Á¦ 3 Àå Ä§ÇØ»ç°í ºÐ¼® ±â¼ú
Á¦1Àý À©µµ¿ì »ç°íºÐ¼®
ÃÖ±Ù À©µµ¿ì ¼¹ö³ª °³ÀÎ »ç¿ëÀÚ PC¸¦ °Ü³ÉÇÑ ÇØÅ·»Ó ¾Æ´Ï¶ó ¿ú, ¹ÙÀÌ·¯½º, º¿À» ÅëÇÑ ÇØÅ·»ç°í ¶ÇÇÑ ±ÞÁõÇϰí ÀÖ¾î °ü¸®ÀÚ³ª »ç¿ëÀÚµéÀ» À§ÇÑ À©µµ¿ì Ä§ÇØ»ç°í ºÐ¼® ±â¼úÀÌ ¿ä±¸µÇ°í ÀÖ´Ù.
À©µµ¿ì »ç°íºÐ¼®¿¡ ÀÖ¾î Æ÷·»½Ä Ãø¸é¿¡¼ ºÃÀ» ¶§ ÇÇÇØ½Ã½ºÅÛ¿¡ ¿µÇâÀ» ÁÖÁö ¾Ê°í ÇÊ¿äÇÑ Á¤º¸¸¦ ¾ò¾î¾ß ÇÑ´Ù. ÇÏÁö¸¸ ±×·¸°Ô Çϱâ À§Çؼ´Â Àü¹®ÀûÀÎ Æ÷·»½Ä ±â¼ú°ú µµ±¸µéÀÌ ÀÖ¾î¾ß ÇϹǷΠº» °¡À̵忡¼´Â ¶óÀ̺ê(live)¿¡¼ Á÷Á¢ ÇÇÇØ½Ã½ºÅÛÀ» ½±°í ºü¸£°Ô ºÐ¼® ÇÒ ¼ö ÀÖ´Â ¹æ¹ý¿¡ ´ëÇØ ¾Ë¾Æº¸µµ·Ï ÇÑ´Ù.
1. ÃʱâºÐ¼®
Ä§ÇØ»ç°í¸¦ Á¤È®È÷ ºÐ¼®Çϱâ À§Çؼ´Â ÇöÀç ±¸µ¿ÁßÀÎ ÇÁ·Î¼¼½º Á¤º¸³ª ³×Æ®¿öÅ© »óÅ Á¤º¸ µî Èֹ߼º Áõ°Å¸¦ ¼öÁýÇØ¾ß ÇÑ´Ù. ±×¸®°í ÇöÀç ÇÇÇØ½Ã½ºÅÛÀÇ »óȲÀ» ºü¸¥ ½Ã°£ ¾È¿¡ ÆÄ¾ÇÇÒ ¼ö ÀÖ´Â ¹æ¹ýÀÌ ÇÊ¿äÇϹǷΠÀ©µµ¿ì Ä¿¸Çµå¿¡¼ ½ÇÇàµÇ´Â ¸í·É¾îµéÀ» ÀÌ¿ëÇØ ÇÁ·Î¼¼½º, ³×Æ®¿öÅ©, ·Î±×ÀÎ Á¤º¸µéÀ» ¼öÁýÇØ¾ß ÇÑ´Ù. ºÐ¼®ÀÚ´Â ÀÌ·¯ÇÑ Á¤º¸µéÀ» ÀÌ¿ëÇØ ÃÖ´ëÇÑ »¡¸® ½Ã½ºÅÛÀÇ º¯°æ³»¿ëÀ̳ª °ø°ÝÀÚÀÇ ÈçÀûÀ» ÆÄ¾ÇÇØ¾ß ÇÑ´Ù.
°¡. ½Ã½ºÅÛ ½Ã°£ È®ÀÎ
¸ðµç ½Ã½ºÅÛµéÀÌ ½Ã°£À» µ¿±âÈ ½ÃÄѳõÁö ¸øÇϱ⠶§¹®¿¡ °¢ ½Ã½ºÅÛº°·Î ¿î¿µµÇ´Â °íÀ¯ÀÇ ½Ã°£ÀÌ ÀÖ´Ù. ÀÌ·¯ÇÑ ½Ã°£ÀÌ ÆÄ¾ÇµÇ¾î¾ß¸¸ ½Ã½ºÅÛ ·Î±× ½Ã°£À» ¿¬°ü Áö¾î È®ÀÎ ÇÒ ¼ö ÀÖ´Ù. ¶ÇÇÑ °ø°ÝÀÚµéÀº °ü¸®ÀÚµéÀÇ ºÐ¼®¿¡ È¥¶õÀ» ÁÖ±âÀ§ÇØ ½Ã½ºÅÛ ½Ã°£À» º¯°æÇØ ³õ´Â °æ¿ì°¡ ÀÖÀ¸¹Ç·Î ½Ã½ºÅÛ ÇöÀç ½Ã°£À» È®ÀÎÇØ¾ß ÇÑ´Ù.
¡®date¡¯¿Í¡®time¡¯Àº cmd.exe ÇÁ·Î±×·¥¿¡ ³»ÀåµÇ¾î ÀÖ°í ½Ã½ºÅÛ ½Ã°£À» ±â·ÏÇϴµ¥ »ç¿ëÇÑ´Ù. ±×¸®°í uptimeÀº ½Ã½ºÅÛÀÇ ºÎÆÃ ½Ã°£ Á¤º¸¸¦ º¸¿©ÁÖ´Â ¸í·É¾î·Î »ç°í ½Ã°£À» °áÁ¤Çϴµ¥ ÇÊ¿äÇϱ⠶§¹®¿¡ Áß¿äÇÑ Á¤º¸ÀÌ´Ù. µµ±¸´Â 'http://www.sysinternals.com'¿¡¼ ¹«·á·Î ´Ù¿î¹ÞÀ» ¼ö ÀÖ´Ù.

³ª. ½Ã½ºÅÛ Á¤º¸
»ç°íºÐ¼®À» À§Çؼ´Â ÇÇÇØ½Ã½ºÅÛÀÇ ±âº»ÀûÀÎ Á¤º¸°¡ ÇÊ¿äÇÏ´Ù. psinfo´Â OSÀÇ ±âº»Á¤º¸ ¹× º¸¾È ¾÷µ¥ÀÌÆ® Á¤º¸ µîÀ» Á¦°øÇÏ¸ç ¼³Ä¡µÈ ¼ÒÇÁÆ®¿þ¾î Á¤º¸ ¶ÇÇÑ ¾Ë·ÁÁØ´Ù. ÀÌ·¯ÇÑ º¸¾È ¾÷µ¥ÀÌÆ® Á¤º¸´Â ½Ã½ºÅÛ Ãë¾àÁ¡À» ÅëÇØ ¾î¶»°Ô °ø°ÝÇß´ÂÁö¿¡ ´ëÇÑ Á¤º¸¸¦ ¾òÀ» ¼ö Àֱ⠶§¹®¿¡ ÃÖÁ¾ ¾÷µ¥ÀÌÆ® ³¯Â¥¸¦ È®ÀÎÇØ¾ß ÇÑ´Ù.
¾Æ·¡ ±×¸²Àº psinfo ¸í·É¾î¸¦ ÅëÇØ ½Ã½ºÅÛÀÇ Á¤º¸¸¦ È®ÀÎÇÑ È¸éÀÌ´Ù.

´Ù. ÇÁ·Î¼¼½º Á¤º¸ È®ÀÎ
´ëºÎºÐÀÇ À©µµ¿ìÁî ½Ã½ºÅÛµéÀº ¸¹Àº ½ÇÇà ÇÁ·Î¼¼½ºµéÀ» °¡Áö°í ÀÖ´Ù. ÀÌ·¯ÇÑ ÇÁ·Î¼¼½º Áß¿¡´Â °ø°ÝÀÚ°¡ ½ÇÇà½ÃÄѳõÀº ¾Ç¼ºÇÁ·Î±×·¥ÀÌ ½ÇÇàµÇ°í Àְųª ÈçÀûÀÌ ³²¾Æ ÀÖÀ» ¼ö ÀÖÀ¸´Ï ÀÚ¼¼È÷ È®ÀÎÇØ º¼ Çʿ䰡 ÀÖ´Ù. °ü½É ÀÖ°Ô È®ÀÎÇØ ºÁ¾ß µÉ ÇÁ·Î¼¼½º Á¤º¸´Â ´ÙÀ½°ú °°´Ù.
- ½ÇÇà ÇÁ·Î¼¼½º¸í
- ÇÁ·Î¼¼½º ½ÇÇàÆÄÀÏ À§Ä¡
- ÇÁ·Î¼¼½º Ä¿¸Çµå ¶óÀÎ
- ÇÁ·Î¼¼½º ½ÇÇà½Ã°£
- ÇÁ·Î¼¼½º°¡ ÂüÁ¶ÁßÀÎ DLL ¹× ÆÄÀÏ
ÇÁ·Î¼¼½º¸¦ Á¡°ËÇÒ ¼ö ÀÖ´Â µµ±¸·Î´Â pslist°¡ ÀÖ´Ù. ÀÌ µµ±¸´Â¡®http://www.sysinternals.com¡¯¿¡¼ ´Ù¿î ¹ÞÀ» ¼ö ÀÖÀ¸¸ç ÇöÀç ±¸µ¿ÁßÀÎ ÇÁ·Î¼¼½º ¸ñ·ÏÀ» Ãâ·ÂÇØÁØ´Ù. ¿É¼ÇÀ» ÇÏÁö ¾ÊÀ¸¸é ÇÁ·Î¼¼½º°¡ ½ÇÇàµÈ ½Ã°£À» ÀÚ¼¼È÷ È®ÀÎÇÒ ¼ö Àִµ¥ ÀÌ·¯ÇÑ ½Ã°£Àº ¶ÇÇÑ uptime¿¡¼ È®ÀÎÇß´ø ºÎÆÃ½Ã°£ ÀÌÈÄ¿¡ ¾Ç¼ºÇÁ·Î±×·¥ÀÌ ¾ðÁ¦ ½ÇÇàµÇ¾ú´ÂÁö È®ÀÎ °¡´ÉÇÏ´Ù. -t ¿É¼ÇÀ» »ç¿ëÇϸé ÇÁ·Î¼¼½º¸¦ Æ®¸®±¸Á¶·Î ¾î¶² ÇÁ·Î¼¼½º¿¡¼ ½ÇÇàµÇ¾ú´ÂÁö È®ÀÎÇÒ ¼ö
ÀÖ´Ù.

