(개정판) 와이어샤크 네트워크 완전 분석 [공인 Wireshark® 네트워크 분석 스터디 가이드]
- 원서명Wireshark Network Analysis (Second Edition): The Official Wireshark Certified Network Analyst Study Guide
- 지은이로라 채플
- 옮긴이이재광, 전태일
- ISBN : 9788960775923
- 50,000원
- 2014년 08월 22일 펴냄
- 페이퍼백 | 1,084쪽 | 188*250mm
- 시리즈 : 네트워크 프로그래밍, 해킹과 보안
책 소개
요약
와이어샤크(Wireshark)는 지난 10여 년간 산업계와 교육기관에서 가장 많이 사용하는 사실상의 표준이다. 이 책은 IT 전문가들이 트러블슈팅, 보안과 네트워크 최적화를 위해 사용하는 필수 도구인 와이어샤크를 설명한 책 중 최고의 지침서다. 이 책의 저자인 로라 채플(Laura Chappell)은 HTCIA와 IEEE의 회원으로, 1996년부터 네트워크와 보안 관련 책을 10여 권 이상 집필한 유명한 IT 교육 전문가이자 네트워크 분석 전문가다.
이 책에서 다루는 내용
『(개정판) 와이어샤크 네트워크 완전 분석』은 네트워크 분석, 트러블슈팅, 최적화와 보안에 대한 주요 기술의 탄탄한 기초를 제공한다. 이 책에서는 패킷 레벨 통신을 배우고자 하는 마음과, 좀 더 효과적으로 분석해 문제점을 해결하고, 안전한 네트워크를 만드는 데 필요한 기술을 습득할 수 있을 것이다.
이 책의 대상 독자
- 높은 경로 지연 시간으로 인한 취약한 네트워크 성능 파악
- 패킷을 누락시키는 네트워크 연결 장치의 위치 검색
- 네트워크 호스트의 최적 설정 검증
- 애플리케이션 기능과 종속성 분석
- 최상의 성능을 위한 애플리케이션 동작 최적화
- TCP/IP 네트워크의 작동 원리
- 애플리케이션을 실행하기 전 네트워크 용량 분석
- 실행, 로그인과 데이터 전송 중의 애플리케이션 보안 검증
- 잠재적으로 손상된 호스트로 나타나는 특이한 네트워크 트래픽 식별
- 와이어샤크 인증 네트워크 분석 시험 대비 학습
이 책의 구성
1장, ‘네트워크 분석의 세계’는 네트워크 분석의 주요 사용법을 설명하고, 트러블슈팅, 보안, 네트워크 트래픽 최적화에 사용되는 작업들에 대한 목록을 제공한다. 1장은 새로운 네트워크 분석에서 흔히 일어나는 ‘건초더미에서 바늘 찾기 문제’에 대한 통찰력을 제공한다.
2장, ‘와이어샤크 소개’에서는 와이어샤크의 내부, 와이어샤크 그래픽 인터페이스의 요소와 메인 메뉴(Main Menu), 메인 툴바(Main Toolbar), 필터 툴바(Filter Toolbar), 무선 툴바 (Wireless Toolbar), 상태 바(Status Bar)의 기능을 자세하게 설명한다.
3장부터 13장까지는 많은 예제를 이용해 와이어샤크 기능과 www.wiresharkbook.com에서 사용 가능한 추적 파일을 참조하는 데 중점을 뒀다. 와이어샤크를 처음 사용하는 사람은 이후의 장에서 사용되는 기본적인 기술들을 익히기 위해 이 부분을 중점적으로 공부해야 한다.
14장부터 25장까지는 핵심 프로토콜과 ARP, DNS, IPv4/IPv6, TCP, UDP, ICMPv4/ICMPv6 등의 TCP/IP 애플리케이션을 중점적으로 다뤘다. 트러블슈팅 처리의 한 부분으로 TCP/IP를 식별하거나 해제하는 것은 성능 이슈가 되는 원인을 격리시키고, 보안 구멍의 위치를 찾는 데 도움을 준다. DHCP 기반 환경설정이나 HTTP/HTTPS 세션을 트러블슈팅하는 경우 중점적으로 공부해야 한다.
