöÇÑ´Ù. µðÆúÆ® ½Ã°£Àº 300ÃÊÀÌ´Ù.