출처: 게임 해킹- 한주성

http://www.rationallyparanoid.com/articles/beeswarm-honeypot.html

출처: 한국 인터넷 진흥원

출처: http://blog.naver.com/innerbus_co

출처: http://blog.naver.com/innerbus_co

사용법은 간단하다 IP Range에 원하는 ip대역을 입력 해주고 스캔해주면 된다. 단, 아래 그림과 같이 TCP+UDP 방식과 ICMP 방식으로 두번 검색을 하도록 해야 한다. 그 이유는 ICMP으로만 검색할 경우 ping을 막은 장비는 탐지가 되지 않고, TCP+UDP방식으로만 검색할 경우 어떤 IP는 탐지가 안된다. 따라서 TCP+UDP방식과 ICMP방식 같이 이용해야 한다. ICMP 방식으로 검색한 경우 --> 15 번 ip가 검색이 안됨 --> 21 번 ip가 검색이 됨 TCP+UDP 방식으로 검색한 경우 --> 15 번 ip가 검색이 됨 --> 21 번 ip가 검색이 안됨

보안장비 -> 아마존 서버로 로그를 전송하여 LogAnalyzer로 띄워주는 단계까지 구축하였다. syslog를 보안장비로 부터 받으려면 보안장비에서 아마존 서버로 ip를 설정하여 보내주면 되고, 아마존 서버에서는 다음과 같이 514번 포트를 인바운드 설정을 해주어야 한다. 이렇게 설정후 아마존 서버 방화벽에서도 514port를 등록해주면 제대로 로그가 전달 된다. 명령어: (Ubuntu 기준) ufw allow udp/514 ==> 514port 허용

/*   *********************************************************************   * LogAnalyzer - http://loganalyzer.adiscon.com   * -----------------------------------------------------------------   *   * Drupal MSG Parser is used to split Drupal fields if found    * in the msg    *                                                   *   * LogAnalyzer is free software: you can redistribute it and/or ..

Data Sources 텍스트 파일이나 DB가 가능하다. Admin center -> Sources 에서 설정해 줄 수 있다. Add New Sources 소스로는 네가지로 설정이 가능하다. 현재 상황으로는 1번만 필요하여 1번만 사용하였지만 다른 형태로 소스를 받아 올 수 있다는 것을 알 수 있다. 참고자료: http://loganalyzer.adiscon.com/doc/basics.html 1. 파일 형태로 소스 -> syslog 와 같은 것들을 소스로 넣어 줄 수 있음 -> 간단한 설정이며, 아래 syslog file 경로만 넣어 주면 된다. -> 여기서 중요한 부분이 Message Parsers 부분인데 이부분을 잘 활용하면 로그를 보다 깔끔하게 저장할 수 있을 것이다. 이에 관한건 나중에 따로 ..