26장, ‘802.11(WLAN) 분석 소개’는 무선 트래픽 수집 방법, RF(라디오 주파수) 간섭에 의해 야기된 기본 WLAN 문제, WLAN 재시도와 AP(Access Point)유효성을 식별하는 방법을 설명한다. 또한 특정 WLAN 트래픽에 대해 필터링하는 팁을 제공한다. 26장은 WLAN을 소개하는 장으로 WLAN 분석 기술만도 자세히 살펴보려면 500쪽이 넘어갈 것이므로 이 책에서는 깊이 다루지 않는다.
27장, ‘VoIP 분석 소개’는 호출 설정과 음성 트래픽에 대한 개요를 제공한다. 또한 RTP 스트림 분석과 call playback을 포함하는 와이어샤크의 주요 VoIP 분석 기능에 대한 사용법을 설명한다. 27장 역시 소개하는 장으로, VoIP 분석에 대한 완전한 리소스를 제공하지는 않는다(이를 설명하려면 추가로 500쪽 정도는 더 필요할 것이다).
28장, ‘‘정상’ 트래픽 패턴 베이스 라인’과 29장, ‘성능 문제의 가장 큰 원인 찾기’는 네트워크 문제가 발생되기 전에 생성되어야 하는 기준치와 경로에 따른 지연을 표시하는 트래픽 패턴의 예, 결함이 있는 네트워크 간 접속 장비, 잘못 구성된 호스트와 성능에 영향을 끼치는 여러 가지 문제를 상세히 다룬다.
30장부터 32장까지는 ‘네트워크 포렌식 개요’와 보안 위반을 금지하는 네트워크 검색 프로세스의 분석 등 와이어샤크의 보안 애플리케이션에 중점을 둔다.
31장, ‘스캐닝 탐지와 발견 처리’에서는 이런 유형의 트래픽 특징을 분석하는 등 대상에 대한 다양한 스캔을 하기 위해 엔맵(Nmap)을 사용한다. 32장, ‘의심스런 트래픽 분석’에서는 손상된 호스트와 안전하지 않은 애플리케이션 트래픽의 증거를 검사한다.
33장, ‘커맨드라인 도구의 효과적인 사용’에서는 추적 파일 분리, 추적 파일 타임스탬프 변경, 특정 파라미터를 이용해 와이어샤크 GUI 버전 자동 실행, 최소한의 오버헤드로 트래픽 수집, 추적 파일 병합에 사용되는 커맨드라인 도구의 사용법 등을다룬다.
부록 A, ‘참고 웹사이트’에는 출판 당시에 www.wiresharkbook.com에서 사용 가능한 모든 파일의 목록을 담았다(시간이 지남에 따라 추가될 수 있다). 이 부록에서는 각 장의 마지막 절에 ’학습한 내용 복습‘에서 사용하는 추적 파일의 목록도 들어있다.
추천의 글
와이어샤크는 “내 네트워크에 무슨 일이 있지?”라는 질문에 대한 대답을 위해 만든 것이다. 우리 사회가 엄청난 규모의 네트워크에 의존함에 따라 이 질문은 점점 더 중요해져 가고 있다. 우리는 기초적인 수준에서 무슨 일이 일어나고 있는지 모르면 효과적으로 관리, 문제점 해결, 안전한 네트워크 구축을 할 수 없다. 이것이 당신이 프로토콜 분석에 정통해야 하는 중요한 이유다. 다행스럽게도, 이 책이 도움이 될 것이다.
와이어샤크는 네트워크에 정확하게 무슨 일이 일어났는지 찾기 위해 전념하는 사용자, 개발자, 교육자, 회사라는 엄청난 규모의 생태계를 갖고 있다. 모든 네트워킹 분야의 전문가인 이들은 자신의 환경을 좀 더 좋게 만들기 위해 와이어샤크에 대한 코드와 아이디어를 공헌한다. 나는 이들의 재능, 지혜, 기술에 계속해서 놀라고 있다. 로라는 이 생태계의 핵심이다. 그녀는 내가 만난 최고의 강사다. 나는 로라가 가르치는 것을 볼 때마다 가장 난해하고 기술적인 세부 사항들을 쉽게 정확하게 전달하는 능력에 감명을 받았다. 그녀는 프로토콜 분석을 접근하기 쉽게 만드는 특별한 능력이 있다(게다가 재미있기까지 하다).
