서브메뉴
검색
본문
Powered by NAVER OpenAPI
-
-
네트워크 포렌식 (네트워크 패킷 분석으로 해킹의 흔적을 찾아라)
저자 : 조너선 햄|셰리 다비도프
출판사 : 에이콘출판
출판년 : 2014
ISBN : 9788960775893
책소개
2015년 대한민국학술원 우수학술도서
에이콘 디지털 포렌식 시리즈. 그동안 조명받지 않았던 네트워크 포렌식 주제를 다룬다. 네트워크 포렌식은 수많은 어려움(수백개의 프로토콜, 엄청난 트래픽 양, 휘발성 등)을 안고 있지만, 또한 그만큼 모든 데이터에 대한 접근이 가능하고 변조되지 않은 데이터를 통한 분석의 정확성을 보장할 수 있다. 기초 주제부터 고급 주제까지 다양한 사례 연구와 경험을 바탕으로 독자들의 실력을 향상시켜 줄 것이다.
에이콘 디지털 포렌식 시리즈. 그동안 조명받지 않았던 네트워크 포렌식 주제를 다룬다. 네트워크 포렌식은 수많은 어려움(수백개의 프로토콜, 엄청난 트래픽 양, 휘발성 등)을 안고 있지만, 또한 그만큼 모든 데이터에 대한 접근이 가능하고 변조되지 않은 데이터를 통한 분석의 정확성을 보장할 수 있다. 기초 주제부터 고급 주제까지 다양한 사례 연구와 경험을 바탕으로 독자들의 실력을 향상시켜 줄 것이다.
[알라딘에서 제공한 정보입니다.]
출판사 서평
사이버 범죄 행위가 나날이 확산되고 있고, 그 규모 및 복잡도는 상상할 수 없을 만큼 거대해져 가고 있으며. 그와 동시에 공격의 원리와 세부 행위를 분석하는 디지털 포렌식 분야도 발전해 가고 있다. 이 책은 그동안 조명받지 않았던 네트워크 포렌식 주제를 다룬다. 네트워크 포렌식은 수많은 어려움(수백개의 프로토콜, 엄청난 트래픽 양, 휘발성 등)을 안고 있지만, 또한 그만큼 모든 데이터에 대한 접근이 가능하고 변조되지 않은 데이터를 통한 분석의 정확성을 보장할 수 있다. 기초 주제부터 고급 주제까지 다양한 사례 연구와 경험을 바탕으로 독자들의 실력을 향상시켜 줄 것이다.
이 책에서 다루는 내용
■ 증거 처리와 네트워킹, 증거 수집의 기본 개념
■ 조사관이 네트워크 트래픽을 분석할 수 있는 다양한 방법 설명
■ 다양한 종류의 네트워크 장비의 증거 수집과 분석
■ 네트워크 침입 탐지와 침입 방지 시스템
■ 네트워크의 백본을 이루는 스위치와 라우터, 방화벽의 포렌식 조사
■ 웹 프록시 증거 수집과 분석
■ 합법적이고 은밀한 네트워크 터널과 다양한 타입의 터널을 다루는 조사 전략
■ 악성코드의 역사와 포렌식 분석에 미치는 영향
[이 책의 대상 독자]
이 책은 다양한 독자가 접근할 수 있고, 네트워크 포렌식의 기본 원칙과 기술을 가르쳐주도록 설계되었다. 동일한 결과를 얻을 수 있는 상용이며 쉽게 클릭하여 실행할 수 있는 도구도 많으며, 그중 일부를 이 책에서 가볍게 다룬다. 그러나 기본적으로 자유롭게 접근할 수 있고 기본적인 기술을 설명하는 데 이용되는 도구에 초점을 맞춘다. 그리하여, 포렌식 도구가 로우 레벨에서 어떻게 작동하고, 자동화 도구를 통해 얻어진 결과물을 검증하며 조사를 위한 도구를 선택할 때 지식을 통한 선택을 하는지 이해하게 한다.
이 책의 구성
1부, ‘기초’는 증거 처리와 네트워킹, 증거 수집의 기본 개념을 다룬다. 이는 이 책의 후반부에 설명될 고급 주제에 대한 기초 지식을 다지게 한다. 이 내용 이외에, 독자들에게 TCP/IP 네트워킹을 숙지하기를 권장한다. 리차드 스티븐스(W. Richard Stevens)가 집필한 『TCP/IP Illustrated』는 참고서로 추천하는 책이다.
1부에서 다루는 내용은 다음과 같다.
1장, ‘실용적인 조사 전략’: 네트워크 포렌식 조사관에게 마주친 수많은 난관을 보여주고, 디지털 증거의 주요 개념을 소개하며, 네트워크 기반 조사에 접근하는 방법론을 제시한다.
2장, ‘기술적 원리’: 일반적인 네트워크 구성 요소와 포렌식 조사관에게 있어서의 의미에 대한 기술적인 개요를 제공하고, 네트워크 포렌식 조사에서 프로토콜과 OSI 모델의 개념을 설명한다.
3장, ‘증거 수집’: 하드웨어, 소프트웨어를 이용한 트래픽 스니핑과 네트워크 장비로부터 능동적으로 증거를 수집하는 전략을 포함한 수동적과 능동적인 증거 수집을 알아본다.