À§ ¸í·É¾î ½ÇÇà°á°ú¿¡¼ º¸¸é ¹éµµ¾î ÇÁ·Î±×·¥ÀÎ rsmss°¡¡°winlogon-services¡±ÀÇ ÀÚ½ÄÇÁ·Î¼¼½º·Î ½ÇÇàµÈ °ÍÀ» È®ÀÎÇÒ ¼ö ÀÖ¾î À©µµ¿ì ¼ºñ½º¿¡ ÀÇÇØ ½ÇÇàµÈ °ÍÀ» È®ÀÎÇÒ ¼ö ÀÖ´Ù. at.jobÀ̶ó´Â ¾Ç¼ºÇÁ·Î±×·¥ °°Àº °æ¿ì´Â À©µµ¿ì¿¡¼ ÈçÈ÷ º¸Áö ¸øÇÑ ÇÁ·Î±×·¥ÀÌ ½ÇÇàµÇ°í ÀÖ¾î ¾î·ÆÁö ¾Ê°Ô ã¾Æ³¾ ¼ö ÀÖÁö¸¸ Á¤»ó ÆÄÀÏó·³ À§ÀåÇÏ¿© ¾Ç¼ºÇÁ·Î±×·¥À» ½ÇÇàÇÏ´Â °æ¿ì°¡ ÀÖÀ¸¹Ç·Î ½ÇÇàÆÄÀÏ À§Ä¡¸¦ ã¾Æ¼ Á¤»ó ÇÁ·Î±×·¥ÀÇ À§Ä¡¿Í ¸Â´ÂÁö È®ÀÎÇØ¾ß ÇÑ´Ù.
¶ÇÇÑ ÇÁ·Î±×·¥µéÀÌ »ç¿ëÇÏ´Â µ¿Àû¶óÀ̺귯¸® (DLL, Dynamic Link Libraries)Á¤º¸¸¦ ¼öÁýÇØ¾ß ÇÑ´Ù. ¾Ç¼º ÇÁ·Î±×·¥Àº ½Ã½ºÅÛ DLL »Ó¸¸ ¾Æ´Ï¶ó ÀÚü Á¦ÀÛÇÑ DLLÀ» »ç¿ëÇÒ ¼öµµ ÀÖÀ¸¹Ç·Î ÀÚ¼¼ÇÑ Á¡°ËÀÌ ÇÊ¿äÇÏ´Ù. listdllsÀº ¸ðµç ÇÁ·Î¼¼½º°¡ »ç¿ëÇϰí ÀÖ´Â DLL Á¤º¸¸¦ º¸¿©ÁÖ°í, °æ·Î, »çÀÌÁî, ¹öÀü±îÁöµµ ¾Ë ¼ö ÀÖ´Ù. ¾Æ·¡ ±×¸²Àº Á¤»óÀûÀÎ ÇÁ·Î±×·¥Ã³·³ À§ÀåÇÑ ¾Ç¼ºÇÁ·Î±×·¥ÀÎ TaskDaemon.exe ÇÁ·Î±×·¥À» listdlls·Î È®ÀÎÇÑ È¸éÀÌ´Ù. ÀÌ ¾Ç¼ºÇÁ·Î±×·¥Àº ÀÚü Á¦ÀÛÇÑ TaskDaemonRT.dll µîÀ» »ç¿ëÇÏ´Â °ÍÀ» È®ÀÎÇÒ ¼ö ÀÖ´Ù.

¶ÇÇÑ ¾Ç¼ºÇÁ·Î±×·¥µéÀº ÀڽŵéÀÇ ½ÇÇà°ú °ü·ÃµÈ ¼³Á¤ÆÄÀϵéÀÌ ÀÖ°í Æ¯È÷ ¾Ç¼º º¿ ÇÁ·Î±×·¥ °°Àº °æ¿ì ¼³Á¤ÆÄÀÏ¿¡ ÀÖ´Â ¼¹ö¿¡ Á¢¼ÓÀ» ÇÏ°í ¸í·É¾îµéÀ» ½ÇÇàÇϱ⠶§¹®¿¡ ÀÚ¼¼ÇÑ Á¶»ç°¡ ÇÊ¿äÇÏ´Ù. ÇÁ·Î¼¼½ºµéÀÌ ¾î¶°ÇÑ ÆÄÀϵéÀ» ÂüÁ¶Çϰí ÀÖ´ÂÁö È®ÀÎÇÒ ¼ö ÀÖ´Â ¹æ¹ýÀº ¡®http://www.sysinternals.com¡¯¿¡¼ Á¦°øÇÏ´Â handle ÇÁ·Î±×·¥À» ÀÌ¿ëÇØ¼ È®ÀÎÇÒ ¼ö ÀÖ´Ù.

¶ó. ³×Æ®¿öÅ© Á¤º¸ È®ÀÎ
ÇöÀç ÇÇÇØ½Ã½ºÅÛ ³×Æ®¿öÅ© Á¤º¸, ¼ºñ½º¸¦ ¿°í ÀÖ´Â ÀÀ¿ëÇÁ·Î±×·¥ Á¤º¸, ¼ºñ½º¿¡ ¿¬°áµÇ¾î ÀÖ´Â ¼¼¼Ç Á¤º¸ µîÀº °ø°ÝÀÚÀÇ ÈçÀûÀ» ÃßÀû ÇÒ ¼ö ÀÖ´Â Áß¿äÇÑ ¿ªÇÒÀ» ÇÑ´Ù.
¡°netstat -an¡±¸í·É¾î¸¦ ÅëÇØ ÇÁ·ÎÅäÄÝ »óÅÂ, IP ±â¹Ý ³×Æ®¿öÅ© ¿¬°á Á¤º¸ µîÀ» È®ÀÎÇØ¼ ÇöÀç ¿·Á ÀÖ´Â Æ÷Æ®¿Í Æ÷Æ®¿¡ ¿¬°áµÇ¾î ÀÖ´Â IP Á¤º¸¸¦ È®ÀÎÇØ¾ß ÇÑ´Ù. ¾Æ·¡ ¸í·É¾î ¼öÇà°á°ú¿¡¼ º¸¸é ½Ã½ºÅÛÀÌ »ç¿ëÇÏÁö ¾Ê´Â 26103 Æ÷Æ®°¡ LISTENING »óÅ·Π¿·Á ÀÖ´Â °ÍÀ» È®ÀÎÇÒ ¼ö ÀÖ´Ù.

ÀÌ¿Í °°Àº 26103Æ÷Æ®¿¡ telnetÀ̳ª nc·Î Á¢¼ÓÇÏ¿© ¾î¶² ÀÀ¿ë ¾îÇø®ÄÉÀ̼ÇÀÌ ±¸µ¿ÁßÀÎÁö È®ÀÎÇØ¾ß ÇÑ´Ù. È®ÀÎ °á°ú À©µµ¿ì command¸¦ ½ÇÇàÇÒ ¼ö ÀÖ°Ô ÇØÁÖ´Â ¹éµµ¾î Æ÷Æ®ÀÓÀ»¾Æ·¡ ±×¸²Ã³·³ È®ÀÎÇÒ ¼ö ÀÖ¾ú´Ù.

À§ÀÇ 26103 ¹éµµ¾î Æ÷Æ®¸¦ ¿°í ÀÖ´Â ÇÁ·Î¼¼½º¸¦ È®ÀÎÇØ¾ß Çϴµ¥ fport ¶ó´Â¡®http://www.foundstone.com¡¯¿¡¼ Á¦°øÇÑ ¸í·É¾î¸¦ »ç¿ëÇÏ¿© ´ÙÀ½°ú °°ÀÌ È®ÀÎÇÒ ¼ö ÀÖ´Ù.

ÇØÅ· »ç°í°¡ ¹ß»ýÇÏ¸é ³×Æ®¿öÅ© ÀÎÅÍÆäÀ̽º Ä«µå(NIC)°¡ promisc ¸ðµå·Î µ¿ÀÛÁßÀÎÁö È®ÀÎÇØ¾ß ÇÑ´Ù. °ø°ÝÀÚ´Â ½º´ÏÇÎ °ø°ÝÀ» ÅëÇØ ½Ã½ºÅÛÀ¸·Î ¼Û¼ö½ÅµÇ´Â ¸ðµç ³×Æ®¿öÅ© Æ®·¡ÇÈÀ» ¸ð´ÏÅ͸µ ÇÒ ¼ö Àִµ¥ ÀÌ °æ¿ì¿¡ ³×Æ®¿öÅ© ÀÎÅÍÆäÀ̽º Ä«µå°¡ promisc ¸ðµå·Î µ¿ÀÛÇÏ°Ô µÇ¹Ç·Î ¹Ýµå½Ã Á¡°ËÀÌ ÇÊ¿äÇÏ´Ù.

¸¶. »ç¿ëÀÚ/±×·ì È®ÀÎ
°ø°ÝÀÚ¿¡ ÀÇÇØ Ãß°¡µÈ »ç¿ëÀÚ³ª ±×·ìÀÌ ¾ø´ÂÁö ´ÙÀ½°ú °°Àº ¸í·É¾î·Î È®ÀÎÇÑ´Ù.

¹Ù. °øÀ¯, ·Î±×ÀÎ Á¤º¸ È®ÀÎ
½Ã½ºÅÛ¿¡¼ Á¦°øµÇ´Â¡°net¡±¸í·É¾î¸¦ »ç¿ëÇØ ÇöÀç ½Ã½ºÅÛ¿¡ °øÀ¯µÈ Á¤º¸, ÇöÀç ·Î±×ÀεǾî ÀÖ´Â »ç¿ëÀÚ Á¤º¸¸¦ È®ÀÎÇØ¾ß ÇÑ´Ù. ±×¸®°í NBT(Net bios)¿¡ ¿¬°áµÈ Á¤º¸°¡ ÀÖ´ÂÁö nbtstat ¸í·É¾î¸¦ »ç¿ëÇØ È®ÀÎÇÒ Çʿ䰡 ÀÖ´Ù. ¶ÇÇÑ ½Ã½ºÅÛÀÇ °¨»ç Á¤Ã¥ÀÌ ¼³Á¤µÇ¾î ÀÖ´Ù¸é ¡®http://www.foundstone.com¡¯¿¡¼ Á¦°øÇÏ´Â ntlast ¸í·É¾î¸¦ ÅëÇØ ·Î±×ÀÎ/·Î±×¿ÀÇÁ¿¡ ´ëÇÑ ¼º°ø ½ÇÆÐ ¿©ºÎ¸¦ È®ÀÎÇÒ ¼ö ÀÖ´Ù.

»ç. ºÐ¼® ½ºÅ©¸³Æ®
¾Õ¼ ¼³¸íÇÑ ÇÁ·Î±×·¥µéÀ» Çϳª¾¿ ½ÇÇàÇØ ºÐ¼® ÇÒ ¼öµµ ÀÖÁö¸¸ ÃʱâºÐ¼®À» È¿À²ÀûÀ¸·Î ¼öÇàÇϱâ À§Çؼ´Â Èֹ߼º µ¥ÀÌÅ͸¦ ºü¸£°Ô ¼öÁýÇØ¼ ºÐ¼®ÇØ¾ß ÇÑ´Ù. ºü¸£°Ô ¼öÁýÇÏ°í ºÐ¼®Çϱâ À§Çؼ´Â ¹èÄ¡ÆÄÀÏ·Î À§ÀÇ ¸í·É¾î¸¦ ¼öÇàÇÏ°í °á°ú´Â ÆÄÀÏ·Î ÀúÀåÇØ¾ß ÇÑ´Ù.


¾Æ. ÀÚµ¿È µµ±¸
ÀÚµ¿ÈµÈ ½ºÅ©¸³Æ®ÀÇ »ç¿ë À̿ܿ¡µµ À©µµ¿ì ÇÇÇØ½Ã½ºÅÛ Ãʱ⠺м®À» À§ÇØ ¾Õ¼ ¼³¸íÇÑ °ø°³¿ë µµ±¸¸¦ ÀÌ¿ëÇØ Á¤º¸¸¦ ÀÚµ¿À¸·Î ¼öÁýÇØ ÁÖ´Â µµ±¸¸¦ »ç¿ëÇÒ ¼ö ÀÖ´Ù. ±×Áß¿¡¼µµ ¼öÁýµÈ Á¤º¸¸¦ ¾Æ·¡ ±×¸²Ã³·³ ºê¶ó¿ìÀú·Î È®ÀÎÇÒ ¼ö ÀÖ´Â ±â´ÉÀ» Á¦°øÇÏ´Â WFT(Windows Forensic Toolchest) »ç¿ëÀ» ÃßõÇÑ´Ù. »ç¿ë¹æ¹ýÀº ´ÙÀ½°ú °°´Ù.
- ¸ÕÀú WFT¿Í ºÐ¼®¿¡ ÇÊ¿äÇÑ ¸í·É¾îµéÀ» ´Ù¿î¹Þ´Â´Ù.
- ¸í·É¾î¡°wft.exe¡±¸¦ ½ÇÇàÇÑ´Ù.
- ½Ã½ºÅÛ¿¡ µû¶ó 5ºÐ Á¤µµ ±â´Ù¸®¸é index.html ÆÄÀÏÀÌ »ý¼ºµÈ´Ù.
- index.html ÆÄÀÏÀ» ¿¾î °ü·ÃÁ¤º¸¸¦ È®ÀÎÇÑ´Ù.
¡Ø dd ¸í·É¾î¸¦ ¼öÇàÇÏ´Ù ÇÁ·Î±×·¥ÀÌ ³¡³ª´Â °æ¿ì°¡ ¹ß»ýÇÒ ¼ö ÀÖÀ¸¹Ç·Î °ü·Ã ½ÇÇà ºÎºÐÀ» wft.cfg ÆÄÀÏ¿¡¼
ÁÖ¼® ó¸®ÇØ ÁØ´Ù. ¶ÇÇÑ hfind, streams ¸í·É¾î ¼öÇà½Ã°£ÀÌ »ó´çÈ÷ ±æ¾îÁú ¼ö Àֱ⠶§¹®¿¡ ÀÌ ºÎºÐµµ ÁÖ¼®
ó¸®ÇÏ±æ ±ÇÀåÇÑ´Ù.
- ´Ù¿î·Îµå : http://www.foolmoon.net/security/

WFT µµ±¸¿¡¼ »ç¿ëÇÑ ¸í·É¾î´Â ´ÙÀ½°ú °°´Ù.