이 책은 네트워크가 실제적으로 작업하는 방법을 발견하는 기쁨과 흥분을 느끼면서 쉬운 방법으로 패킷 분석을 보여주는 로라의 숙련된 기술을 반영한 책이다. 또한 아주 읽기 쉽고 이해하기 쉽게 만들었다.
와이어샤크의 사용자 공동체에서 중요한 부분을 맡고 있는 절친한 친구인 로라에게 진심으로 감사를 드린다.
- 제럴드 콤즈(Gerald Combs) /와이어샤크 창시자
목차
목차
- 1장 네트워크 분석의 세계
- 네트워크 분석에 대한 정의
- 분석 예제 따라 하기
- 문제점 해결 세션의 예행연습
- 전형적인 보안 시나리오(일명 네트워크 포렌식) 살펴보기
- 네트워크 분석과 관련된 보안 이슈 이해
- ‘건초더미에서 바늘 찾기 문제’ 극복
- 분석 작업 점검표 검토
- 네트워크 트래픽 흐름 이해
- 분석 세션 시작
- 사례 연구: ‘필요 없는 패킷’ 제거
- 사례 연구: ‘안전하게 감춰진’ 네트워크
- 정리
- 학습한 내용 복습
- 연습문제
- 연습문제 답
- 2장 와이어샤크 소개
- 와이어샤크 생성과 유지 보수
- 유/무선 네트워크에서 패킷 수집
- 다양한 유형의 추적 파일 열기
- 와이어샤크가 패킷을 처리하는 방법 이해
- 시작 페이지 사용
- 9개의 GUI 요소 파악
- 와이어샤크의 메인 메뉴
- 메인 툴바의 효과적인 사용
- 필터 툴바를 이용한 빠른 작업
- 무선 툴바 보이게 하기
- 오른쪽 클릭 기능을 통한 옵션 접근
- 와이어샤크 메일링 리스트 가입
- ask.wireshark.org 가입
- 리소스 바로 알기
- 일부 추적 파일 얻기
- 사례 연구: 데이터베이스가 동작하지 않음을 탐지
- 정리
- 학습한 내용 복습
- 연습문제
- 연습문제 답
- 3장 트래픽 수집
- 네트워크를 살펴보는 위치 찾기
- 로컬에서 와이어샤크 실행
- 교환형 네트워크에서 트래픽 수집
- 라우터에 연결된 네트워크 분석
- 무선 네트워크 분석
- 동시에 두 위치에서 수집(이중 수집)
- 오른쪽 수집 인터페이스 선택
- 동시에 여러 어댑터 수집
- 인터페이스 상세 정보(윈도우만 가능)
- 원격으로 트래픽 수집
- 하나 이상 파일에 자동으로 패킷 저장
- 패킷 누락을 피하기 위해 와이어샤크 최적화
- 커맨드라인 수집을 이용한 메모리 절약
- 사례 연구: 이중 수집 포인트 찾아내기
- 사례 연구: 집에서 트래픽 수집하기
- 정리
- 학습한 내용 복습
- 연습문제
- 연습문제 답
- 4장 수집 필터 생성과 적용
- 수집 필터의 목적
- 인터페이스에 대해 수집 필터 적용
- 자신에게 맞는 수집 필터 만들기
- 프로토콜에 의한 필터링
- 들어오는 연결 시도 필터
- MAC/IP 주소나 호스트 이름 수집 필터 생성
- 하나의 애플리케이션 트래픽만 수집
- 수집 필터를 조합하기 위한 연산자 사용
- 바이트 값을 찾기 위한 수집 필터 생성
- 수집 필터 파일을 수동으로 편집
- 다른 사람과 수집 필터 공유
- 사례 연구: Kerberos UDP에서 TCP 이슈
- 정리
- 학습한 내용 복습
- 연습문제
- 연습문제 답