2부, ‘트래픽 분석’은 조사관이 네트워크 트래픽을 분석할 수 있는 다양한 방법을 논의한다. 우선 프로토콜 헤더 검사와 페이로드 추출과 재조합을 포함하는 패킷 분석부터 시작한다. 그리고 플로우 기록 데이터 잔류의 개념이 익숙해지고 있기 때문에, 통계적 플로우 기록 분석에 한 장을 할애한다. 그러고 나서 무선 네트워크와 802.11 프로토콜 시리즈를 심층 분석한다. 마지막으로, 트래픽을 실시간으로 분석하고, 경보를 발생하며, 상황에 따라 패킷을 캡처하도록 설계된 네트워크 침입 탐지와 침입 방지 시스템을 논의한다.
2부에서 다루는 내용은 다음과 같다.
4장, ‘패킷 분석’: 프로토콜과 패킷과 플로우, 분할 분석하는 방법의 연구를 다룬다.
5장, ‘통계적 플로우 분석’: 점점 더 중요해지는 통계적 플로우 기록 수집과, 축적, 분석을 설명한다.
6장, ‘무선: 플러그가 뽑힌 네트워크 포렌식’: IEEE 802.11 프로토콜 시리즈에 초점을 맞춘 무선 네트워크 증거 수집과 분석을 논의한다.
7장, ‘네트워크 침입 탐지와 분석’: 보안 경보와 증거를 발생하도록 설계된 네트워크 침입 방지와 탐지 시스템을 재조명한다.
3부, ‘네트워크 장비와 서버’는 다양한 종류의 네트워크 장비의 증거 수집과 분석을 다룬다. 우선 상이한 타입의 로깅 아키텍처와 관련된 난관과 혜택을 포함한 이벤트 로그 수집과 검사를 논의한다. 다음으로 네트워크의 백본을 이루는 스위치와 라우터, 방화벽의 포렌식 조사를 설명한다. 그리고 웹 프록시가 보편화되고, 때로는 중요한 증거를 제공하기 때문에, 웹 프록시 증거 수집과 분석을 세부적으로 다룬다.
3부에서 다루는 내용은 다음과 같다.
8장, ‘이벤트 로그 통합, 상관 관계, 분석’: 서버 운영체제부터 워크스테이션(윈도우, 리눅스, 유닉스), 애플리케이션, 네트워크 장비와 물리 장비를 포함하는 다양한 소스의 로그 수집과 분석을 논의한다.
9장, ‘스위치와 라우터, 방화벽’: 다양한 타입의 네트워크 장비에서 얻어지는 증거와 가용한 인터페이스와 휘발성 정도에 따라 달라지는 증거 수집 전략을 연구한다.
10장, ‘웹 프록시’: 웹 프록시의 폭발적인 증가와 웹 서핑 기록, 캐시된 웹 오브젝트 복사본을 수집하기 위해 조사관이 이 장비를 사용하는 방법을 검토한다.
4부, ‘고급 주제’는 네트워크 포렌식에서 가장 매력적인 두 주제인 ‘네트워크 터널링과 악성 코드’를 포함한다. 우리는 합법적이고 은밀한 네트워크 터널과 다양한 타입의 터널을 다루는 조사 전략을 논의한다. 마지막으로 커맨드 앤 컨트롤 채널과 봇넷, IDS/IPS 회피, 고도화된 지속적 위협(APT)을 포함하는 악성코드의 역사와 포렌식 분석에 미치는 영향을 돌아본다.
4부에서 다루는 내용은 다음과 같다.
11장, ‘네트워크 터널링’: 합법적이고 은밀한 네트워크 터널과 터널을 인지하는 방법, 터널링된 트래픽으로부터 증거를 복구하는 전략을 논의한다.
12장, ‘악성코드 포렌식’: 커맨드 앤 컨트롤 채널과 봇넷, IDS/IPS 회피, 고도화된 지속적 위협을 포함하는 악성코드 발전 역사를 축약한다. 또한 악성코드가 어떻게 변화했고 포렌식 조사에 의해 변경되었는지 논의한다.
이 책에서 다루는 내용
■ 증거 처리와 네트워킹, 증거 수집의 기본 개념
■ 조사관이 네트워크 트래픽을 분석할 수 있는 다양한 방법 설명
■ 다양한 종류의 네트워크 장비의 증거 수집과 분석
■ 네트워크 침입 탐지와 침입 방지 시스템
■ 네트워크의 백본을 이루는 스위치와 라우터, 방화벽의 포렌식 조사
■ 웹 프록시 증거 수집과 분석
■ 합법적이고 은밀한 네트워크 터널과 다양한 타입의 터널을 다루는 조사 전략
■ 악성코드의 역사와 포렌식 분석에 미치는 영향
[이 책의 대상 독자]
이 책은 다양한 독자가 접근할 수 있고, 네트워크 포렌식의 기본 원칙과 기술을 가르쳐주도록 설계되었다. 동일한 결과를 얻을 수 있는 상용이며 쉽게 클릭하여 실행할 수 있는 도구도 많으며, 그중 일부를 이 책에서 가볍게 다룬다. 그러나 기본적으로 자유롭게 접근할 수 있고 기본적인 기술을 설명하는 데 이용되는 도구에 초점을 맞춘다. 그리하여, 포렌식 도구가 로우 레벨에서 어떻게 작동하고, 자동화 도구를 통해 얻어진 결과물을 검증하며 조사를 위한 도구를 선택할 때 지식을 통한 선택을 하는지 이해하게 한다.