- ±âŸ µµ±¸
WFT¿Ü °ø°³µÈ ÀÚµ¿È µµ±¸´Â ´ÙÀ½°ú °°´Ù.
¡¤ Biatchux(F.I.R.E)
http://biatchux.dmzs.com/
¡¤ IRCR(Incident Response Collection Report)
http://packetstormsecurity/Win/IRCR.zip
2. ·çƮŶ Á¡°Ë
·çƮŶ(RootKit)À̶õ¡°½Ã½ºÅÛ¿¡Å½ÁöµÇÁö¾Êµµ·ÏÇÏ´ÂÄÚµå, ÇÁ·Î±×·¥ÀÇÁýÇÕ¡±,¡° ½Ã½ºÅÛ°ü¸®ÀÚ ±ÇÇÑÀ» ȹµæÇϱâ À§ÇÑ ÇÁ·Î±×·¥¡±À̶ó ÇÒ ¼ö ÀÖ´Ù. ÃÖ±Ù À©µµ¿ì ÇØÅ·µ¿ÇâÀº °ø°Ý¿¡ ¼º°øÇÑ ÈÄ ½Ã½ºÅÛ¿¡ ´Ù¿î·Îµå µÈ ¾Ç¼ºÇÁ·Î±×·¥(Bot, ¹éµµ¾î µî)ÆÄÀÏ ¹× ½ÇÇàµÈ ¾Ç¼º ³×Æ®¿öÅ©, ÇÁ·Î¼¼½º Á¤º¸¸¦ ¼û±â±â À§ÇØ ·çƮŶÀ» ¿¬µ¿Çϰí ÀÖ´Ù.
°¡. ·çƮŶ ±â´É
´ëºÎºÐÀÇ ·çƮŶÀº »ç¿ëÀÚ ¸ðµå¿Í Ä¿³Î ¸ðµåÀÇ ·çƮŶÀ¸·Î ±¸ºÐÇÒ ¼ö ÀÖ´Ù. »ç¿ëÀÚ ¸ðµå´Â ÆÄÀÏ ±³Ã¼ Áï Æ¯Á¤ ÇÁ·Î¼¼½º¿¡ »ç¿ëÇÑ DLL ÆÄÀϵéÀ» ±³Ã¼Çϰųª IAT(Import Address Table) ÈÄÅ·, API ¿£Æ®¸® ÆÐÄ¡ ¹æ¹ýµéÀ» »ç¿ëÇØ¼ ¿øÇÏ´Â Á¤º¸¸¦ ¼û±â´Â ·çƮŶµéÀÌ´Ù. ÇÏÁö¸¸ Ä¿³Î ¸ðµå ·çƮŶÀº À©µµ¿ì ¿î¿µÃ¼Á¦ ·¹º§ÀÎ À©µµ¿ì Native API(ntdll.dll, Kernel32.dll, User32.dll µî) Ä¿³Î µå¶óÀ̺ê¿Í Win32 ÀÀ¿ëÇÁ·Î±×·¥ °£ÀÇ µ¥ÀÌÅ͸¦ Á¶ÀÛÇÔ
À¸·Î½á °ø°ÝÀÚÀÇ ÈçÀûÀ» °¨Ãá´Ù.
ÀÌ·¯ÇÑ ·çƮŶµéÀÇ ±â´ÉÀº ´ÙÀ½°ú °°´Ù.
- ÇÁ·Î¼¼½º/½º·¹µå °¨Ãß±â
- ÇÁ·Î¼¼½º º¸¾È¼³Á¤ º¯°æ ¹× Á¦°Å
- ÆÄÀÏ/Æú´õ °¨Ãß±â
- ·¹Áö½ºÆ®¸®/¼ºñ½º °¨Ãß±â
- ³×Æ®¿öÅ© Á¤º¸ °¨Ãß±â
- ½º´ÏÇÎ ¹× ½Ã½ºÅÛ Á¦¾î
ÇöÀç±îÁö ¿ÜºÎ¿¡ °ø°³µÈ ·çƮŶµéÀº ´ÙÀ½°ú °°À¸¸ç ÃÖ±Ù ÇÇÇØ½Ã½ºÅÛ¿¡¼ ¹ß°ßµÈ °ÍµéÀº ´ëºÎºÐ ¾Æ·¡ ·ç¸£Å¶µéÀÇ º¯Á¾ÀÌ¶ó º¼ ¼ö ÀÖ´Ù.

³ª. ·çƮŶ ŽÁö
·çƮŶÀ» ŽÁöÇϱâ À§ÇÑ ¹æ¹ýÀ¸·Î ½Ã½ºÅÛ¿¡ ¼³Ä¡µÇ¾î ÀÖ´Â ¾ÈƼ¹ÙÀÌ·¯½º ÇÁ·Î±×·¥À» ÀÌ¿ëÇÒ ¼öµµ ÀÖ°ÚÁö¸¸ Ä¿³Î ·¹º§ ±îÁö °Ë»ç¸¦ ÇÏ´Â ÇÁ·Î±×·¥Àº ±ØÈ÷ µå¹°´Ù. ¶ÇÇÑ ·çƮŶÀº ¾Ç¼º ÇÁ·Î±×·¥À̳ª °ø°ÝÀÚÀÇ ÈçÀûÀ» ¼û±â°í ÀÖÀ¸¹Ç·Î ÀÌ·¯ÇÑ ¼û°ÜÁø Á¤º¸¸¦ ÅëÇØ Áß¿äÇÑ Á¤º¸µéÀ» ã¾Æ³¾ ¼ö ÀÖÀ¸¹Ç·Î ¹Ýµå½Ã Àü¹® ÇÁ·Î±×·¥À» Ȱ¿ëÇØ¾ß ÇÑ´Ù.
¾Æ·¡ Ç¥´Â ·çƮŶ ŽÁö Àü¹® ÇÁ·Î±×·¥ÀÇ ±â´ÉÀ» ºÐ¼®ÇÑ Ç¥·Î½á ºÐ¼®ÀÚ¿¡°Ô ÀûÀýÇÑ ÇÁ·Î±×·¥À» ã¾Æ¼ ºÐ¼®ÇÏ¸é µÈ´Ù.

´Ù. IceSword µµ±¸¸¦ »ç¿ëÇÑ Å½Áö
IceSword´Â °³ÀÎÀÌ °³¹ßÇÑ ÇÁ¸®¿þ¾î µµ±¸·Î ±â´ÉÀ̳ª »ç¿ëÀÚ¸¦ À§ÇÑ ÀÎÅÍÆäÀ̽º Ãø¸é¿¡¼ °¡Àå ½±°Ô »ç¿ëÇÒ ¼ö ÀÖ°Ô ±¸ÇöµÇ¾î ÀÖ´Ù.
* ´Ù¿î·Îµå : http://www.blogcn.com/user17/pjf/index.html
- ÇÁ·Î¼¼½º °Ë»ç
¾Æ·¡ ±×¸²À» º¸¸é ½ÇÁ¦ ÇÇÇØ½Ã½ºÅÛ¿¡¼ ¼û°ÜÁø ÇÁ·Î¼¼½º¸¦ ãÀº ȸéÀÌ´Ù. ¼û°ÜÁø root.exeÀÇ ½ÇÇà°æ·Î¸¦ ÅëÇØ ¾Ç¼ºÇÁ·Î±×·¥µéÀÇ È¨ µð·ºÅ͸®ÀΡ°c:\winnt\at2.job\¡±À» È®ÀÎÇÒ ¼ö ÀÖ´Ù. ÀÌ µð·ºÅ͸®´Â ·çƮŶ¿¡ ÀÇÇØ ¼û°ÜÁ® ÀÖÀ¸¹Ç·Î IceSword µµ±¸ÀÇ¡°File¡±À» ÅëÇØ È®ÀÎÇØ¾ß ÇÑ´Ù.

- ³×Æ®¿öÅ© Á¡°Ë
´ÙÀ½ ±×¸²Àº fport ¸í·É¾î¸¦ ÅëÇØ¼± 103¹ø Æ÷Æ®ÀÇ ¹éµµ¾î¸¦ È®ÀÎÇÒ ¼ö ¾øÁö¸¸ IceSword ³×Æ®¿öÅ© Á¤º¸¸¦ È®ÀÎÇÏ¸é ·çÆ®Å¶¿¡ ¼û°ÜÁø ¹éµµ¾î Æ÷Æ®¸¦ È®ÀÎÇÒ ¼ö ÀÖ´Ù.

- ¼ºñ½º Á¡°Ë
´ëºÎºÐÀÇ Ä¿³Î ·çƮŶµéÀº ¼ºñ½º·Î ¸ðµâÀ» ·ÎµùÇÏ°Ô µÇ¹Ç·Î ·çƮŶÀ» ½ÇÇàÇÏ´Â ¼ºñ½º¸¦ ¼û±â°Ô µÈ´Ù. ¾Æ·¡ ±×¸²Àº ·çƮŶ¿¡ ÀÇÇØ ¼û°ÜÁ³´ø ¼ºñ½º¸¦ °ËÃâÇÑ È¸éÀÌ´Ù. ÀÌ ¼ºñ½º¸¦ Disable·Î Çϰí StopÀ¸·Î »óŸ¦ º¯°æÇؼ ½Ã½ºÅÛÀ» ÀçºÎÆÃÇÏ¸é ·çÆ®Å¶ÀÌ ½ÇÇàµÇ´Â °ÍÀ» ¸·À» ¼ö ÀÖ´Ù.

- ¼û°ÜÁø ·¹Áö½ºÆ®¸®/ÆÄÀÏ °Ë»ç
IceSword·Î ¼û°ÜÁø ·¹Áö½ºÆ®¸®¸¦ ãÀ» °æ¿ì ¼öµ¿À¸·Î Á¡°ËÇØ¾ß ÇÏ´Â ºÒÆíÇÔÀÌ ÀÖÀ¸¹Ç·Î ·çƮŶ¿¡ ÀÇÇØ ¼û°ÜÁø ÆÄÀϰú ·¹Áö½ºÆ®¸®¸¦ ÀÚµ¿À¸·Î ã¾Æ¼ °ËÃâÇØ Áִ¡°Anti-Rootkit¡± µµ±¸·Î È®ÀÎÇÒ ¼ö ÀÖ´Ù.

