XNUMX๋
๊ฐ์ ๊ฐ๋ฐ ๋์ OISF(Open Information Security Foundation) ์กฐ์ง์ด ํ์ํ์ต๋๋ค.
์ฃผ์ ๋ณ๊ฒฝ ์ฌํญ :
- HTTP/2์ ๋ํ ์ด๊ธฐ ์ง์.
- ํ๋กํ ์ฝ์ ์ ์ํ๊ณ ๋ก๊ทธ๋ฅผ ์ ์งํ๋ ๊ธฐ๋ฅ์ ํฌํจํ์ฌ RFB ๋ฐ MQTT ํ๋กํ ์ฝ์ ์ง์ํฉ๋๋ค.
- DCERPC ํ๋กํ ์ฝ์ ๋ํ ๋ก๊น ๊ฐ๋ฅ์ฑ.
- JSON ํ์์ผ๋ก ์ด๋ฒคํธ ์ถ๋ ฅ์ ์ ๊ณตํ๋ EVE ํ์ ์์คํ ์ ํตํด ๋ก๊น ์ฑ๋ฅ์ด ํฌ๊ฒ ํฅ์๋์์ต๋๋ค. Rust ์ธ์ด๋ก ์์ฑ๋ ์๋ก์ด JSON ์คํก ๋น๋๋ฅผ ์ฌ์ฉํ์ฌ ๊ฐ์ํ๊ฐ ์ด๋ฃจ์ด์ก์ต๋๋ค.
- EVE ๋ก๊ทธ ์์คํ ์ ํ์ฅ์ฑ์ด ํฅ์๋์์ผ๋ฉฐ ๊ฐ ์ค๋ ๋์ ๋ํด ๋ณ๋์ ๋ก๊ทธ ํ์ผ์ ์ ์งํ๋ ๊ธฐ๋ฅ์ด ๊ตฌํ๋์์ต๋๋ค.
- ์ ๋ณด๋ฅผ ๋ก๊ทธ๋ก ์ฌ์ค์ ํ๊ธฐ ์ํ ์กฐ๊ฑด์ ์ ์ํ๋ ๊ธฐ๋ฅ.
- EVE ๋ก๊ทธ์ MAC ์ฃผ์๋ฅผ ๋ฐ์ํ๊ณ DNS ๋ก๊ทธ์ ์ธ๋ถ ์ ๋ณด๋ฅผ ๋๋ฆฌ๋ ๊ธฐ๋ฅ.
- ํ๋ก์ฐ ์์ง์ ์ฑ๋ฅ์ ํฅ์์ํต๋๋ค.
- SSH ๊ตฌํ ์๋ณ ์ง์(
ํด์ ). - GENEVE ํฐ๋ ๋์ฝ๋ ๊ตฌํ.
- ์ฒ๋ฆฌ ์ฝ๋๊ฐ Rust ์ธ์ด๋ก ๋ค์ ์์ฑ๋์์ต๋๋ค.
ASN.1 , DCERPC ๋ฐ SSH. Rust๋ ๋ํ ์๋ก์ด ํ๋กํ ์ฝ์ ์ง์ํฉ๋๋ค. - ๊ท์น ์ ์ ์ธ์ด์์๋ from_end ๋งค๊ฐ๋ณ์์ ๋ํ ์ง์์ด byte_jump ํค์๋์ ์ถ๊ฐ๋์๊ณ , bitmask ๋งค๊ฐ๋ณ์์ ๋ํ ์ง์์ด byte_test์ ์ถ๊ฐ๋์์ต๋๋ค. ์ ๊ท์(pcre)์ ์ฌ์ฉํ์ฌ ํ์ ๋ฌธ์์ด์ ์บก์ฒํ ์ ์๋๋ก pcrexform ํค์๋๋ฅผ ๊ตฌํํ์ต๋๋ค. urldecode ๋ณํ์ด ์ถ๊ฐ๋์์ต๋๋ค. byte_math ํค์๋๋ฅผ ์ถ๊ฐํ์ต๋๋ค.
- cbindgen์ ์ฌ์ฉํ์ฌ Rust ๋ฐ C ์ธ์ด๋ก ๋ฐ์ธ๋ฉ์ ์์ฑํ๋ ๊ธฐ๋ฅ์ ์ ๊ณตํฉ๋๋ค.
- ์ด๊ธฐ ํ๋ฌ๊ทธ์ธ ์ง์์ด ์ถ๊ฐ๋์์ต๋๋ค.
์๋ฆฌ์นดํ์ ํน์ง:
- ํตํฉ ํ์์ ์ฌ์ฉํ์ฌ ์ค์บ ๊ฒฐ๊ณผ ํ์
ํตํฉ2 , Snort ํ๋ก์ ํธ์์๋ ์ฌ์ฉ๋๋ฉฐ ๋ค์๊ณผ ๊ฐ์ ํ์ค ๋ถ์ ๋๊ตฌ๋ฅผ ์ฌ์ฉํ ์ ์์ต๋๋ค.์๋ง๋น2 . BASE, Snorby, Sguil ๋ฐ SQueRT ์ ํ๊ณผ์ ํตํฉ ๊ฐ๋ฅ์ฑ. PCAP ์ถ๋ ฅ ์ง์; - ํ๋กํ ์ฝ(IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB ๋ฑ) ์๋ ๊ฐ์ง ์ง์์ ํตํด ํฌํธ ๋ฒํธ๋ฅผ ์ฐธ์กฐํ์ง ์๊ณ (์: HTTP ์ฐจ๋จ) ํ๋กํ ์ฝ ์ ํ๋ณ๋ก๋ง ๊ท์น์์ ์์ ํ ์ ์์ต๋๋ค. ๋นํ์ค ํฌํธ์ ํธ๋ํฝ). HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP ๋ฐ SSH ํ๋กํ ์ฝ์ฉ ๋์ฝ๋ ๊ฐ์ฉ์ฑ
- Mod_Security ํ๋ก์ ํธ ์์ฑ์๊ฐ ๋ง๋ ํน์ HTP ๋ผ์ด๋ธ๋ฌ๋ฆฌ๋ฅผ ์ฌ์ฉํ์ฌ HTTP ํธ๋ํฝ์ ๊ตฌ๋ฌธ ๋ถ์ํ๊ณ ์ ๊ทํํ๋ ๊ฐ๋ ฅํ HTTP ํธ๋ํฝ ๋ถ์ ์์คํ
์
๋๋ค. ์ ์ก HTTP ์ ์ก์ ๋ํ ์์ธํ ๋ก๊ทธ๋ฅผ ์ ์งํ๊ธฐ ์ํ ๋ชจ๋์ ์ฌ์ฉํ ์ ์์ผ๋ฉฐ ๋ก๊ทธ๋ ํ์ค ํ์์ผ๋ก ์ ์ฅ๋ฉ๋๋ค.