이 책의 구성
1부, ‘기초’는 증거 처리와 네트워킹, 증거 수집의 기본 개념을 다룬다. 이는 이 책의 후반부에 설명될 고급 주제에 대한 기초 지식을 다지게 한다. 이 내용 이외에, 독자들에게 TCP/IP 네트워킹을 숙지하기를 권장한다. 리차드 스티븐스(W. Richard Stevens)가 집필한 『TCP/IP Illustrated』는 참고서로 추천하는 책이다.
1부에서 다루는 내용은 다음과 같다.
1장, ‘실용적인 조사 전략’: 네트워크 포렌식 조사관에게 마주친 수많은 난관을 보여주고, 디지털 증거의 주요 개념을 소개하며, 네트워크 기반 조사에 접근하는 방법론을 제시한다.
2장, ‘기술적 원리’: 일반적인 네트워크 구성 요소와 포렌식 조사관에게 있어서의 의미에 대한 기술적인 개요를 제공하고, 네트워크 포렌식 조사에서 프로토콜과 OSI 모델의 개념을 설명한다.
3장, ‘증거 수집’: 하드웨어, 소프트웨어를 이용한 트래픽 스니핑과 네트워크 장비로부터 능동적으로 증거를 수집하는 전략을 포함한 수동적과 능동적인 증거 수집을 알아본다.
2부, ‘트래픽 분석’은 조사관이 네트워크 트래픽을 분석할 수 있는 다양한 방법을 논의한다. 우선 프로토콜 헤더 검사와 페이로드 추출과 재조합을 포함하는 패킷 분석부터 시작한다. 그리고 플로우 기록 데이터 잔류의 개념이 익숙해지고 있기 때문에, 통계적 플로우 기록 분석에 한 장을 할애한다. 그러고 나서 무선 네트워크와 802.11 프로토콜 시리즈를 심층 분석한다. 마지막으로, 트래픽을 실시간으로 분석하고, 경보를 발생하며, 상황에 따라 패킷을 캡처하도록 설계된 네트워크 침입 탐지와 침입 방지 시스템을 논의한다.
2부에서 다루는 내용은 다음과 같다.
4장, ‘패킷 분석’: 프로토콜과 패킷과 플로우, 분할 분석하는 방법의 연구를 다룬다.
5장, ‘통계적 플로우 분석’: 점점 더 중요해지는 통계적 플로우 기록 수집과, 축적, 분석을 설명한다.
6장, ‘무선: 플러그가 뽑힌 네트워크 포렌식’: IEEE 802.11 프로토콜 시리즈에 초점을 맞춘 무선 네트워크 증거 수집과 분석을 논의한다.
7장, ‘네트워크 침입 탐지와 분석’: 보안 경보와 증거를 발생하도록 설계된 네트워크 침입 방지와 탐지 시스템을 재조명한다.
3부, ‘네트워크 장비와 서버’는 다양한 종류의 네트워크 장비의 증거 수집과 분석을 다룬다. 우선 상이한 타입의 로깅 아키텍처와 관련된 난관과 혜택을 포함한 이벤트 로그 수집과 검사를 논의한다. 다음으로 네트워크의 백본을 이루는 스위치와 라우터, 방화벽의 포렌식 조사를 설명한다. 그리고 웹 프록시가 보편화되고, 때로는 중요한 증거를 제공하기 때문에, 웹 프록시 증거 수집과 분석을 세부적으로 다룬다.
3부에서 다루는 내용은 다음과 같다.
8장, ‘이벤트 로그 통합, 상관 관계, 분석’: 서버 운영체제부터 워크스테이션(윈도우, 리눅스, 유닉스), 애플리케이션, 네트워크 장비와 물리 장비를 포함하는 다양한 소스의 로그 수집과 분석을 논의한다.
9장, ‘스위치와 라우터, 방화벽’: 다양한 타입의 네트워크 장비에서 얻어지는 증거와 가용한 인터페이스와 휘발성 정도에 따라 달라지는 증거 수집 전략을 연구한다.
10장, ‘웹 프록시’: 웹 프록시의 폭발적인 증가와 웹 서핑 기록, 캐시된 웹 오브젝트 복사본을 수집하기 위해 조사관이 이 장비를 사용하는 방법을 검토한다.
4부, ‘고급 주제’는 네트워크 포렌식에서 가장 매력적인 두 주제인 ‘네트워크 터널링과 악성 코드’를 포함한다. 우리는 합법적이고 은밀한 네트워크 터널과 다양한 타입의 터널을 다루는 조사 전략을 논의한다. 마지막으로 커맨드 앤 컨트롤 채널과 봇넷, IDS/IPS 회피, 고도화된 지속적 위협(APT)을 포함하는 악성코드의 역사와 포렌식 분석에 미치는 영향을 돌아본다.
4부에서 다루는 내용은 다음과 같다.
11장, ‘네트워크 터널링’: 합법적이고 은밀한 네트워크 터널과 터널을 인지하는 방법, 터널링된 트래픽으로부터 증거를 복구하는 전략을 논의한다.
12장, ‘악성코드 포렌식’: 커맨드 앤 컨트롤 채널과 봇넷, IDS/IPS 회피, 고도화된 지속적 위협을 포함하는 악성코드 발전 역사를 축약한다. 또한 악성코드가 어떻게 변화했고 포렌식 조사에 의해 변경되었는지 논의한다.
[알라딘에서 제공한 정보입니다.]