3. »ó¼¼ºÐ¼®
°¡. ·¹Áö½ºÆ®¸® ºÐ¼®
À©µµ¿ì ·¹Áö½ºÆ®¸®´Â ½Ã½ºÅÛÀÌ ¿î¿µµÇ´Âµ¥ ÇÊ¿äÇÑ Á¤º¸¸¦ ´ã°í ÀÖ´Ù. ¼³Ä¡µÈ ¼ÒÇÁÆ®¿þ¾î Á¤º¸ºÎÅÍ È¯°æ¼³Á¤, Àӽà ÀúÀå°ª±îÁö ½Ã½ºÅÛ¿¡ °ÅÀÇ ¸ðµç Á¤º¸¸¦ ´ã°í ÀÖÀ¸¹Ç·Î »ç°íºÐ¼®¿¡ ÀÖ¾î °ø°ÝÀÚÀÇ Áß¿äÇÑ ÈçÀûÀ» ãÀ» ¼ö ÀÖ´Ù.
- ½ÃÀÛ ÇÁ·Î±×·¥
¾Æ·¡ ·¹Áö½ºÆ®¸® ¸ñ·ÏÀº À©µµ¿ì ½ÃÀÛ ½Ã ÀÚµ¿À¸·Î ½ÇÇàÇÏ´Â ÇÁ·Î±×·¥À» µî·ÏÇÏ´Â ·¹Áö½ºÆ®¸®µéÀÌ´Ù. °ø°ÝÀÚµéÀº ¾Ç¼ºÇÁ·Î±×·¥À» µî·ÏÇÏ¿© ½Ã½ºÅÛ ÀçºÎÆÃ ½Ã ÀÚµ¿À¸·Î ½ÇÇàµÇµµ·ÏÇϹǷΠÀÚ¼¼ÇÑ ºÐ¼®ÀÌ ÇÊ¿äÇÏ´Ù.

À©µµ¿ì ½ÃÀÛ°ú °ü·ÃµÈ ·¹Áö½ºÆ®¸® Á¤º¸´Â sysinternals¿¡¼ Á¦°øÇÏ´Â Autoruns ÇÁ·Î±×·¥À» ÅëÇØ ¾Æ·¡¿Í °°ÀÌ È®ÀÎÇÒ ¼ö ÀÖ´Ù.

¾Æ·¡ ·¹Áö½ºÆ®¸® ۵éÀº µðÆúÆ®·Î %1%* °ªÀ» °®´Âµ¥ À̵éÀ»¡°server.exe %1%*¡±·Î º¯°æÇÒ °æ¿ì exe, com, bat, hta, pif ÆÄÀϵéÀÇ ½ÇÇà ½Ã ¸Å¹ø server.exe ÆÄÀÏÀ» ÀÚµ¿À¸·Î ½ÇÇàµÇµµ·Ï ÇÒ ¼ö ÀÖ´Ù.

À§¿Í °°Àº ·¹Áö½ºÆ®¸®µéÀº¡®http://www.diamondcs.com.au¡¯¿¡¼ Á¦°øÇϴ¡°Autostart Viewer¡±¸¦ ÅëÇØ È®ÀÎÇÒ ¼ö ÀÖ´Ù.


- °ø°ÝÀÚ°¡ ³²±ä ·¹Áö½ºÆ®¸® Á¤º¸ ¼öÁý
¡¤ ÃÖ±Ù »ç¿ëÇÑ ¹®¼ ¸ñ·Ï
HKCU\Software\Microsft\windows\CurrentVersion\Explorer\Recentdocs
¡¤ Å͹̳Π¼ºñ½º Á¢¼Ó ¸ñ·Ï
HKCU\Software\Microsft\Terminal server Client\Default
¡¤ ¼³Ä¡µÈ ¼ÒÇÁÆ®¿þ¾î ¸ñ·Ï
HKCU\Software\
¡¤ ¿¾îº» ÆÄÀÏ ¸ñ·Ï
HKCU\Software\Microsft\windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU
³ª. ÀÚµ¿½ÇÇà Á¡°Ë
- ¼ºñ½º Á¡°Ë
°ø°ÝÀÚ´Â À©µµ¿ì ¼ºñ½º¿¡ ÀÚ½ÅÀÇ ¾Ç¼ºÇÁ·Î±×·¥À» µî·Ï ½ÃÄÑ ½Ã½ºÅÛÀÌ ÀçºÎÆÃ µÇ´õ¶óµµ ÇØ´ç ¼ºñ½º (µî·ÏµÈ ¾Ç¼ºÇÁ·Î±×·¥)À» ÀÚµ¿À¸·Î Àç½ÃÀÛÇÒ ¼ö ÀÖ´Ù. ÀÌ·¯ÇÑ ¹æ¹ýÀº ´ëºÎºÐÀÇ °ø°ÝÀÚµéÀ̳ª ¾Ç¼ºÇÁ·Î±×·¥µéÀÌ ÇàÇϰí ÀÖ´Â À¯ÇüÀ̱⠶§¹®¿¡ ºÐ¼®ÀÚ´Â ¹Ýµå½Ã ¼ºñ½º¸¦ Á¡°ËÇÒ Çʿ䰡 ÀÖ´Ù.
¾Ç¼º ÇÁ·Î±×·¥À» ½ÇÇàÇÏ´Â ¼ºñ½º¸¦ ¿¹»óÇÒ ¼ö ÀÖ´Â ¹æ¹ýÀº ´ÙÀ½°ú °°´Ù.
¡¤ »ý¼ÒÇÑ À̸§ÀÇ ¼ºñ½º
¡¤ ¡°Description¡±³»¿ëÀÌ ºñ¾îÀÖ´Â ¼ºñ½º
¡¤ ¡°Description¡±³»¿ëÀÌ ¿µ¹®ÀÎ ¼ºñ½º
ÇÏÁö¸¸ ´ëºÎºÐÀÇ °ø°ÝÀÚ ÇÁ·Î±×·¥ÀÌ Á¤»óÀûÀÎ ¼ºñ½º À̸§À¸·Î °¡ÀåÇϰí Àֱ⠶§¹®¿¡ ã±â ½±Áö´Â ¾ÊÁö¸¸, ÇöÀç ½ÃÀÛµÈ ¼ºñ½º Ç׸ñÀÌ ¾î¶² °ÍÀÌ¸ç ½ÇÇàÆÄÀÏ °æ·Î°¡ ¿Ã¹Ù¸¥Áö È®ÀÎÇØ¾ß ÇÑ´Ù. ´ÙÀ½Àº ¾Ç¼ºÇÁ·Î±×·¥ÀÌ °ü¸®ÀÚ°¡ È¥µ¿Çϵµ·Ï ÁÖ·Î »ç¿ëÇÏ´Â ¼ºñ½º¸íÀÌ¸ç ½ÇÁ¦ ¼ºñ½º¸í°ú À¯»çÇÏ´Ù.
¡¤ Backup System
¡¤ Remote Administrator Service
¡¤ System Spooler Host
¡¤ Windows Management Drivers
¡¤ Universal Serial Bus Control Components
´ÙÀ½ ±×¸²Àº °ø°ÝÀÚ¿¡ ÀÇÇØ µî·ÏµÈ ¼ºñ½º¸¦ ½Ã½ºÅÛ¿¡¼ Á¦°øÇϴ¡°°ü¸®µµ±¸-¼ºñ½º¡±¿¡¼ È®ÀÎÇÑ È¸éÀÌ´Ù.

Autoruns´Â ÇöÀç ±¸µ¿ÁßÀÎ ¼ºñ½º¿Í ½ÇÇàµÈ ÇÁ·Î±×·¥À» ÇÑ´«¿¡ È®ÀÎÇÒ ¼ö ÀÖ´Â ±â´ÉÀ» Á¦°øÇÏ¸ç ¾Æ·¡ ±×¸²Àº¡°Services¡±ÅÇÀ» ½ÇÇàÇØ ¹éµµ¾î °ü·Ã ¼ºñ½º¸¦ È®ÀÎÇÑ È¸éÀÌ´Ù. ¾Æ·¡ ¹éµµ¾î °ü·Ã ¼ºñ½º´Â ¼³¸í ºÎºÐÀÌ ºñ¾î ÀÖ¾î ½±°Ô ãÀ» ¼ö ÀÖ´Ù.

- ½ºÄÉÁìµÈ ÀÛ¾÷ È®ÀÎ
½Ã½ºÅÛÀº ÇÊ¿äÇÑ ÀÛ¾÷À» ¿øÇÏ´Â ½Ã°£¿¡ ¿¹¾àÇÒ ¼ö ÀÖ´Â ±â´ÉÀÌ Á¸Àç ÇÑ´Ù. °ø°ÝÀÚµéÀº ÀÌ·¯ÇÑ ±â´ÉÀ» ÀÌ¿ëÇØ ½Ã½ºÅÛÀÌ ÀçºÎÆÃ µÇ´õ¶óµµ ¾Ç¼º ÇÁ·Î±×·¥ÀÌ ½ÃÀÛµÉ ¼ö ÀÖµµ·Ï ÇÒ ¼ö ÀÖÀ¸¹Ç·Î Á¡°ËÀÌ ÇÊ¿äÇÏ´Ù.
AutorunsÀÇ Scheduled Tasks ±â´ÉÀ» ÅëÇØ ½±°Ô È®ÀÎÇÒ ¼ö ÀÖ´Ù.

- ÀÚµ¿½ÃÀÛ Æú´õ Á¡°Ë
À©µµ¿ìÀÇ Àç½ÃÀÛ ½Ã ÀÌ Æú´õ ¾È¿¡ ÀÖ´Â ¸ðµç ÇÁ·Î±×·¥µéÀº ÀÚµ¿À¸·Î ½ÇÇàµÈ´Ù. À©µµ¿ì¿¡¼ ÀÌ·¯ÇÑ ÀÚµ¿ ½ÃÀÛ Æú´õ´Â ´ÙÀ½°ú °°´Ù.
¡¤ C:\Documents and Settings\Administrator\½ÃÀÛ ¸Þ´º\ÇÁ·Î±×·¥\½ÃÀÛÇÁ·Î±×·¥
¡¤ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders
AutorunsÀÇ Logon ±â´ÉÀ» ÅëÇØ ½±°Ô È®ÀÎ °¡´ÉÇÏ´Ù.
- Winlogon Notification DLL
Winlogon Notification DLLÀº NT ¼ºñ½º¿¡ ºñÇØ ÀûÀº Äڵ常À¸·Î ±¸ÇöÀÌ °¡´ÉÇÏ¸ç ¾ÈÀü¸ðµå¿¡¼µµ ¿øÇÏ´Â ÄÚµåÀÇ ½ÇÇàÀÌ °¡´ÉÇÑ ÀåÁ¡ÀÌ ÀÖ´Ù. Winlogon.exe¿¡¼ ¹ß»ýÇÏ´Â À̺¥Æ® Çڵ鷯¸¦ ÀÛ¼ºÇÏ¿© Logon, Logoff, Startup, Shutdown, Startscreensaver, Stopscreensaver µîÀÇ À̺¥Æ®°¡ ¹ß»ýÇÒ ¶§¸¶´Ù ¿øÇÏ´Â Äڵ带 ½ÇÇàÇÒ ¼ö°¡ ÀÖ´Ù. °ü·Ã ·¹Áö½ºÆ®¸®´Â ´ÙÀ½°ú °°´Ù.

¡Ø Troj/Haxdoor-DI ¾Ç¼ºÇÁ·Î±×·¥ ¿¹
arprmdg0.dll¿¡ ÀÇÇØ »ðÀÔµÈ Äڵ带 µ¿ÀÛ½Ã۱â À§ÇØ ¾Æ·¡ ·¹Áö½ºÆ®¸®°¡ »ý¼ºµÈ´Ù.

AutorunsÀÇ Winlogon ±â´ÉÀ» ÅëÇØ Á¡°Ë ÇÒ ¼ö ÀÖÀ¸¸ç ¼³¸íºÎºÐÀÌ ºñ¿öÁ® Àְųª »ý¼ÒÇÑ À̸§ÀÇ dllÀÌ ½ÇÇàµÇ¾ú´ÂÁö È®ÀÎÀÌ ÇÊ¿äÇÏ´Ù.