- 5장 전역 및 개인 환경설정
- 환경설정 폴더 찾기
- 전역 및 개인 환경설정
- 사용자 인터페이스 설정 기호에 맞게 변경
- 수집 환경설정 정의
- 자동으로 IP와 MAC 이름 변환
- GeoIP로 세계 지도에 IP 주소 표시
- 포트 번호 변환(전송 이름 변환)
- SNMP 정보 변환
- 필터 표현식 구성
- 통계 설정 구성
- 오른쪽 클릭을 이용한 프로토콜 설정 환경설정
- 사례 연구: 비표준 웹 서버 설정
- 정리
- 학습한 내용 복습
- 연습문제
- 연습문제 답
- 6장 트래픽 컬러링
- 트래픽 유형을 구분하기 위해 컬러 사용
- 하나 이상의 컬러링 규칙 기능 억제
- 컬러링 규칙 공유와 관리
- 패킷이 특정 색상인 이유 확인
- HTTP 오류에 대한 ‘눈에 띄는’ 컬러링 규칙 작성
- 대화를 구분하기 위한 컬러 대화
- 관심 있는 패킷을 일시적으로 마크
- 스트림 재조립 컬러링 변경
- 사례 연구: 로그인 동안 SharePoint 연결 컬러링
- 정리
- 학습한 내용 복습
- 연습문제
- 연습문제 답
- 7장 시간 값 지정과 요약 해석
- 네트워크 문제점을 파악하기 위한 시간 사용
- 시간 영역으로 추적 파일 전송
- 시간 값으로 지연 식별
- 클라이언트 지연, 서버 지연, 경로 지연 식별
- 트래픽률, 패킷 크기, 전송되는 전체 바이트의 요약
- 사례 연구: 시간 칼럼이 지연된 ACK 찾기
- 정리
- 학습한 내용 복습
- 연습문제
- 연습문제 답
- 8장 기본 추적 파일 통계 해석
- 와이어샤크 통계 창 시작
- 네트워크 프로토콜과 애플리케이션 식별
- 네트워크 프로토콜과 애플리케이션 식별
- 가장 활발한 대화 식별
- 종단점 나열과 지도에 표시
- GeoIP로 의심스러운 대상을 발견
- 특정 트래픽 유형에 대한 대화와 종단점 나열
- 패킷 길이 평가
- 트래픽에서 모든 IPv4/IPv6 주소 나열
- 트래픽에서 모든 목적지 나열
- 사용된 모든 UDP와 TCP 포트 나열
- UDP 멀티캐스트 스트림 분석
- 트래픽 흐름 그래프로 작성
- HTTP 통계 수집
- 모든 WLAN 통계 검사
- 사례 연구: VoIP 품질 문제 찾기
- 정리
- 학습한 내용 복습
- 연습문제
- 연습문제 답
- 9장 디스플레이 필터 생성과 적용
- 디스플레이 필터의 목적 이해
- 자동 완성 기능을 이용한 디스플레이 필터 작성
- 저장된 디스플레이 필터 적용
- 필터 지원을 위한 표현식 사용
- 오른쪽 클릭 필터링을 사용해 빨리 디스플레이 필터 생성
- 대화와 종단점에서 필터링
- 프로토콜 계층 창에 대한 필터
- 디스플레이 필터 구문 이해
- 비교 연산자를 이용해 디스플레이 필터 결합
- 괄호를 적용해 디스플레이 필터의 의미 변경
- 필드의 실체 필터링
- 패킷에 있는 특정 바이트 필터링
- 대/소문자로 핵심 단어 찾기
- 흥미로운 정규식 필터
- 와이어샤크 디스플레이 필터의 실수 잡아내기
- 복잡한 필터링을 위한 디스플레이 필터 매크로 사용
- 일반적인 디스플레이 필터 실수 방지