목차정보
1부 기초
1장 실용적인 조사 전략
1.1 실제 사례
1.1.1 사라진 병원 노트북
1.1.2 기업 해적 잡기
1.1.3 해킹된 정부 서버
1.2 흔적
1.3 디지털 증거상 개념
1.3.1 실제 증거
1.3.2 최고 증거
1.3.3 직접 증거
1.3.4 정황 증거
1.3.5 전문 증거
1.3.6 업무 기록
1.3.7 디지털 증거
1.3.8 네트워크 기반 디지털 증거
1.4 네트워크 증거에 관한 과제
1.5 네트워크 포렌식 조사 방법론
1.5.1 정보 수집
1.5.2 전략 수립
1.5.3 증거 수집
1.5.4 분석
1.5.5 보고서
1.6 결론
2장 기술적 원리
2.1 네트워크 기반 증거의 출처
2.1.1 와이어 위
2.1.2 공중
2.1.3 스위치
2.1.4 라우터
2.1.5 DHCP 서버
2.1.6 네임 서버
2.1.7 인증 서버
2.1.8 네트워크 침임 탐지 시스템과 침입 방지 시스템
2.1.9 방화벽
2.1.10 웹 프록시
2.1.11 애플리케이션 서버
2.1.12 중앙 로그 서버
2.2 인터 네트워킹의 원리
2.2.1 프로토콜
2.2.2 OSI 모델
2.2.3 예제: 전 세계
2.3 인터넷 프로토콜 스위트
2.3.1 인터넷 프로토콜 스위트의 초기 역사 및 개발
2.3.2 인터넷 프로토콜
2.3.3 TCP
2.3.4 UDP
2.4 결론
3장 증거 수집
3.1 물리적 감청
3.1.1 케이블
3.1.2 라디오 주파수
3.1.3 허브
3.1.4 스위치
3.2 트래픽 수집 소프트웨어
3.2.1 libpcap과 WinPcap
3.2.2 BPF 언어
3.2.3 tcpdump
3.2.4 와이어샤크
3.2.5 티샤크
3.2.6 dumpcap
3.3 액티브 수집
3.3.1 보편적인 인터페이스
3.3.2 접근하지 않고 조사
3.3.3 전략
3.4 결론
2부 트래픽 분석
4장 패킷 분석
4.1 프로토콜 분석
4.1.1 프로토콜 정보 획득 장소
4.1.2 프로토콜 분석 도구
4.1.3 프로토콜 분석 기법
4.2 패킷 분석
4.2.1 패킷 분석 도구
4.2.2 패킷 분석 기법
4.3 흐름 분석
4.3.1 흐름 분석 도구
4.3.2 흐름 분석 기법
4.4 상위 계층 트래픽 분석
4.4.1 다양한 상위 계층 프로토콜
4.4.2 상위 계층 분석 도구
4.4.3 상위 계층 분석 기법
4.5 결론
4.6 앤의 랑데뷰
4.6.1 분석: 프로토콜 요약
4.6.2 DHCP 트래픽
4.6.3 키워드 검색
4.6.4 SMTP 분석: 와이어샤크
4.6.5 SMTP 분석: TCPFlow
4.6.6 SMTP 분석: 첨부 파일 카빙
4.6.7 첨부 파일 보기
4.6.8 앤을 찾는 좀 더 쉬운 방법
4.6.9 타임라인
4.6.10 사건 발생 가설
4.6.11 도전 과제의 해답
4.6.12 다음 단계
5장 통계적 플로우 분석
5.1 프로세스 개요
5.2 센서
5.2.1 센서 타입
5.2.2 센서 소프트웨어
5.2.3 센서 위치
5.2.4 환경 수정
5.3 플로우 기록 내보내기 프로토콜
5.3.1 넷플로우
5.3.2 IPFIX
5.3.3 sFlow
5.4 수집과 통합
5.4.1 컬렉터 위치와 아키텍처
5.4.2 컬렉션 시스템
5.5 분석
5.5.1 플로우 기록 분석 기법
5.5.2 플로우 기록 분석 도구
5.6 결론
5.7 사례 분석: 이상한 Mr. X
5.7.1 분석: 1단계
5.7.2 외부 공격자와 포트 22번 트래픽
5.7.3 DMZ 피해자: 10.30.30.20(172.30.1.231)
5.7.4 내부 피해자: 192.30.1.101
5.7.5 타임라인
5.7.6 사건의 견해
5.7.7 도전 과제에 대한 답변
5.7.8 다음 단계
6장 무선: 플러그가 뽑힌 네트워크 포렌식
6.1 IEEE 2계층 프로토콜 시리즈
6.1.1 2계층 프로토콜이 많은 이유
6.1.2 802.11 프로토콜 제품군
6.1.3 802.1X
6.2 무선 접근 지점
6.2.1 WAP를 조사해야 하는 이유
6.2.2 WAP의 유형
6.2.3 WAP 증거
6.3 무선 트래픽 캡처와 분석
6.3.1 스펙트럼 분석