´Ù. À̺¥Æ® ·Î±×ºÐ¼®
°ø°ÝÀÚÀÇ ÈçÀû ¹× Ȱµ¿ Á¤º¸¸¦ ã¾Æ³»±â À§Çؼ´Â ·Î±×ºÐ¼®ÀÌ ÇÊ¿äÇÏ´Ù. À©µµ¿ì ½Ã½ºÅÛ¿¡¼´Â Çϵå¿þ¾î, ¼ÒÇÁÆ®¿þ¾î ¹× ½Ã½ºÅÛ ¹®Á¦¸¦ À̺¥Æ®·Î±×¿¡ ÀúÀåÇϹǷΠÀ̺¥Æ® ºä¾î¸¦ ÅëÇØ È®ÀÎÀÌ ÇÊ¿äÇÏ´Ù.
¡¤ °ü¸®µµ±¸ -> À̺¥Æ® ºä¾î
¡¤ ½ÇÇà -> eventvwr.msc

ÇÏÁö¸¸ °ø°ÝÀÚ´Â ÀڽŵéÀÇ ÈçÀûÀ» Áö¿ì±â À§ÇØ¡®ClearEvent¡¯°°Àº ÇÁ·Î±×·¥µéÀ» ÀÌ¿ëÇØ À̺¥Æ® ·Î±×¸¦ ¸ðµÎ »èÁ¦ÇÒ ¼öµµ Àֱ⠶§¹®¿¡ ¸¸¾à ¾î¶°ÇÑ ·Î±×µµ ³²¾ÆÀÖÁö ¾Ê´Ù¸é °ø°ÝÀÚ°¡ ÈçÀûÀ» Áö¿î °ÍÀ¸·Î ÀÌÇØÇØ¾ß ÇÑ´Ù.
¾Æ·¡ Ç¥´Â À̺¥Æ® Á¡°Ë ½Ã ÁÖÀÇ ±í°Ô »ìÆìºÁ¾ß ÇÒ °ÍµéÀÌ´Ù.

¶ó. MAC time ºÐ¼®
´ëºÎºÐÀÇ ÆÄÀϽýºÅÛÀº ¸ðµç µð·ºÅ͸®³ª ÆÄÀϰú °ü·ÃµÈ ´ÙÀ½°ú °°Àº ½Ã°£ ¼Ó¼ºÀ» °®´Â´Ù.
- mtime : ÆÄÀÏÀ» »ý¼º ¹× ÃÖ±Ù ¼öÁ¤ÇÑ ½Ã°£
- atime : ÃÖ±Ù ÆÄÀÏÀ» Àаųª ½ÇÇà½ÃŲ ½Ã°£
- ctime : ÆÄÀÏ ¼Ó¼ºÀÌ º¯°æµÈ ½Ã°£
ÀÌ·¯ÇÑ ½Ã°£ Á¤º¸¸¦ mac time À̶ó ÇÏ¸ç ºÐ¼®À» ÅëÇØ °ø°ÝÀÚ°¡ ÆÄÀÏ ½Ã½ºÅÛ¿¡¼ ¾î¶°ÇÑ ÇൿÀ» Çß´ÂÁö¿¡ ´ëÇØ ÆÇ´Ü ÇÒ ¼ö ÀÖ´Â Á¤º¸¸¦ Á¦°øÇÑ´Ù.
¡¤ ÇØÅ·½ÃÁ¡À¸·Î mtime, atime °Ë»ö
¡¤ °ËÃâµÈ ¾Ç¼ºÄÚµå mtime, atime °Ë»ö
À§¿Í °°Àº Á¤º¸·Î °Ë»ö ÈÄ ½Ã°£´ë¸¦ Áß½ÉÀ¸·Î Á¤·ÄÇØ¼ ½Ã°£ È帧¿¡ µû¶ó ¾î¶°ÇÑ ÆÄÀÏÀÌ »ý¼º, ¼öÁ¤, ½ÇÇàµÆ´ÂÁö¸¦ ºÐ¼®ÇØ¾ß ÇÑ´Ù. mac timeÀº À©µµ¿ìÁî ±â´É Áß¡°ÆÄÀÏ ¹× Æú´õ ã±â¡±±â´ÉÀ» ÅëÇØ È®ÀÎÇÒ ¼ö ÀÖ°í Á¡°Ë ¹æ¹ýÀº ¾Æ·¡ ±×¸²°ú °°´Ù.
¡¤ À§Ä¡ : ½ÃÀÛ-°Ë»ö-ÆÄÀÏ ¹× Æú´õ-°Ë»ö¿É¼Ç-³¯Â¥

ÇØÅ· ¹ß»ý ³¯Â¥¸¦ ±âÁØÀ¸·Î¡°¸¶Áö¸· ¿¢¼¼½º ÆÄÀÏ¡±À» °Ë»çÇÏ°Ô µÇ¸é ÇØÅ· ¹ß»ý ÈÄ ½ÇÇàµÆ´ø ÆÄÀϵéÀ» °Ë»öÇÒ ¼ö ÀÖ´Ù.
¾Æ·¡ ±×¸²Àº ¹ß°ßµÈ ¹éµµ¾îÆÄÀÏ rsmss.exeÀÇ mtimeÀ» ÅëÇØ À©µµ¿ì-ÆÄÀÏã±â ±â´É¿¡¼ ±×¶§ ½ÇÇàµÆ´ø ÆÄÀϵéÀ» Á¶»çÇÑ °á°ú ¾Ç¼ºÇÁ·Î±×·¥µéÀ» ãÀ» ¼ö ÀÖ¾ú´Ù.

¸¶. ħÀÔ¹æ¹ý ºÐ¼®
°ø°ÝÀÚ°¡ ¾î¶»°Ô ½Ã½ºÅÛ¿¡ ħÀÔÇÒ ¼ö ÀÖ¾ú´ÂÁö¿¡ ´ëÇÑ ºÐ¼® ¶ÇÇÑ ÇÇÇØ½Ã½ºÅÛ ºÐ¼®¿¡¼ ¸Å¿ì Áß¿äÇÏ´Ù. °ü¸®ÀÚµéÀº ÀÌ·¯ÇÑ ÇØÅ· ¿øÀκм®À» ÇÏÁö ¾Ê°í »ç°í¿¡ µû¸¥ Á¶Ä¡¸¸ ÃëÇÏ°Ô µÇ¸é ÀÌÈÄ¿¡ ¶Ç´Ù½Ã °°Àº Ãë¾àÁ¡À¸·Î ÇØÅ·À» ´çÇÒ ¼ö Àֱ⠶§¹®¿¡ ¿øÀÎ ºÐ¼®À» ÅëÇØ ¹Ýµå½Ã ÆÐÄ¡¸¦ ¼öÇàÇØ¾ß ÇÑ´Ù.
À©µµ¿ìÁî ¼¹ö¿¡¼ ÇØÅ·»ç°í°¡ ¹ß»ýÇÒ ¼ö ÀÖ´Â °æ¿ì´Â Å©°Ô ´ÙÀ½°ú °°ÀÌ ºÐ·ùÇÒ ¼ö ÀÖ´Ù.
- À©µµ¿ì Ãë¾àÁ¡
¡¤ ½Ã½ºÅÛ Ãë¾àÁ¡ (º¸¾È ¾÷µ¥ÀÌÆ® ¹Ì½Ç½Ã)
¡¤ ÆÐ½º¿öµå Ãë¾àÁ¡
¡¤ À߸øµÈ °øÀ¯¼³Á¤
- À¥ ¾îÇø®ÄÉÀÌ¼Ç Ãë¾àÁ¡
¡¤ SQL Injection
¡¤ ÆÄÀϾ÷·Îµå µî
- MS-SQL Ãë¾àÁ¡
¡¤ µðÆúÆ® ÆÐ½º¿öµå »ç¿ë
¡¤ ÆÐÄ¡ ¹Ì½Ç½Ã
¸ÕÀú ½Ã½ºÅÛ¿¡ ¾î¶² ¾îÇø®ÄÉÀ̼ÇÀÌ ¿î¿µ ÁßÀÎÁö È®ÀÎÇØ¾ß ÇÑ´Ù. ÇÏÁö¸¸ ´ë´Ù¼öÀÇ ÇØÅ·»ç°í´Â ½Ã½ºÅÛ º¸¾È ¾÷µ¥ÀÌÆ® ¹Ì ½Ç½Ã·Î ÀÎÇÑ À©µµ¿ì Ãë¾àÁ¡À̳ª À¥ ¼ºñ½º °ø°ÝÀ» ÅëÇØ ¹ß»ýÇÑ´Ù.
À¥ ¼ºñ½º°¡ ±¸µ¿ ÁßÀÎ °æ¿ì´Â ÇØÅ· ¹ß»ý ½ÃÁ¡¿¡ ¹ß»ýÇÑ ·Î±× ºÐ¼®À» ÅëÇØ °ø°Ý ¿©ºÎ ¹× ¹æ¹ýÀ» ´ëºÎºÐ È®ÀÎÇÒ ¼ö ÀÖ´Ù.
¡¤ IIS ·Î±× À§Ä¡ : C:\WINNT\system32\LogFiles\W3SVC1
À©µµ¿ì Ãë¾àÁ¡ÀÇ °æ¿ì´Â ÃÖÁ¾ º¸¾È ¾÷µ¥ÀÌÆ® ³¯Â¥¸¦ ÆÄ¾Ç ÇÏ´Â °Ô Áß¿äÇÏ´Ù. ÃÖÁ¾ º¸¾È ¾÷µ¥ÀÌÆ® ÀÌÈÄ ¹ßÇ¥µÆ´ø Ãë¾àÁ¡ Áß ¸®¸ðÆ®¿¡¼ °ø°Ý °¡´ÉÇÑ Ãë¾àÁ¡ÀÌ ÀÖ¾ú´ÂÁö ÆÄ¾ÇÇÏ°í °ü·Ã ¼ºñ½º°¡ ¿ÀÇ µÇ¾î ÀÖ´ÂÁö È®ÀÎÇØ¾ß ÇÑ´Ù.
Microsoft¿¡¼ Á¦°øÇÏ´Â Microsoft Baseline Security Analyzer¸¦ ÀÌ¿ëÇÏ¿© º¸¾È ÆÐÄ¡»óÅÂ, IIS, SQL º¸¾È »óŸ¦ Á¡°ËÇÒ ¼ö ÀÖ´Ù.

¹Ù. ÀÎÅÍ³Ý ÀÓ½ÃÆÄÀÏ ºÐ¼®
ÀÎÅÍ³Ý ÀͽºÇ÷η¯¸¦ ÅëÇØ ƯÁ¤ »çÀÌÆ®¿¡ Á¢¼ÓÇÏ°Ô µÇ¸é °ü·Ã »çÀÌÆ®ÀÇ ÆäÀÌÁö´Â ÀÓ½ÃÆÄÀÏ¿¡ ÀúÀåµÇ¸ç Á¢¼ÓÇÑ ÈçÀûÀÌ È÷½ºÅ丮¿¡ ³²À¸¸ç ¶ÇÇÑ »ç¿ëµÇ¾ú´ø Äí۵µ µð½ºÅ©¿¡ ÀúÀåÇÑ´Ù. ÀÌ·¯ÇÑ ÀÓ½ÃÆÄÀϵéÀ» ÅëÇØ °ø°ÝÀÚ°¡ ¹æ¹®ÇÑ Æ¯Á¤ »çÀÌÆ®µéÀ» È®ÀÎÇÒ ¼ö ÀÖ´Ù.