- dfilters 파일을 수동으로 편집
- 사례 연구: 데이터베이스 문제를 해결하기 위해 필터와 그래프 사용
- 사례 연구: 복잡하고 어수선한 브라우저
- 사례 연구: 바이러스와 웜 잡기
- 정리
- 학습한 내용 복습
- 연습문제
- 연습문제 답
- 10장 스트림 추적과 데이터 조립
- 트래픽 조립
- UDP 대화 추적과 조립
- TCP 대화 추적과 재조립
- SSL 대화 추적과 재조립
- SMB 전송 재조립
- 사례 연구: 파악된 알 수 없는 호스트
- 정리
- 학습한 내용 복습
- 연습문제
- 연습문제 답
- 11장 와이어샤크 프로파일 사용지 기호에 맞게 변경
- 프로파일을 이용해 와이어샤크를 사용자 기호에 맞게 변경
- 사례 연구: 고객을 위해 와이어샤크 기호에 맞게 변경
- 정리
- 학습한 내용 복습
- 연습문제
- 연습문제 답
- 12장 패킷 저장, 추출, 인쇄
- 패킷이나 전체 추적 파일에 주석 달기
- 필터링되고 마크되고 범위가 지정된 패킷 저장
- 다른 프로그램에서 사용하기 위해 패킷의 내용 내보내기
- SSL 키 내보내기
- 대화, 종단점, IO 그래프, 흐름 그래프 정보 저장
- 패킷 바이트 내보내기
- 사례 연구: 문제를 분리시키기 위해 트래픽의 일부분 저장
- 정리
- 학습한 내용 복습
- 연습문제
- 연습문제 답
- 13장 와이어샤크의 전문가 시스템 사용
- 와이어샤크의 전문가 정보 가이드
- TCP 전문가 정보 이해
- 사례 연구: 전문가 정보가 원격 접속 골칫거리를 해결하다.
- 정리
- 학습한 내용 복습
- 연습문제
- 연습문제 답
- 14장 TCP/IP 분석 개요
- TCP/IP 기능의 개요
- 패킷 구축
- 사례 연구: 네트워크 책임 회피
- 정리
- 학습한 내용 복습
- 연습문제
- 연습문제 답
- 15장 DNS 트래픽 분석
- DNS의 목적
- 일반적인 DNS 조회/응답 분석
- DNS 문제 분석
- DNS 패킷 구조 분석
- DNS/MDNS 트래픽 필터링
- 사례 연구: DNS가 웹 브라우징 성능을 저하시키다.
- 정리
- 학습한 내용 복습
- 연습문제
- 연습문제 답
- 16장 ARP 트래픽 분석
- ARP의 목적
- 정상적인 ARP 요청/응답 분석
- 쓸모없는 ARP 분석
- ARP 문제 분석
- ARP 패킷 구조 분석
- ARP 트래픽 필터링
- 사례 연구: ARP에 의한 죽음
- 사례 연구: 누락된 ARP 이야기
- 정리
- 학습한 내용 복습
- 연습문제
- 연습문제 답
- 17장 인터넷 프로토콜(IPv4/IPv6) 트래픽 분석
- IP의 목적
- 일반적인 IPv4 트래픽 분석
- IPv4 문제 분석
- IPv4 패킷 구조 분석
- IPv6 트래픽 개요
- IPv6 패킷 구조 분석
- 기본 IPv6 주소
- 추적 파일에서 불필요한 IP 주소 삭제
- IPv4 프로토콜 환경설정
- 암호화된 통신 문제 해결
- IPv4 트래픽 필터링
- IPv6 트래픽 필터링
- 사례 연구: 모두가 라우터를 탓했다.
- 사례 연구: 이것은 네트워크 문제가 아니야!