6.3.2 수동으로 무선 증거 획득
6.3.3 효과적으로 802.11 분석
6.4 일반적인 공격
6.4.1 스니핑
6.4.2 불법 WAP
6.4.3 에빌 트윈
6.4.4 WEP 크래킹
6.5 무선 장비 위치
6.5.1 지점 디스크립터 수집
6.5.2 근처에 있는 WAP 식별
6.5.3 신호 강도
6.5.4 상용 기업용 도구
6.5.5 스카이훅
6.6 결론
6.7 사례 분석: 나를 해킹하라
6.7.1 WAP 조사
6.7.2 빠르고 간편한 통계
6.7.3 관리 프레임에 대해 자세한 조사
6.7.4 가능성이 높은 악성 행위자
6.7.5 타임라인
6.7.6 사례의 이론
6.7.7 도전적인 질문에 대응
6.7.8 추가 조사
7장 네트워크 침입 탐지와 분석
7.1 NIDS/NIPS를 조사하는 이유
7.2 일반적인 NIDS/NIPS 기능
7.2.1 스니핑
7.2.2 상위 계층 프로토콜 인식
7.2.3 의심스런 비트에 대한 경고
7.3 탐지 모드
7.3.1 시그니처 기반 분석
7.3.2 프로토콜 인식
7.3.3 행위 기반 분석
7.4 NIDS/NIPS 종류
7.4.1 상업적 NIDS/NIPS
7.4.1 직접 만드는 NIDS/NIPS
7.5 NIDS/NIPS 증거 획득
7.5.1 증거의 종류
7.5.2 NIDS/NIPS 인터페이스
7.6 종합적인 패킷 로깅
7.6.1 사용 가능한 증거
7.7 스노트
7.7.1 기본 아키텍처
7.7.2 설정
7.7.3 스노트 규칙 언어
7.7.4 예제
7.8 결론
7.9 사례 분석 파트 1: 인터옵틱, 환경을 지키다
7.9.1 분석: 스노트 경고
7.9.2 초기 패킷 분석
7.9.3 스노트 규칙 분석
7.9.4 스노트가 캡처한 패킷에서 의심스러운 파일 추출
7.9.5 INFO 웹 버그 경고
7.9.6 TCP 윈도우 크기 옵션 경고
7.9.7 타임라인
7.9.8 사건의 이론
7.9.9 다음 단계
3부 네트워크 장비와 서버
8장 이벤트 로그 통합과 상관 관계, 분석
8.1 로그의 종류
8.1.1 운영체제 로그
8.1.2 애플리케이션 로그
8.1.3 물리적 장비 로그
8.1.4 네트워크 장비 로그
8.2 네트워크 로그 아키텍처
8.2.1 세 가지 타입의 로깅 아키텍처
8.2.2 원격 로깅: 자주 빠지는 함정과 전략
8.2.3 로그 통합과 분석 툴
8.3 증거 수집과 분석
8.3.1 정보 수집
8.3.2 전략세우기
8.3.3 증거 수집
8.3.4 분석
8.3.5 보고서 작성
8.4 결론
8.5 사례 연구: L0ne Sh4sk의 복수
8.5.1 분석: 첫 번째 단계
8.5.2 실패한 로그인 시도의 시각화
8.5.3 목표 계정
8.5.4 성공한 로그인
8.5.5 이어지는 침해 행위
8.5.6 방화벽 로그
8.5.7 내부 피해 시스템: 192.30.1.101
8.5.8 타임라인
8.5.9 케이스에 대한 분석 의견
8.5.10 미션에 대한 답
8.5.11 다음 단계
9장 스위치와 라우터, 방화벽
9.1 저장 매체
9.2 스위치
9.2.1 스위치를 조사해야 하는 이유
9.2.2 콘텐츠 주소 지정 메모리 테이블
9.2.3 ARP
9.2.4 스위치 종류
9.2.5 스위치 증거
9.3 라우터
9.3.1 라우터를 조사해야 하는 이유
9.3.2 라우터의 종류
9.3.3 라우터 증거
9.4 방화벽
9.4.1 방화벽을 조사해야 하는 이유
9.4.2 방화벽의 종류
9.4.3 방화벽 증거
9.5 인터페이스
9.5.1 웹 인터페이스
9.5.2 CLI
9.5.3 원격 커맨드라인 인터페이스
9.5.4 SNMP
9.5.5 관리 인터페이스
9.6 로깅
9.6.1 로컬 로깅
9.6.2 간단한 네트워크 관리 프로토콜
9.6.3 syslog
9.6.4 인증, 권한 부여, 계정 로깅
9.7 결론
9.8 사례 분석: 앤의 커피 케이크
9.8.1 방화벽 진단 명령
9.8.2 DHCP 서버 로그
9.8.3 방화벽 ACL
9.8.4 방화벽 로그 분석
9.8.5 타임라인
9.8.6 사건의 이론
9.8.7 문제가 되는 질문에 대한 답변
9.8.8 다음 단계
10장 웹 프록시
10.1 왜 웹 프록시를 조사해야 하는가?