Àӽà ÀÎÅÍ³Ý °´Ã¼´Â »ç¿ëÀÚ°¡ ÀÎÅͳÝÀ» »ç¿ëÇÏ´Ù ´Ù¿î¹ÞÀº ActiveX ÇÁ·Î±×·¥µéÀÌ ÀúÀåµÈ ÀúÀå¼ÒÀÌ´Ù. Àӽà ÀÎÅÍ³Ý ÆÄÀÏÀº »ç¿ëÀÚ°¡ ¹æ¹®ÇÑ »çÀÌÆ® ÆäÀÌÁöµéÀÌ ´Ù¿î·ÎµåµÈ Àå¼ÒÀÌ¸ç ¿¾îº» ÆäÀÌÁö´Â »ç¿ëÀÚ°¡ Á¢¼ÓÇß´ø »çÀÌÆ® ¸íµéÀÌ È÷½ºÅ丮·Î ÀúÀåµÇ¾î ÀÖ´Ù.
À§¿Í °°Àº ÀÎÅÍ³Ý ÀÓ½ÃÆÄÀϵéÀº indexview¸¦ ÅëÇØ ½±°Ô È®ÀÎÇÒ ¼ö ÀÖ´Ù. ÀÌ ÇÁ·Î±×·¥Àº Cookie, Internet ÀÓ½ÃÆÄÀÏ, History 3°¡Áö ÇüÅ·Πº¸¿©ÁØ´Ù.
¡¤ ´Ù¿î·Îµå : http://exits.ro/dwl/IndexView.exe

4. ÇØÅ·ÇÁ·Î±×·¥ ºÐ¼®
°¡. ºÐ¼®È¯°æ ±¸¼º
ºÐ¼®À» À§Çؼ ÃÖ¼Ò 2°³ ÀÌ»óÀÇ ¼¹ö¸¦ °¡»óÀ¸·Î ±¸µ¿½ÃŰ´Â ¹°¸®Àû ¼¹ö°¡ ÇÊ¿äÇÏ´Ù.
- [¼ºñ½º Á¦°ø] °¡»ó¼¹ö
¡¤ °¡»ó ³×Æ®¿öÅ©°¡ ÀÏ¹Ý ³×Æ®¿öũó·³ µ¿ÀÛÇÒ ¼ö ÀÖµµ·Ï Samba, HTTP, FTP µîÀÇ ¼ºñ½º¸¦ Á¦°øÇÏ´Â °¡»ó¼¹ö¸¦ Çϳª ±¸ÃàÇÑ´Ù.
¡¤ ÇØÅ·ÇÁ·Î±×·¥À» ºÐ¼®ÇÏ´Ù º¸¸é ƯÁ¤ URL¿¡ Á¢¼ÓÇѴٵ簡 ƯÁ¤ ÁÖ¼Ò·Î ¸ÞÀÏÀ» º¸³»°í ƯÁ¤ »çÀÌÆ®ÀÇ IRC º¿¿¡ Á¢¼ÓÇϹǷΠ¼ºñ½º ±¸ÃàÀÌ ÇÊ¿äÇÏ´Ù.
¡¤ ¼¹ö OS¸¦ ¸®´ª½º·Î ±¸¼ºÇÏ´Â °ÍÀº Å×½ºÆ®ÇÏ´Â ¾Ç¼ºÇÁ·Î±×·¥¿¡ ÀÇÇØ °ø°Ý¹Þ°Å³ª °¨¿°µÇ´Â °ÍÀ» ÃÖ¼ÒÈ Çϱâ À§Çؼ´Ù.
- [ÇÇÇØ ´ë»ó] °¡»ó¼¹ö
¡¤ ÇØÅ·ÇÁ·Î±×·¥À» ½ÇÇàÇÏ´Â ¼¹ö¸¦¡°ÇÇÇØ´ë»ó¡±¼¹ö¶ó ÇÑ´Ù.
¡¤ ÇØÅ·ÇÁ·Î±×·¥À» ½ÇÇàÇßÀ» ¶§ ½Ã½ºÅÛ ÆÄÀϰú ·¹Áö½ºÆ®¸®¿¡¼ ¹ß»ýÇÏ´Â ³»¿ëÀ» È®ÀÎÇϱâ À§ÇÏ¿© ¸ð´ÏÅ͸µ ÇÏ´Â ÇÁ·Î±×·¥ÀÌ ¼³Ä¡µÇ¾î¾ß ÇÑ´Ù.
¡¤ ÇØÅ·ÇÁ·Î±×·¥ Å×½ºÆ® ÈÄ ´Ù½Ã ÀÌÀü »óÅÂÀÎ Ãʱ⼳Á¤À¸·Î º¹±¸ÇÒ ¼ö ÀÖ¾î¾ß ÇÑ´Ù.
¡Ø Snapshot ±â´É Ȱ¿ë

³ª. ºÐ¼® ¹æ¹ý
¨ç SysAnalyzer µµ±¸ »ç¿ë
¡¤ ´Ù¿î·Îµå : http://labs.idefense.com
SysAnalyzer µµ±¸´Â ¾Ç¼ºÄڵ尡 ½Ã½ºÅÛ¿¡¼ ±¸µ¿µÇ´Â µ¿¾È¿¡ ÁÖ¾îÁø ½Ã°£¿¡ ÀÌÈÄ¿¡ º¯°æµÈ Á¤º¸¸¦ ¼öÁý, ºñ±³, ºÐ¼® º¸°íÇØ ÁÖ´Â ÀÚµ¿ÈµÈ ÅøÀÌ´Ù. SysAnalyzerÀÇ ÁÖµÈ ÀÓ¹«´Â ÁöÁ¤µÈ ½Ã°£¿¡ °ÉÃÄ ½Ã½ºÅÛÀÇ ½º³À¼¥À» ºñ±³ÇÏ´Â ÀÛ¾÷À» ¼öÇàÇÑ´Ù.
¡¤ Delay : ½º³À¼¥ Àü.ÈÄ »çÀÌÀÇ °ª ÁöÁ¤
¡¤ Sniff Hit : HTTP Á¢¼Ó ¹× IRCÁ¢¼Ó Á¤º¸¸¦ È®ÀÎ
¡¤ Api Logger- ºÐ¼® ¹ÙÀ̳ʸ®¿¡ ÀÎÁ§¼Ç µÇ´Â DLL¿¡¼ È£ÃâµÇ´Â API ¸ñ·Ï
¡¤ Directory Watcher- ¸ð´ÏÅ͸µ ½ÃÁ¡¿¡ »ý¼ºµÇ´Â ¸ðµç ÆÄÀÏ È®ÀÎ

SysAnalyzer´Â ºñ±³µÈ ½º³À¼¥À» ÅëÇØ ½ÇÇàµÈ ¾Ç¼ºÄڵ忡 ´ÙÀ½°ú °°Àº Á¤º¸¸¦ ¾òÀ» ¼ö ÀÖ´Ù.
¡¤ ½ÇÇàµÈ ÇÁ·Î¼¼½º
¡¤ ¾Ç¼ºÄڵ忡 ÀÇÇØ ¿ÀÇÂµÈ Æ÷Æ®
¡¤ explorer.exe³ª Internet Explorer¿¡¼ ·ÎµåµÈ DLL
¡¤ Ä¿³Î¿¡ ·ÎµåµÈ ¸ðµâ
¡¤ º¯°æ/»ý¼ºµÈ ·¹Áö½ºÆ®¸® Ű

´ÙÀ½Àº ÇØÅ·ÇÁ·Î±×·¥ÀÌ HTTP »çÀÌÆ®¿Í IRC Bot ä³Î¿¡ Á¢¼ÓÇÑ Á¤º¸¸¦ Sniff_Hit ÇÁ·Î±×·¥ÀÌ Ä¸ÃÄÇÑ È¸éÀÌ´Ù.

¨è Malcode Analysis Pack
¡¤ ´Ù¿î·Îµå : http://labs.idefense.com
Malcode Analysis PackÀº ¾Ç¼ºÄÚµåµéÀ» Á¶»çÇϴµ¥ À¯¿ëÇÑ µµ±¸µéÀ» Æ÷ÇÔÇϰí ÀÖ´Â À¯Æ¿¸®Æ¼ÀÌ´Ù.
ÀÌ ÆÐŰÁö°¡ Æ÷ÇÔÇÑ À¯Æ¿¸®Æ¼µéÀº ´ÙÀ½°ú °°´Ù.
¡¤ ShellExt : ¹®ÀÚ¿ È®ÀÎ ±â´É ¹× MD5·Î ¾ÏÈ£È ±â´É Á¦°ø
¡¤ socketTool : TCP Ŭ¶óÀÌ¾ðÆ® ¸ð´ÏÅ͸µ ÇÁ·Î±×·¥
¡¤ MailPot : ¸ÞÀÏ ¼¹ö ĸÃÄ ÇÁ·Î±×·¥
¡¤ fakeDNS : ¾Ç¼ºÇÁ·Î±×·¥ÀÌ Á¢¼ÓÇÏ´Â µµ¸ÞÀÎÀ» ´Ù¸¥ °÷À¸·Î À¯µµÇϱâ À§ÇØ »ç¿ëÇÏ´Â ½ºÇªÇÎ ¹Ì´Ï DNS
¼¹ö ÇÁ·Î±×·¥
¡¤ Sniff_Hit : HTTP, IRC, DNS ½º´ÏÆÛ
¡¤ sclog : ¾Ç¼ºÄڵ忡¼ »ç¿ëÇÏ´Â ½©ÄÚµå ºÐ¼® µµ±¸
¡¤ IDCDumpFix : ÆÐÅ· ÇÁ·Î±×·¥ ¾ðÆÐÅ· ÇÒ ¶§ »ç¿ëÇÏ´Â º¸Á¶ µµ±¸
¡¤ Shellcode2Exe : ÀÎÄÚµåµÈ ½©ÄÚµå·Î º¯È¯ÇÏ´Â php ½ºÅ©¸³Æ® ÇÁ·Î±×·¥
¡¤ GdiProcs : ¼û°ÜÁø ÇÁ·Î¼¼½º ŽÁö¿¡ »ç¿ë
- fakeDNS
fakeDNS ÇÁ·Î±×·¥Àº VMware ȯ°æÀÇ ¿ÜºÎ ³×Æ®¿öÅ©¿ÍÀÇ Åë½ÅÀ» Â÷´ÜÇÏ°í ³»ºÎ¸ÁÀ» ÅëÇÏ¿© ¾Ç¼º ÇÁ·Î±×·¥À» ºÐ¼®Çϴ ȯ°æ¿¡ ¸Å¿ì À¯¿ëÇÑ ÇÁ·Î±×·¥ÀÌ´Ù. ÀϺΠIRCº¿ ÇÁ·Î±×·¥Àº dns Äõ¸®¸¦ º¸³» Á¢¼ÓÀÌ µÇÁö ¾Ê´Â °æ¿ì ½ÇÇàÀ» ³¡¸¶Ä¡´Â °æ¿ì°¡ Àִµ¥ ÀÌ·² ¶§ ÀÌ ÇÁ·Î±×·¥À» ÅëÇØ [¼ºñ½ºÁ¦°ø] °¡»ó ¼¹ö·Î À¯ÀÎÇØ¼ ½ÇÇàÇÒ ¼ö ÀÖ´Ù. DNS Äõ¸®¸¦ ¸ðµÎ ÀÚ½ÅÀÇ 127.0.0.1·Î ¼³Á¤Çϰųª °¡»ó¼¹ö·Î ÁöÁ¤ÇÏ¿© Æ®·¡ÇÈÀ» À¯µµ ÇÒ ¼ö ÀÖ´Ù.

- MailPot
°ø°ÝÀÚ´Â ÇØÅ· ÈÄ ½ºÆÔ ¸ÞÀÏÀ» À¯Æ÷ÇÏ´Â ÇÁ·Î±×·¥À» ÅëÇØ ´ë·®ÀÇ ¸ÞÀϵéÀ» ¹ß¼ÛÇϰï ÇÑ´Ù. ÀÌ·¯ÇÑ ½ºÆÔ¸ÞÀÏÀ» È®ÀÎÇϱâ À§ÇØ MailPot ÇÁ·Î±×·¥À» Ȱ¿ëÇÑ´Ù. ÀÌ MailPot ÇÁ·Î±×·¥Àº fakeDNS ÇÁ·Î±×·¥°ú ¿¬µ¿ÇØ ÀÚ½ÅÀÌ ¿øÇÏ´Â °÷À¸·Î À¯ÀÎÇØ ¾Æ·¡¿Í °°ÀÌ Àü¼ÛµÈ ¸ÞÀÏÀ» È®ÀÎÇÑ´Ù.

