DNS 이상징후 분석

DNS 이상징후 분석

이전 포스트에 이어서 작성하였습니다. [시스템 보안 및 실무/시스템 운영·구축 실무] - DNS 로그분석(현황분석/이상징후) DNS 로그분석(현황분석/이상징후) 현황분석 - 현재 발생하는 상황을 파악하는 작업 - 우리망에서 이런 일이 있었구나 - 무조건 문제가 있는 것은 아님 - 우리 직원들은 어느 사이트에 많이 접속하는구나를 파악 이상징후 - 평균적 psjin230.tistory.com DNS 이상징후 분석 1. 비정상적인 서브 도메인 길이 2. 비허가 DNS 사용/DNS 터널링 1. 비정상적인 서브 도메인 길이 ● 한국인터넷진흥원의 도메인 관리 원칙 : 도메인명 2~63자 구성 ● 서브도메인은 도메인 소유자가 생성 ● 비정상적인 도메인 길이는 주로 서브도메인을 의미 ● 클라우드서비스(CDN, Cont..

  • format_list_bulleted 시스템 보안 및 실무/시스템 운영·구축 실무
  • · 2024. 1. 11.
  • textsms
DNS 네트워크 현황분석

DNS 네트워크 현황분석

이전 포스트에 이어서 작성하였습니다. [시스템 보안 및 실무/시스템 운영·구축 실무] - DNS 로그분석(현황분석/이상징후) DNS 로그분석(현황분석/이상징후) 현황분석 - 현재 발생하는 상황을 파악하는 작업 - 우리망에서 이런 일이 있었구나 - 무조건 문제가 있는 것은 아님 - 우리 직원들은 어느 사이트에 많이 접속하는구나를 파악 이상징후 - 평균적 psjin230.tistory.com DNS 로그분석 ● DNS 로그는 사용자의 네트워크 접속 행위를 분석하는데 가장 좋은 데이터 소스 ● 내부망 DNS 로그 분석 - 직원들의 접속 패턴을 확인할 때 사용 - 공격자의 악성코드에 감염된 내부 PC가 내부 데이터 획득을 목표로 활동하는 상황을 파악할 수 있음 => 좀비 PC는 악성코드에 감염된 PC로, 이걸 ..

  • format_list_bulleted 시스템 보안 및 실무/시스템 운영·구축 실무
  • · 2024. 1. 11.
  • textsms
DNS 로그분석(현황분석/이상징후)

DNS 로그분석(현황분석/이상징후)

현황분석- 현재 발생하는 상황을 파악하는 작업- 우리 망에서 이런 일이 있었구나- 무조건 문제가 있는 것은 아님- 우리 직원들은 어느 사이트에 많이 접속하는구나를 파악 이상징후- 평균적인 상황을 파악하다가 이상징후가 포착이 되면 관리자/침해대응팀에게 알림- 현황분석을 해서 문제가 없을 수도 있고, 그중 이상징후를 탐지할 수도 있음DNS Log 환경구성=> ZeekIDS는 우리망에 떠돌아다니는 네트워크 로그들을 수집하여 저장, 이것을 중앙관제에 scp를 사용하여 넘겨줌시나리오 : Zeek을 통해 DNS Log를 압축하여 중앙관제서버에게 넘겨줍니다. 중앙관제서버 입장에서는 sample_log/dns/dns.zip을 넘겨받은 것입니다. 중앙관제서버는 Splunk에 해당 로그를 로딩합니다.(splunk에 로그 ..

  • format_list_bulleted 시스템 보안 및 실무/시스템 운영·구축 실무
  • · 2024. 1. 11.
  • textsms
DNS(Domain Name System)

DNS(Domain Name System)

DNS(Domain Name System) DNS에서 text주소 : IP주소로 이루어진 것을 A record라고 함 => 문자주소를 가지고 ip를 조회 IP주소 : text주소로 이루어진 것을 PTR record라고 함 => ip로 문자주소를 조회 => 게이트웨이는 무조건 내부를 사용해야 하지만 DNS 서버는 같은 망이 아닌 외부망 것을 사용해도 됨! => 192.168.50.10에서도 DNS Server에 있는 캐시테이블을 조회하여 사용할 수 있음 => 192.168.50.10에서 DNS Server를 192.168.10.20으로 설정) ** DNS는 문자주소를 기반으로 IP를 조회하거나 IP를 기반으로 문자주소를 조회함 ** IP를 기반으로 MAC 주소를 찾는 것을 ARP, MAC 주소 기반으로 I..

  • format_list_bulleted 시스템 보안 및 실무/시스템 운영·구축 실무
  • · 2024. 1. 10.
  • textsms
DNS 패킷 구조

DNS 패킷 구조

DNS 패킷 구조 192.168.0.114가 205.152.39.23에게 Query를 던짐(wireshark.org의 IP 주소를 알려줄래?) 205.152.39.23 패킷을 클릭하면 answer가 있음 DNS(Domain Name System) 기본 설정 DNS 서버와 보조 DNS 서버 => DNS서버는 1개 또는 2개를 셋팅 => 이 부분은 DNS 클라이언트가 작성 => 기본과 보조는 무슨 차이일까? 보통 기본을 Master, 보조를 Slave라고 생각하는 경우가 있는데 아님!!! 기본은 사내망에서 운영하는 DNS 서버주소 보조는 ISP(통신사업자)에서 운영하는 DNS 서버주소 => 사내망 서버가 다운될 경우를 생각해서 2개를 설정 => 이거 클라이언트가 설정하는 것! cmd 창에 명령어 입력 > n..

  • format_list_bulleted 시스템 보안 및 실무/시스템 운영·구축 실무
  • · 2024. 1. 9.
  • textsms