10.2 웹 프록시 기능
10.2.1 캐싱
10.2.2 URI 필터링
10.2.3 콘텐츠 필터링
10.2.4 분산 캐싱
10.3 증거
10.3.1 증거의 종류
10.3.2 증거 수집
10.4 스퀴드
10.4.1 스퀴드 환경 설정
10.4.2 스퀴드 액세스 로그 파일
10.4.3 스퀴드 캐시
10.5 웹 프록시 분석
10.5.1 웹 프록시 로그 분석 툴
10.5.2 예제: 스퀴드 디스크 캐시 분석
10.6 암호화된 트래픽
10.6.1 전송 계층 보안
10.6.2 암호화된 콘텐츠에 접근
10.6.3 상용 TLS/SSL 인터셉션 툴
10.7 결론
10.8 사례 분석: 파트 2, 인터옵틱 Saves the Planet
10.8.1 분석: pwny.jpg
10.8.2 스퀴드 캐시 페이지 추출
10.8.3 스퀴드 Access.log 파일
10.8.4 스퀴드 캐시 상세 분석
10.8.5 타임라인
10.8.6 케이스에 대한 분석 의견
10.8.7 미션에 대한 답
10.8.8 다음 단계
4부 고급 주제
11장 네트워크 터널링
11.1 기능에 대한 터널링
11.1.1 배경: VLAN 트렁킹
11.1.2 ISL
11.1.3 GRE
11.1.4 IPv4보다 위인 IPv6을 갖춘 테레도
11.1.5 조사에 대한 영향
11.2 기밀성을 위한 터널링
11.2.1 IPsec
11.2.2 TLS와 SSL
11.2.3 조사에 대한 결과
11.3 터널링 변환
11.3.1 터널링 변환 전략
11.3.2 TCP 시퀀스 넘버
11.3.3 DNS 터널
11.3.4 ICMP 터널
11.3.5 ICMP 터널 분석의 예
11.3.6 조사관에게 미치는 영향
11.4 결론
11.5 사례 연구: 앤의 지하 터널
11.5.1 분석: 프로토콜 통계
11.5.2 DNS 분석
11.5.3 터널링 IP 패킷에 대한 탐색
11.5.4 터널링된 IP 패킷 분석
11.5.5 터널링 TCP 세그먼트 분석
11.5.6 타임라인
11.5.7 사건의 이론
11.5.8 질문에 대한 대답
11.5.9 다음 단계
12장 악성코드 포렌식
12.1 악성코드 진화 동향
12.1.1 봇넷
12.1.2 암호화와 난독화
12.1.3 분산 시스템
12.1.4 자동 업데이트
12.1.5 변화하는 네트워크 행동
12.1.6 네트워크 활동 혼합
12.1.7 패스트 플럭스 DNS
12.1.8 고도화된 지속적 위협
12.2 악성코드의 네트워크 행위
12.2.1 확산
12.2.2 Command-and-Control 통신
12.2.3 페이로드 행위
12.3 악성코드와 네트워크 포렌식의 미래
12.4 사례 분석: 앤의 오로라
12.4.1 분석: 침입 탐지
12.4.2 TCP 대화: 10.10.10.10:4444~10.10.10.70:1036
12.4.3 TCP 대화: 10.10.10.10:4445
12.4.4 TCP 대화: 10.10.10.10:8080-10.10.10.70:1035
12.4.5 타임라인
12.4.6 케이스에 대한 분석 의견
12.4.7 미션에 대한 답
12.4.8 다음 단계
마치면서
1장 실용적인 조사 전략
1.1 실제 사례
1.1.1 사라진 병원 노트북
1.1.2 기업 해적 잡기
1.1.3 해킹된 정부 서버
1.2 흔적
1.3 디지털 증거상 개념
1.3.1 실제 증거
1.3.2 최고 증거
1.3.3 직접 증거
1.3.4 정황 증거
1.3.5 전문 증거
1.3.6 업무 기록
1.3.7 디지털 증거
1.3.8 네트워크 기반 디지털 증거
1.4 네트워크 증거에 관한 과제
1.5 네트워크 포렌식 조사 방법론
1.5.1 정보 수집
1.5.2 전략 수립
1.5.3 증거 수집
1.5.4 분석
1.5.5 보고서
1.6 결론
2장 기술적 원리
2.1 네트워크 기반 증거의 출처
2.1.1 와이어 위
2.1.2 공중
2.1.3 스위치
2.1.4 라우터
2.1.5 DHCP 서버
2.1.6 네임 서버
2.1.7 인증 서버
2.1.8 네트워크 침임 탐지 시스템과 침입 방지 시스템
2.1.9 방화벽
2.1.10 웹 프록시
2.1.11 애플리케이션 서버
2.1.12 중앙 로그 서버
2.2 인터 네트워킹의 원리
2.2.1 프로토콜
2.2.2 OSI 모델
2.2.3 예제: 전 세계
2.3 인터넷 프로토콜 스위트
2.3.1 인터넷 프로토콜 스위트의 초기 역사 및 개발
2.3.2 인터넷 프로토콜
2.3.3 TCP
2.3.4 UDP
2.4 결론
3장 증거 수집
3.1 물리적 감청
3.1.1 케이블
3.1.2 라디오 주파수
3.1.3 허브
3.1.4 스위치
3.2 트래픽 수집 소프트웨어
3.2.1 libpcap과 WinPcap
3.2.2 BPF 언어
3.2.3 tcpdump
3.2.4 와이어샤크
3.2.5 티샤크
3.2.6 dumpcap
3.3 액티브 수집