¨é ´Ù¾çÇÑ ¸ð´ÏÅ͸µ ÇÁ·Î±×·¥ Ȱ¿ë

Á¦2Àý ¸®´ª½º »ç°í ºÐ¼®
1. °³¿ä
ÃÖ±Ù ¸®´ª½º ½Ã½ºÅÛ¿¡ ´ëÇÑ »ç°í°¡ ÁÙ¾îµé°í ÀÖ´Â °æÇâÀ» º¸À̰í ÀÖÁö¸¸, ÀÌ´Â ¸®´ª½º ½Ã½ºÅÛÀÇ È°¿ëµµ ÀÚü°¡ ³·¾ÆÁ³´Ù´Â °ÍÀ» ¶æÇÏ´Â °ÍÀº ¾Æ´Ï´Ù. º» Àý¿¡¼´Â ¸®´ª½º ÇÇÇØ ½Ã½ºÅÛ¿¡ ´ëÇÑ Á¤º¸¼öÁý µîÀÇ Ãʱ⠺м®´Ü°èºÎÅÍ ·Î±×ºÐ¼®°ú »ó¼¼ºÐ¼® ´Ü°è¿¡ ´ëÇØ ¾Ë¾Æº¸µµ·Ï ÇÑ´Ù.
2. ±âº»Á¤º¸ ¼öÁý
ÇØ´ç ½Ã½ºÅÛ ¿î¿µÀÚ ¸é´ã ¶Ç´Â ½Ã½ºÅÛ¿¡¼ Á¦°øµÇ´Â ¸í·É¾î µîÀ» ÀÌ¿ëÇÏ¿© ´ÙÀ½°ú °°Àº ±âº» Á¤º¸¸¦ ¼öÁýÇÑ´Ù.
- ¿î¿µÃ¼Á¦ Á¾·ù ¹× Ä¿³Î ¹öÀü
- »ç¿ë¿ëµµ
- ¿î¿µ ÁßÀÎ ¼ºñ½º
- ³×Æ®¿öÅ© Á¢¼Ó ÇöȲ
- º¸¾È ÆÐÄ¡ Àû¿ë ÇöȲ
- ³×Æ®¿öÅ© ±¸¼º ÇüÅ ¹× º¸¾È Àåºñ ¿î¿µ ÇöȲ
3. Èֹ߼º Á¤º¸ ¼öÁý
¸®´ª½º ½Ã½ºÅÛ¿¡´Â ºÐ¼®´ç½Ã¿¡¸¸ Á¸ÀçÇϰí, ½Ã½ºÅÛ ¸®ºÎÆÃ µîÀ» ÅëÇØ Á¤º¸°¡ »èÁ¦µÉ ¼ö ÀÖ´Â ´Ù¾çÇÑ Èֹ߼º Á¤º¸°¡ Á¸ÀçÇÑ´Ù. Èֹ߼º Á¤º¸´Â ÇÁ·Î¼¼½º »óÅÂ, ³×Æ®¿öÅ© »óÅÂ, »ç¿ëÀÚ ·Î±×ÀÎ »óÅ µîÀÌ ÀÖÀ¸¸ç, »ç°íºÐ¼® ½Ã ÀÌ·¯ÇÑ Èֹ߼º Á¤º¸¸¦ ¿ì¼±ÀûÀ¸·Î °ËÃâÇÏ¿©¾ß ÇÑ´Ù.
¡Ü ÇÁ·Î¼¼½º È®ÀÎÇϱâ : ps -ef
ps´Â process¸¦ È®ÀÎÇØ ÁÖ´Â °ÍÀ¸·Î, process ½ÇÇàÀÚ∙ PID∙½ÇÇà ÀϽÃ∙ÇÁ·Î¼¼½º¸í µîÀ» º¸¿©ÁØ´Ù.

Àǽɽº·± PID¸¦ ã´Âµ¥ À§ÀÇ ¿¹¿¡¼´Â PID 316À» ÀǽÉÇØº¼ ¼ö ÀÖÀ¸¸ç, ¾î¶² ÇÁ·Î¼¼½ºÀÎÁö È®ÀÎÇÑ´Ù.
¡Ü lsof(List Open File)
lsof´Â System¿¡¼ µ¹¾Æ°¡´Â ¸ðµç process¿¡ ÀÇÇØ¼ openµÈ ÆÄÀϵ鿡 ´ëÇÑ Á¤º¸¸¦ º¸¿©ÁÖ´Â ÇÁ·Î±×·¥ÀÌ´Ù. °ø°Ý´çÇÑ ½Ã½ºÅÛ¿¡ ps°¡ º¯Á¶µÇ¾î ÀÖÀ» °æ¿ì¿¡´Â ps·Î´Â °ø°ÝÀÚ°¡ ±¸µ¿ÇÑ process Á¤º¸¸¦ Á¦´ë·Î º¼ ¼ö ¾ø´Âµ¥ ÀÌ·² °æ¿ì¿¡´Â lsof·Î È®ÀÎÇÒ ¼ö ÀÖ´Ù.

¡Ü netstat -an
netstat´Â ÇöÀç ½Ã½ºÅÛÀÇ ³×Æ®¿öÅ© ¿¬°á»óŸ¦ ¾Ë·ÁÁÖ´Â ¸í·É¾î·Î ¾î¶² Æ÷Æ®°¡ ¿·ÁÀÖ´ÂÁö ¹ß½ÅÁö ÁÖ¼Ò´Â ¾î¶»°Ô µÇ´ÂÁö µîÀ» È®ÀÎÇÒ ¼ö ÀÖ´Ù.

¡Ü nmap -sT -p 1-65535
nmap(network mapper)Àº ³×Æ®¿öÅ© º¸¾ÈÀ» À§ÇÑ À¯Æ¿¸®Æ¼·Î, ´ë±Ô¸ð ³×Æ®¿öÅ©¸¦ °í¼ÓÀ¸·Î ½ºÄµÇÏ´Â µµ±¸ÀÌ´Ù. ½ºÄµ ŸÀÔÀ¸·Î -sT´Â tcp scanningÀÇ °¡Àå ±âÃÊÀûÀÎ ÇüÅ·Πconnect() ÇÔ¼ö¸¦ »ç¿ëÇØ¼ ¸ðµç Æ÷Æ®¿¡ ´ëÇØ ½ºÄµÇÏ´Â ¹æ½ÄÀ» ÀǹÌÇϰí, -p ´Â Á¡°ËÇϰíÀÚ ÇÏ´Â Æ÷Æ®¸¦ ÁöÁ¤ÇÏ´Â ¿É¼ÇÀÌ´Ù.

ps, lsof, netstat, nmap µîÀ» ÅëÇØ ½Ã½ºÅÛÀÇ »óȲÀ» ÆÄ¾ÇÇϰí, °ø°ÝÀÚÀÇ ´Ü¼¸¦ ãÀ¸¸ç ¼¼ºÎ»çÇ×À» »ìÆì¼ ¾î¶°ÇÑ ±â´ÉÀ̳ª ¿ªÇÒÀ» ÇÏ´Â °ÍÀÎÁö È®ÀÎÇØº»´Ù.
¡Ü fuser
¸¸ÀÏ netstat·Î ÇÁ·Î¼¼½º¸¦ È®ÀÎÇÒ ¼ö ¾ø´Â °æ¿ì, nmap°ú fuser¸¦ »ç¿ëÇÏ¿© ¾î¶² ÇÁ·Î¼¼½º¿¡¼ Æ÷Æ®¸¦ ¿¾ú´ÂÁö È®ÀÎÇÒ ¼ö ÀÖ´Ù. fuser´Â ÇöÀç »ç¿ë ÁßÀÎ ÆÄÀÏ ¶Ç´Â ¼ÒÄÏÀÌ »ç¿ëÇÏ´Â ÇÁ·Î¼¼½º¸¦ È®ÀÎÇÏ´Â ¸í·É¾î·Î ¿·ÁÀÖ´Â Æ÷Æ®¿Í ÇØ´ç Æ÷Æ®¸¦ »ç¿ë ÁßÀÎ ÇÁ·Î¼¼½º È®ÀÎÀ» ÅëÇØ ¹éµµ¾î µîÀÇ ¾Ç¼º ÇÁ·Î±×·¥ ±¸µ¿ ¿©ºÎ¸¦ È®ÀÎÇÒ ¼ö ÀÖ´Ù.

¡Ü Á¢¼ÓÀÚ È®ÀÎ
w, whoµîÀÇ ¸í·ÉÀ¸·Î Á¢¼ÓÀÚ¸¦ È®ÀÎÇÑ´Ù.

