ngrep (패킷 확인)

본문

ngrep

작성일: 2001-09-17 작성자: 강명규 OS: Linux 2.4.4 (intel) ngrep은 유닉스 grep과 유사하다. 단지 사용하는 곳이 network을 소스를 삼는다는 것이 다른 점이다. ngrep.sourceforge.net 사이트에서 ngrep을 받아온다. 현재(2001-09-17) 최신 버전은 1.40이다. http://prdownloads.sourceforge.net/ngrep/ngrep-1.40.tar.gz ngrep은 libpcap라이브러리를 필요로 하므로, 자신의 서버에 설치되지 않았다면 ftp://ftp.ee.lbl.gov/libpcap.tar.Z에서 받아 설치한다. [kang@ns /down]$ tar xvzf ngrep-1.40.tar.gz -C /usr/local/src [root@ns /down]# cd /usr/local/src/ngrep [root@ns ngrep]# ./configure; make; make install 사용하기 요즘 유행하는 Code Red웜의 파악은 다음과 같이 할 수 있다. ngrep -qt ".ida" tcp port 80 다음은 실제 접속했을때의 로그를 표시한 것이다. 윈도서버로 운영할 경우 필히 코드레드 패치를 해야겠다. http://www.microsoft.com/korea/technet/security/bulletin/MS01-033.asp 유닉스계열의 경우 별다른 조치가 필요없다. 즉, 공격대상이 아니다. [root@ns /root]# ngrep -qt "default.ida" tcp port 80 T 2001/09/17 01:26:31.307148 211.41.29.231:15916 -> 211.41.23.236:80 [A]   GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX   XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX   XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u909   0%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a  HTTP/1.0..C   ontent-type: text/xml.Content-length: 3379 ........`........dg.6..dg.&.......h.........P.U......   P.U..@.....X....U.=.......=..............T....u..~0...........F0.........CodeRedII...$.U.f.....8..   ...P.......j...P...P..8...P.E..p.........8....thS.U..U..E.i.T...,.....,..............F4.E.Pj..u...   ........j.j..U.P.U.Ou..;...i.T....&....&.W.U.j.j..U.j..U....F4)E.jd.U...<...P.U....<...=....s...   .>......s.f..p.....f..r....P.d.....t...j.j.j..U....t..E.j.Th~f...u..U.Yj...p...P.u..U........tK3..   U.=3'..u?..h.........l.........`........E...d.....h...Pj...`...Pj.j..U..j.Th~f...u..U.Y...u1.....X   -....j.h....P.u..U.=....u.j.j......P.u..U..u..U..........w...........xu......`......d$.dg....Xa..   dg.6..dg.&..f.;MZu..K<.<.PE..u..T.x...B..<.KERNu..|..EL32u.3.I.r ...A..<.GetPu..|..rocAu..J.I...J$   ........J.......D$$dg....Xa..Q....]..E......LoadLibraryA..u..U..E......CreateThread..u..U..E......   GetTickCount..u..U..E......Sleep..u..U..E......GetSystemDefaultLangID..u..U..E......GetSystemDirec   toryA..u..U..E......CopyFileA..u..U..E......GlobalFindAtomA..u..U..E......GlobalAddAtomA           T 2001/09/17 01:26:31.991328 211.41.23.236:80 -> 211.41.29.231:15916 [AP]   HTTP/1.1 404 Not Found..Date: Sun, 16 Sep 2001 16:26:31 GMT..Server: Apache..Connection: close..Co   ntent-Type: text/html; charset=iso-8859-1....<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">.<H   TML><HEAD>.<TITLE>404 Not Found</TITLE>.</HEAD><BODY>.<H1>Not Found</H1>.The requested URL /defaul   t.ida was not found on this server.<P>.<HR>.<ADDRESS>Apache/1.3.20 Server at www.dbakorea.pe.kr Po   rt 80</ADDRESS>.</BODY></HTML>.                                                                   유용한 사용법은 차후 추가하겠다. This article comes from dbakorea.pe.kr (Leave this line as is)

관련자료

• 이전
  사이트 검색엔진(htdig)

  작성일 2005.03.24 03:25
• 다음
  chkrootkit (루트킷 점검툴)

  작성일 2005.03.24 10:45