3.3.1 보편적인 인터페이스
3.3.2 접근하지 않고 조사
3.3.3 전략
3.4 결론
2부 트래픽 분석
4장 패킷 분석
4.1 프로토콜 분석
4.1.1 프로토콜 정보 획득 장소
4.1.2 프로토콜 분석 도구
4.1.3 프로토콜 분석 기법
4.2 패킷 분석
4.2.1 패킷 분석 도구
4.2.2 패킷 분석 기법
4.3 흐름 분석
4.3.1 흐름 분석 도구
4.3.2 흐름 분석 기법
4.4 상위 계층 트래픽 분석
4.4.1 다양한 상위 계층 프로토콜
4.4.2 상위 계층 분석 도구
4.4.3 상위 계층 분석 기법
4.5 결론
4.6 앤의 랑데뷰
4.6.1 분석: 프로토콜 요약
4.6.2 DHCP 트래픽
4.6.3 키워드 검색
4.6.4 SMTP 분석: 와이어샤크
4.6.5 SMTP 분석: TCPFlow
4.6.6 SMTP 분석: 첨부 파일 카빙
4.6.7 첨부 파일 보기
4.6.8 앤을 찾는 좀 더 쉬운 방법
4.6.9 타임라인
4.6.10 사건 발생 가설
4.6.11 도전 과제의 해답
4.6.12 다음 단계
5장 통계적 플로우 분석
5.1 프로세스 개요
5.2 센서
5.2.1 센서 타입
5.2.2 센서 소프트웨어
5.2.3 센서 위치
5.2.4 환경 수정
5.3 플로우 기록 내보내기 프로토콜
5.3.1 넷플로우
5.3.2 IPFIX
5.3.3 sFlow
5.4 수집과 통합
5.4.1 컬렉터 위치와 아키텍처
5.4.2 컬렉션 시스템
5.5 분석
5.5.1 플로우 기록 분석 기법
5.5.2 플로우 기록 분석 도구
5.6 결론
5.7 사례 분석: 이상한 Mr. X
5.7.1 분석: 1단계
5.7.2 외부 공격자와 포트 22번 트래픽
5.7.3 DMZ 피해자: 10.30.30.20(172.30.1.231)
5.7.4 내부 피해자: 192.30.1.101
5.7.5 타임라인
5.7.6 사건의 견해
5.7.7 도전 과제에 대한 답변
5.7.8 다음 단계
6장 무선: 플러그가 뽑힌 네트워크 포렌식
6.1 IEEE 2계층 프로토콜 시리즈
6.1.1 2계층 프로토콜이 많은 이유
6.1.2 802.11 프로토콜 제품군
6.1.3 802.1X
6.2 무선 접근 지점
6.2.1 WAP를 조사해야 하는 이유
6.2.2 WAP의 유형
6.2.3 WAP 증거
6.3 무선 트래픽 캡처와 분석
6.3.1 스펙트럼 분석
6.3.2 수동으로 무선 증거 획득
6.3.3 효과적으로 802.11 분석
6.4 일반적인 공격
6.4.1 스니핑
6.4.2 불법 WAP
6.4.3 에빌 트윈
6.4.4 WEP 크래킹
6.5 무선 장비 위치
6.5.1 지점 디스크립터 수집
6.5.2 근처에 있는 WAP 식별
6.5.3 신호 강도
6.5.4 상용 기업용 도구
6.5.5 스카이훅
6.6 결론
6.7 사례 분석: 나를 해킹하라
6.7.1 WAP 조사
6.7.2 빠르고 간편한 통계
6.7.3 관리 프레임에 대해 자세한 조사
6.7.4 가능성이 높은 악성 행위자
6.7.5 타임라인
6.7.6 사례의 이론
6.7.7 도전적인 질문에 대응
6.7.8 추가 조사
7장 네트워크 침입 탐지와 분석
7.1 NIDS/NIPS를 조사하는 이유
7.2 일반적인 NIDS/NIPS 기능
7.2.1 스니핑
7.2.2 상위 계층 프로토콜 인식
7.2.3 의심스런 비트에 대한 경고
7.3 탐지 모드
7.3.1 시그니처 기반 분석
7.3.2 프로토콜 인식
7.3.3 행위 기반 분석
7.4 NIDS/NIPS 종류
7.4.1 상업적 NIDS/NIPS
7.4.1 직접 만드는 NIDS/NIPS
7.5 NIDS/NIPS 증거 획득
7.5.1 증거의 종류
7.5.2 NIDS/NIPS 인터페이스
7.6 종합적인 패킷 로깅
7.6.1 사용 가능한 증거
7.7 스노트
7.7.1 기본 아키텍처
7.7.2 설정
7.7.3 스노트 규칙 언어
7.7.4 예제
7.8 결론
7.9 사례 분석 파트 1: 인터옵틱, 환경을 지키다
7.9.1 분석: 스노트 경고
7.9.2 초기 패킷 분석
7.9.3 스노트 규칙 분석
7.9.4 스노트가 캡처한 패킷에서 의심스러운 파일 추출
7.9.5 INFO 웹 버그 경고
7.9.6 TCP 윈도우 크기 옵션 경고
7.9.7 타임라인
7.9.8 사건의 이론
7.9.9 다음 단계
3부 네트워크 장비와 서버
8장 이벤트 로그 통합과 상관 관계, 분석
8.1 로그의 종류
8.1.1 운영체제 로그
8.1.2 애플리케이션 로그
8.1.3 물리적 장비 로그
8.1.4 네트워크 장비 로그
8.2 네트워크 로그 아키텍처
8.2.1 세 가지 타입의 로깅 아키텍처
8.2.2 원격 로깅: 자주 빠지는 함정과 전략
8.2.3 로그 통합과 분석 툴
8.3 증거 수집과 분석
8.3.1 정보 수집
8.3.2 전략세우기
8.3.3 증거 수집
8.3.4 분석
