이전 포스트에 이어 작성하였습니다. [시스템 보안 및 실무/시스템 운영·구축 실무] - HTTP 로그분석(현황분석/이상징후) HTTP 로그분석(현황분석/이상징후) HTTP Log 환경구성 zeek이 http 로그를 수집하고, 그 로그를 중앙관제서버에 전송합니다. 중앙관제서버는 그 로그들을 로딩해서 저장소도 만들고, source type도 만드는 등의 작업해야합니다. 1. Index 만 psjin230.tistory.com HTTP 이상징후 분석 1. 비정상 메소드 사용 2. 외부행 데이터 전송 3. Mime-type과 파일 확장자 불일치 4. 사이트 이동 후 실행파일 다운로드 5. 프록시 서버 접속 1. 비정상 메소드 사용 ● Head, Delete, Trace, Option과 같은 메소드가 네트워크에서..
이전 포스트에 이어서 작성하였습니다. [시스템 보안 및 실무/시스템 운영·구축 실무] - HTTP 로그분석(현황분석/이상징후) HTTP 로그분석(현황분석/이상징후) HTTP Log 환경구성 zeek이 http 로그를 수집하고, 그 로그를 중앙관제서버에 전송합니다. 중앙관제서버는 그 로그들을 로딩해서 저장소도 만들고, source type도 만드는 등의 작업해야합니다. 1. Index 만 psjin230.tistory.com HTTP 네트워크 현황 분석 ● 내부 인트라넷 서비스/인터넷 기반 서비스도 대부분 HTTP로 동작 ● HTTP를 분석 시 목적지가 인터넷인지 인트라넷인지 구분 필요 ● 공격자가 내부망에 침투했다면 중요 데이터의 외부유출을 시도 => 목적지가 인터넷으로 향하는 HTTP 인지 기업내부망으..
HTTP Log 환경구성 zeek이 http 로그를 수집하고, 그 로그를 중앙관제서버에 전송합니다. 중앙관제서버는 그 로그들을 로딩해서 저장소도 만들고, source type도 만드는 등의 작업해야 합니다. 1. Index 만들기 1) splunk 접속 : http://127.0.0.1:8000 또는 http://localhost:8000 2) 설정-데이터-인덱스로 이동하여 인덱스 만들기 => 인덱스 이름 : httplog 2. Source Type 지정 1) 설정-데이터-SourceType으로 이동하여 Source Type 만들기 ts,uid,src,spt,dst,dpt,trans_depth,method,domain,uri,referrer,version,user_agent,request_body_len..
WebServer(Cent OS 7)에 HTTPS 구성 1. HTTP Server 구성 2. 인증서 생성 3. HTTP config에 인증서 맵핑 인증기관(CA)에 인증서를 발급받는 것이 아닌 자가발급 인증서 생성 1. HTTP Server 구성 0) 관리자로 들어가기 $ su - root 1234 1) 패키지 설치 및 확인 # rpm -qa | grep httpd #패키지 설치 확인 # yum install -y httpd #패키지가 없다면 설치 # httpd -v 2) OpenSSL과 mode_ssl 설치 => 인증서 맵핑을 위한 모듈 설치 => 오픈소스 형태의 키 생성기 : open ssl # rpm -qa | grep openssl #패키지 설치 확인 # yum -y install openssl-..
HTTP 특징 요청, 응답 구조 cmd 창에서 curl -v http://victim:8080/WebGoat 명령어를 입력합니다. Trying 192.168.0.10.:8080 : 연결 GET /WebGoat HTTP/1.1 : 요청시작 => 방식 URL 프로토콜/버전 Host: victim:8080~ : 요청 헤더 시작(서버에서 참조하는 값) => HTT는 확장성이 높다 한칸 띄어쓰기 : 요청 헤더의 끝(GET 방식의 요청이므로 요청 본문 생략) HTTP/1.1 302 Found~ : 응답 시작 => 프로토콜/버전 응답(상태)코드 메시지 Server: Apache-Coyote/1.1 : 응답 헤더 시작(브라우저에서 참조하는 값) Location : /WebGoat : 리다이렉션 주소(서버로 다시 요청)..