- 사례 연구: IPv6의 주소 대혼란
- 정리
- 학습한 내용 복습
- 연습문제
- 연습문제 답
- 18장 인터넷 제어 메시지 프로토콜(ICMP4/ICMP6) 트래픽 분석
- ICMP의 목적
- 기본 ICMP 트래픽 분석
- ICMP 문제 분석
- ICMP 패킷 구조 분석
- 기본적인 ICMPv6 기능
- ICMP와 ICMPv6 트래픽 필터링
- 사례 연구: Dead-End 라우터
- 정리
- 학습한 내용 복습
- 연습문제
- 연습문제 답
- 19장 사용자 데이터그램 프로토콜(UDP) 트래픽 분석
- UDP의 목적
- 일반 UDP 트래픽 분석
- UDP 문제 분석
- UDP 패킷 구조 분석
- UDP 트래픽 필터링
- 사례 연구: 시간 동기화 문제 해결
- 정리
- 학습한 내용 복습
- 연습문제
- 연습문제 답
- 20장 전송 제어 프로토콜(TCP) 트래픽 분석
- TCP의 목적
- 일반적인 TCP 통신 분석
- TCP 문제 분석
- TCP 패킷 구조 분석
- TCP 트래픽 필터링
- TCP 프로토콜 환경설정
- 사례 연구: 연결에는 4개의 시도가 필요하다
- 정리
- 학습한 내용 복습
- 연습문제
- 연습문제 답
- 21장 IO 비율과 TCP 트렌드 그래프
- 트렌드를 보기 위한 그래프 사용
- 기본 IO 그래프 생성
- IO 그래프 필터
- 고급 IO 그래프 생성
- IO 그래프에서 트래픽 동향 비교
- 왕복 시간 그래프
- 처리율 그래프
- 시간상의 TCP 순서 번호 그래프
- 사례 연구: 성능 레벨 ‘Drop’ 관찰
- 사례 연구: 회사 사무실 왕복 시간 그래프 만들기
- 사례 연구: QoS 정책 테스트
- 정리
- 학습한 내용 복습
- 연습문제
- 연습문제 답
- 22장 DHCP 트래픽 분석
- DHCP 목적
- 정상적인 DHCP 트래픽 분석
- DHCP 문제점 분석
- DHCP 패킷 구조 분석
- DHCPv6 소개
- BOOTH-DHCP 통계 디스플레이
- DHCP/DHCPv6 트래픽 필터
- 사례 연구: 클라이언트 거절
- 정리
- 학습한 내용 복습
- 연습문제
- 연습문제 해답
- 23장 HTTP 트래픽 분석
- HTTP의 목적
- 정상적인 HTTP 통신 분석
- HTTP 문제점 분석
- HTTP 패킷 구조 분석
- HTTP/HTTPS 트래픽 필터
- HTTP 객체 내보내기
- HTTP 통계 디스플레이
- HTTP 트래픽 흐름 그래픽
- HTTP 환경설정
- HTTPS 통신 분석
- 사례 연구: HTTP 프록시 문제점
- 정리
- 학습한 내용 복습
- 연습문제
- 연습문제 답
- 24장 FTP 트래픽 분석
- FTP의 목적
- 정상적인 FTP 통신 분석
- FTP 문제점 분석
- FTP 패킷 구조 분석
- FTP 트래픽 필터
- FTP 트래픽 재조립
- 사례 연구: 비밀 FTP 통신
- 정리
- 학습한 내용 복습
- 연습 문제
- 연습문제 답
- 25장 Email 트래픽 분석
- POP의 목적
- 정상적인 POP 통신 분석
- POP 문제점 분석
- POP 패킷 구조 분석
- POP 트래픽 필터
- SMTP의 목적
- 정상적인 SMTP 통신 분석
- SMTP 문제점 분석
- SMTP 패킷 구조 분석
- SMTP 트래픽 필터
- 사례 연구: SMTP 문제점(Scan2Email 작업)
- 정리
- 학습한 내용 복습
- 연습문제
- 연습문제 답
- 26장 802.11(WLAN) 분석 소개
- WLAN 트래픽 분석
- 신호 강도와 간섭 분석
- WLAN 트래픽 수집
- 802.11 프레임 구조 분석
- 모든 WLAN 트래픽 필터
- 프레임 제어 유형과 서브 유형 분석
- WLAN 분석을 위한 와이어샤크 사용자 정의