8.3.5 보고서 작성
8.4 결론
8.5 사례 연구: L0ne Sh4sk의 복수
8.5.1 분석: 첫 번째 단계
8.5.2 실패한 로그인 시도의 시각화
8.5.3 목표 계정
8.5.4 성공한 로그인
8.5.5 이어지는 침해 행위
8.5.6 방화벽 로그
8.5.7 내부 피해 시스템: 192.30.1.101
8.5.8 타임라인
8.5.9 케이스에 대한 분석 의견
8.5.10 미션에 대한 답
8.5.11 다음 단계
9장 스위치와 라우터, 방화벽
9.1 저장 매체
9.2 스위치
9.2.1 스위치를 조사해야 하는 이유
9.2.2 콘텐츠 주소 지정 메모리 테이블
9.2.3 ARP
9.2.4 스위치 종류
9.2.5 스위치 증거
9.3 라우터
9.3.1 라우터를 조사해야 하는 이유
9.3.2 라우터의 종류
9.3.3 라우터 증거
9.4 방화벽
9.4.1 방화벽을 조사해야 하는 이유
9.4.2 방화벽의 종류
9.4.3 방화벽 증거
9.5 인터페이스
9.5.1 웹 인터페이스
9.5.2 CLI
9.5.3 원격 커맨드라인 인터페이스
9.5.4 SNMP
9.5.5 관리 인터페이스
9.6 로깅
9.6.1 로컬 로깅
9.6.2 간단한 네트워크 관리 프로토콜
9.6.3 syslog
9.6.4 인증, 권한 부여, 계정 로깅
9.7 결론
9.8 사례 분석: 앤의 커피 케이크
9.8.1 방화벽 진단 명령
9.8.2 DHCP 서버 로그
9.8.3 방화벽 ACL
9.8.4 방화벽 로그 분석
9.8.5 타임라인
9.8.6 사건의 이론
9.8.7 문제가 되는 질문에 대한 답변
9.8.8 다음 단계
10장 웹 프록시
10.1 왜 웹 프록시를 조사해야 하는가?
10.2 웹 프록시 기능
10.2.1 캐싱
10.2.2 URI 필터링
10.2.3 콘텐츠 필터링
10.2.4 분산 캐싱
10.3 증거
10.3.1 증거의 종류
10.3.2 증거 수집
10.4 스퀴드
10.4.1 스퀴드 환경 설정
10.4.2 스퀴드 액세스 로그 파일
10.4.3 스퀴드 캐시
10.5 웹 프록시 분석
10.5.1 웹 프록시 로그 분석 툴
10.5.2 예제: 스퀴드 디스크 캐시 분석
10.6 암호화된 트래픽
10.6.1 전송 계층 보안
10.6.2 암호화된 콘텐츠에 접근
10.6.3 상용 TLS/SSL 인터셉션 툴
10.7 결론
10.8 사례 분석: 파트 2, 인터옵틱 Saves the Planet
10.8.1 분석: pwny.jpg
10.8.2 스퀴드 캐시 페이지 추출
10.8.3 스퀴드 Access.log 파일
10.8.4 스퀴드 캐시 상세 분석
10.8.5 타임라인
10.8.6 케이스에 대한 분석 의견
10.8.7 미션에 대한 답
10.8.8 다음 단계
4부 고급 주제
11장 네트워크 터널링
11.1 기능에 대한 터널링
11.1.1 배경: VLAN 트렁킹
11.1.2 ISL
11.1.3 GRE
11.1.4 IPv4보다 위인 IPv6을 갖춘 테레도
11.1.5 조사에 대한 영향
11.2 기밀성을 위한 터널링
11.2.1 IPsec
11.2.2 TLS와 SSL
11.2.3 조사에 대한 결과
11.3 터널링 변환
11.3.1 터널링 변환 전략
11.3.2 TCP 시퀀스 넘버
11.3.3 DNS 터널
11.3.4 ICMP 터널
11.3.5 ICMP 터널 분석의 예
11.3.6 조사관에게 미치는 영향
11.4 결론
11.5 사례 연구: 앤의 지하 터널
11.5.1 분석: 프로토콜 통계
11.5.2 DNS 분석
11.5.3 터널링 IP 패킷에 대한 탐색
11.5.4 터널링된 IP 패킷 분석
11.5.5 터널링 TCP 세그먼트 분석
11.5.6 타임라인
11.5.7 사건의 이론
11.5.8 질문에 대한 대답
11.5.9 다음 단계
12장 악성코드 포렌식
12.1 악성코드 진화 동향
12.1.1 봇넷
12.1.2 암호화와 난독화
12.1.3 분산 시스템
12.1.4 자동 업데이트
12.1.5 변화하는 네트워크 행동
12.1.6 네트워크 활동 혼합
12.1.7 패스트 플럭스 DNS
12.1.8 고도화된 지속적 위협
12.2 악성코드의 네트워크 행위
12.2.1 확산
12.2.2 Command-and-Control 통신
12.2.3 페이로드 행위
12.3 악성코드와 네트워크 포렌식의 미래
12.4 사례 분석: 앤의 오로라
12.4.1 분석: 침입 탐지
12.4.2 TCP 대화: 10.10.10.10:4444~10.10.10.70:1036
12.4.3 TCP 대화: 10.10.10.10:4445
12.4.4 TCP 대화: 10.10.10.10:8080-10.10.10.70:1035
12.4.5 타임라인
12.4.6 케이스에 대한 분석 의견
12.4.7 미션에 대한 답
12.4.8 다음 단계
마치면서
[알라딘에서 제공한 정보입니다.]