์ํ์น. HTTP๋ฅผ ํตํด ์ ์ก๋ ํ์ผ ๊ฒ์ ๋ฐ ํ์ธ์ด ์ง์๋ฉ๋๋ค. ์์ถ๋ ์ฝํ ์ธ ๊ตฌ๋ฌธ ๋ถ์์ ์ง์ํฉ๋๋ค. URI, ์ฟ ํค, ํค๋, ์ฌ์ฉ์ ์์ด์ ํธ, ์์ฒญ/์๋ต ๋ณธ๋ฌธ์ผ๋ก ์๋ณํ๋ ๊ธฐ๋ฅ - NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING์ ํฌํจํ์ฌ ํธ๋ํฝ ์ฐจ๋จ์ ์ํ ๋ค์ํ ์ธํฐํ์ด์ค๋ฅผ ์ง์ํฉ๋๋ค. PCAP ํ์์ผ๋ก ์ด๋ฏธ ์ ์ฅ๋ ํ์ผ์ ๋ถ์ํ๋ ๊ฒ์ด ๊ฐ๋ฅํฉ๋๋ค.
- ๊ณ ์ฑ๋ฅ, ๊ธฐ์กด ์ฅ๋น์์ ์ต๋ 10๊ธฐ๊ฐ๋นํธ/์ด์ ํ๋ฆ์ ์ฒ๋ฆฌํ๋ ๋ฅ๋ ฅ.
- ๋๊ท๋ชจ IP ์ฃผ์ ์ธํธ์ ๋ํ ๊ณ ์ฑ๋ฅ ๋ง์คํฌ ์ผ์น ๋ฉ์ปค๋์ฆ์ ๋๋ค. ๋ง์คํฌ ๋ฐ ์ ๊ท์์ผ๋ก ์ฝํ ์ธ ์ ํ์ ์ง์ํฉ๋๋ค. ์ด๋ฆ, ์ ํ ๋๋ MD5 ์ฒดํฌ์ฌ์ ๋ฐ๋ฅธ ์๋ณ์ ํฌํจํ์ฌ ํธ๋ํฝ์์ ํ์ผ์ ๊ฒฉ๋ฆฌํฉ๋๋ค.
- ๊ท์น์์ ๋ณ์๋ฅผ ์ฌ์ฉํ๋ ๊ธฐ๋ฅ: ์คํธ๋ฆผ์ ์ ๋ณด๋ฅผ ์ ์ฅํ๊ณ ๋์ค์ ๋ค๋ฅธ ๊ท์น์์ ์ฌ์ฉํ ์ ์์ต๋๋ค.
- ๊ตฌ์ฑ ํ์ผ์ YAML ํ์์ ์ฌ์ฉํ๋ฉด ๋ช ํ์ฑ์ ์ ์งํ๋ฉด์๋ ๊ธฐ๊ณ ์ฒ๋ฆฌ๊ฐ ์ฉ์ดํฉ๋๋ค.
- ์์ ํ IPv6 ์ง์;
- ํจํท์ ์๋ ์กฐ๊ฐ ๋ชจ์ ๋ฐ ์ฌ์กฐ๋ฆฝ์ ์ํ ๋ด์ฅ ์์ง์ผ๋ก, ํจํท์ด ๋์ฐฉํ๋ ์์์ ๊ด๊ณ์์ด ์คํธ๋ฆผ์ ์ฌ๋ฐ๋ฅด๊ฒ ์ฒ๋ฆฌํ ์ ์์ต๋๋ค.
- ํฐ๋๋ง ํ๋กํ ์ฝ ์ง์: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
- ํจํท ๋์ฝ๋ฉ ์ง์: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, ์ด๋๋ท, PPP, PPPoE, Raw, SLL, VLAN;
- TLS/SSL ์ฐ๊ฒฐ ๋ด์ ๋ํ๋๋ ํค ๋ฐ ์ธ์ฆ์ ๋ก๊น ๋ชจ๋.
- ๊ณ ๊ธ ๋ถ์์ ์ ๊ณตํ๊ณ ํ์ค ๊ท์น์ผ๋ก๋ ์ถฉ๋ถํ์ง ์์ ํธ๋ํฝ ์ ํ์ ์๋ณํ๋ ๋ฐ ํ์ํ ์ถ๊ฐ ๊ธฐ๋ฅ์ ๊ตฌํํ๊ธฐ ์ํด Lua์์ ์คํฌ๋ฆฝํธ๋ฅผ ์์ฑํ๋ ๊ธฐ๋ฅ.
์ถ์ฒ : opennet.ru