- 사례 연구: 지저분한 바코드 통신
- 사례 연구: WLAN 조작
- 정리
- 학습한 내용 복습
- 연습문제
- 연습문제 답
- 27장 VoIP 분석 소개
- VoIP 트래픽 흐름 이해
- 세션 대역폭과 RTP 포트 정의
- VoIP 문제점 분석
- SIP 트래픽 검사
- RTP 트래픽 검사
- VoIP 대화 재생
- 플레이어 마커 정의
- VoIP 프로파일 생성
- VoIP 트래픽 필터
- 사례 연구: VoIP 톤 손실
- 정리
- 학습한 내용 복습
- 연습문제
- 연습 문제 답
- 28장 ‘정상’ 트래픽 패턴 베이스라인
- 베이스라인의 중요성 이해
- 사례 연구: 로그인 로그 잼
- 사례 연구: SAN 연결 해제 해결
- 정리
- 학습한 내용 복습
- 연습문제
- 연습문제 답
- 29장 성능 문제의 가장 큰 원인 찾기
- 성능 문제 트러블슈팅
- 높은 지연시간 확인
- 프로세스 시간을 느려지게 하는 지점
- 시간 문제 작업 연습
- 패킷 손실 위치 찾기
- 구성 에러 신호 관찰
- 재지정 트래픽 분석
- 작은 페이로드 크기 관찰
- 혼잡 검색
- 애플리케이션 결함 확인
- 모든 이름 변환 실패 인지
- 성능 문제 분석 시 중요 사항
- 사례 연구: 한 방향 문제
- 사례 연구: 네트워크 문제의 완벽한 폭풍
- 정리
- 학습한 내용 복습
- 연습문제
- 연습문제 답
- 30장 네트워크 포렌식 개요
- 호스트 포렌식와 네트워크 포렌식 비교
- 증거 수집
- 탐지 회피
- 올바른 증거 취급
- 비정상 트래픽 패턴 인식
- 비정상 트래픽 패턴 컬러링
- 보완적 포렌식 도구 확인
- 사례 연구: SSL/TLS 취약점 연구
- 정리
- 학습한 내용 복습
- 연습문제
- 연습문제 답
- 31장 스캐닝 탐지와 발견 처리
- 발견과 점검 처리의 목적
- ARP 스캔(일명 ARP 스윕) 탐지
- ICMP Ping 스윕 탐지
- 다양한 타입의 TCP 포트 스캔 탐지
- UDP 포트 스캔 탐지
- IP 프로토콜 스캔 탐지
- 아이들 스캔 이해
- ICMP 유형과 코드
- 엔맵 스캔 명령 시도
- Traceroute 경로 발견 분석
- 동적 라우터 발견 탐지
- 애플리케이션 매핑 프로세스 이해
- 수동 OS 핑거프린팅을 위한 와이어샤크 사용
- 능동 OS 핑거프린팅 탐지
- 공격 도구 식별
- 스캔에서 스푸핑된 주소 식별
- 사례 연구: Conficker 레슨으로 배운 점
- 정리
- 학습한 내용 복습
- 연습문제
- 연습 문제 답
- 32장 의심스런 트래픽 분석
- ‘의심스런’ 트래픽이란?
- TCP/IP 해석 프로세스의 취약점 식별
- 수용 불가 트래픽 식별
- IDS 규칙으로 필터와 컬러링 규칙 생성
- 사례 연구: 플러딩 호스트
- 사례 연구: 키로깅 트래픽 잡아내기
- 사례 연구: 수동으로 악성 소프트웨어 찾기
- 정리
- 학습한 내용 복습
- 연습문제
- 연습문제 답
- 33장 커맨드라인 도구의 효과적인 사용
- 커맨드라인 도구의 효력 이해
- Wireshark.exe(커맨드라인 실행) 사용
- 티샤크를 이용한 트래픽 수집
- Capinfos로 추적 파일 상세 정보 목록화
- Editcap로 추적 파일 편집
- Mergecap으로 추적 파일 병합
- Text2pcap로 텍스트 변환
- Dumpcap로 트래픽 수집
- Rawshark 이해
- 사례 연구: GETS와 혐의자 찾기
- 정리
- 학습한 내용 복습
- 연습문제
- 연습문제 답
- 부록 A 이 책의 웹사이트 자원
도서 오류 신고
정오표
정오표
2015-07-15
p.221 9행
0x0050 → 0x4de5
p.221 하단 3행 :
=0xffff → =ffff