-¡° w¡±´Âutmp¸¦ÂüÁ¶ÇÏ¿©ÇöÀç½Ã½ºÅÛ¿¡¼º°øÀûÀ¸·Î·Î±×ÀÎÇÑ»ç¿ëÀÚ¿¡´ëÇÑ snapshotÀ» Á¦°øÇØÁÖ´Â ¸í·ÉÀ¸·Î ÇØÅ· ÇÇÇØ½Ã½ºÅÛ ºÐ¼®½Ã¿¡ ¹Ýµå½Ã È®ÀÎÇØ º¸¾Æ¾ß¸¸ ÇÑ´Ù. ¿Ö³ÄÇϸé ÇöÀç ½Ã½ºÅÛ ºÐ¼® Áß¿¡ °ø°ÝÀÚ°¡ °°ÀÌ µé¾î¿Í ÀÖÀ» °æ¿ì ÀÚ½ÅÀÌ ÃßÀû´çÇÏ´Â °ÍÀ» ´«Ä¡Ã¤°í ÁÖ¿ä ·Î±×¸¦ Áö¿ì°Å³ª ¾Æ¿¹ Æ÷¸ËÆÃÀ» ÇØ ¹ö¸± ¼öµµ Àֱ⠶§¹®ÀÌ´Ù.
- ¹°·Ð, Á¤»óÀûÀÎ ·Î±×ÀÎ ÀýÂ÷¸¦ °ÅÄ¡Áö ¾Ê°í ¹éµµ¾î¸¦ ÅëÇØ ½Ã½ºÅÛ¿¡ Á¢±ÙÇßÀ» °æ¿ì¿¡´Â ½ÇÁ¦ °ø°ÝÀÚ°¡ ½Ã½ºÅÛ¿¡ ·Î±×ÀÎÇØ ÀÖÀ½¿¡µµ ºÒ±¸ÇÏ°í º¸¿©ÁöÁö ¾Ê´Â´Ù.
-¡° w¡±Àǰá°ú¾î¶²»ç¿ëÀÚµéÀ̾îµð¿¡¼·Î±×ÀÎÇØµé¾î¿ÍÀÖ´ÂÁö¾Ë¼öÀÖ°í, ±×¸®°í ±× »ç¿ëÀÚµéÀÌ ¾î¶² ÀÛ¾÷À» Çϰí ÀÖ´ÂÁö º¸¿©ÁØ´Ù.
- »ç°í ºÐ¼®½Ã¿¡ °ø°ÝÀÚ¸¦ ±Ô¸íÇϱâ À§ÇØ Æ¯È÷ ÁÖÀÇ ±í°Ô ºÁ¾ß ÇÒ ºÎºÐµéÀº ¾Æ·¡¿Í °°´Ù.
¡¤ Á¢¼ÓÇÑ »ç¿ëÀÚ °èÁ¤ÀÌ ¸ðµÎ Á¤»óÀûÀÎ »ç¿ëÀÚµéÀΰ¡?
¡¤ Á¢¼ÓÃâó°¡ Á¤»óÀûÀÎ À§Ä¡Àΰ¡? ƯÈ÷, ³»ºÎ IPÁÖ¼Ò À̿ܿ¡¼ Á¢¼ÓÇÏ¿´°Å³ª, ±¹¿Ü IPÁÖ¼Ò¿¡¼ Á¢¼ÓÇÑ °æ¿ì´Â ÀǽÉÇÒ Çʿ䰡 ÀÖ´Ù.
¡¤ »ç¿ëÀÚµéÀÇ ÇàÀ§°¡ Á¤»óÀûÀΰ¡? scan µµ±¸¸¦ ½ÇÇàÇϰí Àְųª Ÿ ½Ã½ºÅÛÀ» ´ë»óÀ¸·Î ¼ºñ½º°ÅºÎ°ø°ÝÀ» Çϰí ÀÖ´ÂÁö »ìÇÉ´Ù.
4. »ó¼¼ºÐ¼®
°¡. ÆÐ½º¿öµå ÆÄÀÏ ºÐ¼®
¡Ü /etc/passwdÆÄÀÏ¿¡¼ uid=0ÀÎ °èÁ¤(°ü¸®ÀÚ ±ÇÇÑÀ» °¡Áø °èÁ¤)ÀÌ ÀÖ´ÂÁö¸¦ È®ÀÎÇÑ´Ù.
¿¹) ºÒ¹ý°èÁ¤ÀÌ Ãß°¡µÈ /etc/passwdÆÄÀÏ
...
blah1::0:0::/tmp:/bin/bash
user1:x:0:0::/home/user1:/bin/bash
¡Ü ¶ÇÇÑ »õ·Î »ý¼ºµÈ °èÁ¤À̳ª ÆÐ½º¿öµå°¡ ¾ø´Â °èÁ¤µµ Á¡°ËÇÏ¿© º»´Ù.
³ª. ·Î±× ÆÄÀÏ ºÐ¼®
Ä§ÇØ»ç°í ÇÇÇØ°¡ ¹ß»ýÇÑ ½Ã½ºÅÛÀÇ ·Î±×´Â 100% ½Å·ÚÇÒ ¼ö ¾ø°Ô µÈ´Ù. ÇÏÁö¸¸ ´ëºÎºÐÀÇ »ç°í¿¡¼ °ø°Ý°ü·Ã ·Î±×¿Í ÇÔ²² ħÀÔ ÈÄ ÁøÇàµÈ ÀÛ¾÷ÀÇ ÈçÀûµéÀÌ ·Î±×¿¡ ³²°Ô µÇ¹Ç·Î ·Î±×ºÐ¼®À» ÅëÇØ »ç°í¿øÀÎÀ» ÆÄ¾ÇÇϴµ¥ ¸¹Àº µµ¿òÀ» ¾òÀ» ¼ö ÀÖ´Ù.
¡Ü ·Î±×ÆÄÀÏÀÇ »ý¼ºÀÏÀÚ ¹× º¯°æÀÏÀÚ È®ÀÎ
- ¿ÜºÎÀÇ °ø°ÝÀÚ´Â °ø°ÝÀ¸·Î ÀÎÇØ »ý¼ºµÇ´Â ½Ã½ºÅÛ ¹× Á¢¼Ó·Î±× µîÀ» »èÁ¦ÇÏ´Â °æ¿ì°¡ ¸¹´Ù. ·Î±×ÀÇ ³»¿ë Áß ÀϺθ¦ »èÁ¦Çϰųª º¯°æÇÒ °æ¿ì, ÇØ´ç ·Î±×ÆÄÀÏÀÇ ¼öÁ¤ÀÏÀÚ°¡ º¯°æµÇ°Ô µÇ¹Ç·Î º¯°æÀÏÀÚ È®ÀÎÀ» ÅëÇØ È®ÀÎÇÑ´Ù. ¶ÇÇÑ ·Î±× »èÁ¦ ÇÁ·Î±×·¥À» ÀÌ¿ëÇØ ·Î±×¸¦ »èÁ¦ÇÏ´Â °æ¿ì, syslog µ¥¸óÀÌ Àç½ÃÀÛ µÇ´Â ·Î±×°¡ ³²±âµµ ÇÑ´Ù.
¡Ü ÁÖ¿ä ·Î±×ÆÄÀÏ
- utmp, wtmp
ÇØ´ç ÆÄÀÏ¿¡´Â ÇöÀç ½Ã½ºÅÛ¿¡ ·Î±×ÀÎÇÑ »ç¿ëÀÚ³ª, °ú°Å¿¡ ·Î±×ÀÎÇß´ø »ç¿ëÀÚÀÇ Á¤º¸°¡ ÀúÀåµÇ°Ô µÈ´Ù. µû¶ó¼ ½Ã½ºÅÛ ºÐ¼® ½Ã¿¡ ²À È®ÀÎÇØ¾ß ÇÏ´Â ·Î±×ÆÄÀÏÀ̳ª, passwd ÆÄÀÏ¿¡ µîÀçµÇ¾î ÀÖ´Â °èÁ¤À» ÀÌ¿ëÇØ Á¤»óÀûÀ¸·Î ½Ã½ºÅÛ¿¡ ·Î±×ÀÎÇßÀ» ¶§¿¡¸¸ ·Î±×°¡ »ý¼ºµÇ°Ô µÈ´Ù.
- messages
¸¹Àº Á¤º¸¸¦ Æ÷ÇÔÇϰí ÀÖ´Â ·Î±×ÆÄÀϷμ, ½Ã½ºÅÛ Àå¾Ö¿¡ ´ëÇÑ Á¤º¸¿Í ´õºÒ¾î °ø°ÝÀ¸·Î ÀÎÇØ ³²°Ô µÇ´Â ¸¹Àº À¯¿ëÇÑ Á¤º¸ ¶ÇÇÑ messages ÆÄÀÏ¿¡ ³²´Â °æ¿ì°¡ ¸¹´Ù. µ¿ÀÛ ÁßÀÎ ¼ºñ½º¿¡ ´ëÇÑ ¹öÆÛ ¿À¹öÇÃ·Î¿ì °ø°ÝÀÇ °æ¿ì, ƯÈ÷ messages ÆÄÀÏ¿¡ ±× ÈçÀûÀÌ ³²°Ô µÇ¹Ç·Î »ç°í ºÐ¼® ½Ã, messages ÆÄÀÏÀ» ÇÊÈ÷ È®ÀÎÇϵµ·Ï ÇÑ´Ù.
¿¹) RPC.STATD °ø°Ý ½ÃÀÇ messages ·Î±×
messages.2:Mar 30 03:37:02 www statd[136]: attempt to create ¡°/var/statmon/sm/;echo ¡°ingreslock stream tcp nowait root /bin/sh sh -i¡± >>/tmp/bob ; /usr/sbin/inetd -s /tmp/bob &¡±messages.2:Mar 30 23:36:20 www statd[124]: attempt to create¡° / v a r / s t a t m o n / s m / / ../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../.
./../../../../../../../../../../../../../..../../../../../../../../../../../../../../../../../../../../../../../../..
/.././../../../../..../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../
../../../../../../../../../../../../tmp/.nfs09 D H $ $ $ $ O * * * * # # P *` c 6 ) # # ; # XbinXsh tirdwr
¡ÜÀ¥ ·Î±×
ÃÖ±Ù ¸¹Àº Ä§ÇØ»ç°íµéÀÌ À¥ Ãë¾àÁ¡À» ÀÌ¿ëÇÑ °ÍÀ¸·Î È®ÀεǾú´Ù. À¥ Ãë¾àÁ¡¿¡ ´ëÇÑ °ø°ÝÀº ÁÖ·Î Áß±¹ ÇØÄ¿¿¡ ÀÇÇÑ °ÍÀ¸·Î È®Àεǰí ÀÖÀ¸¸ç, Áß±¹ ÇØÄ¿ ´ëºÎºÐÀº °ø°ÝÀ» À§ÇØ Á¦ÀÛÇÑ ÇÁ·Î±×·¥À» ÀÌ¿ë °ø°ÝÀ» ÇÑ´Ù.
- access_log È®ÀÎ
<·Î±× ¿¹Á¦>
211.252.***.*** - - [07/Nov/2006:10:05:02 +0900]¡° GET /goodstore.htm HTTP/1.1¡± 200 1738¡° -¡±¡°Mozilla/4.0 (compatible; Google Desktop)¡±
¡¤ Host (µµ¸ÞÀÎ ¶Ç´Â IP ÁÖ¼Ò) <¿¹Á¦ºÎºÐ 211.252.***.*** >
: ÇØ´ç À¥ ¼¹ö¿¡ Á¢¼ÓÇÑ IP ÁÖ¼Ò¸¦ ³ªÅ¸³½´Ù.
¡¤ Identification <¿¹Á¦ºÎºÐ - >
: »ç¿ëÀÚÀÇ À̸§À» Ç¥½ÃÇÏ´Â °÷À¸·Î¼, ÀϹÝÀûÀ¸·Î ÇÏÀÌÇÂ(-)À¸·Î Ç¥½ÃµÈ´Ù.
¡¤ User Authentification <¿¹Á¦ºÎºÐ - >
: ÆÐ½º¿öµå°¡ Ç¥½ÃµÇ´Â ºÎºÐÀ¸·Î »ç¿ëÀÚ ÀÎÁõÀÌ »ç¿ëµÈ °æ¿ì¿¡ Ç¥½ÃµÈ´Ù. ÀϹÝÀûÀ¸·Î ÇÏÀÌÇÂ(-)À¸·Î Ç¥½ÃµÈ´Ù.
¡¤ Time Stamp <¿¹Á¦ºÎºÐ [07/Nov/2006:10:05:02 +0900]>
: »çÀÌÆ® ¹æ¹®ÀÚ°¡ Á¢¼ÓÇÑ ½Ã°£ÀÌ ³ªÅ¸³ª´Â ºÎºÐÀÌ´Ù. +0900Àº GMT(±×¸®´ÏÄ¡ Ç¥ÁؽÃ)¸¦ ÀǹÌÇÑ´Ù.
¡¤ HTTP Request Çʵå <¿¹Á¦ºÎºÐ GET /goodstore.htm HTTP/1.1>
: »ç¿ëÀÚ°¡ Á¢¼ÓÇÑ ¹æ½Ä(GET, POST)¿Í Á¢¼ÓÇÑ ÇØ´ç ÆÄÀÏ, Á¢¼Ó¿¡ »ç¿ëµÈ HTTP ¹öÀüÀ» ¾Ë¼ö ÀÖ´Ù.
¡¤ Status ÄÚµå <¿¹Á¦ºÎºÐ 200>
: »ç¿ëÀÚ°¡ ¿äûÇÑ ³»¿ëÀÌ Ã³¸®µÈ »óŸ¦ ³ªÅ¸³½´Ù. ¼¼ºÎÀûÀÎ Status ÄÚµå´Â ¾Æ·¡ Ç¥¿Í °°´Ù.

¡¤ Transfer Volume <¿¹Á¦ºÎºÐ 1738>
: È£ÃâµÈ ÆÄÀÏÀÇ ¿ë·®À» ³ªÅ¸³½´Ù. µ¥ÀÌÅͰ¡ ¾ø´Â °æ¿ì ÇÏÀÌÇÂ(-) ¶Ç´Â 0À¸·Î ³ªÅ¸³´Ù.
- °ø°Ý ·Î±×
°ø°ÝÀ¸·Î ÀÎÇØ ³²°Ô µÇ´Â ·Î±×´Â ¿©·¯ À¯ÇüÀÌ ÀÖÀ» ¼ö ÀÖ´Ù. º» ¹®¼¿¡¼´Â '05³â ȨÆäÀÌÁö º¯Á¶¿¡ ¸¹ÀÌ ÀÌ¿ëµÇ¾ú´ø ±¹³» °ø°³¿ë °Ô½ÃÆÇ °ø°Ý ½Ã ³²°Ô µÇ´Â ·Î±×¸¦ »ìÆìº¸µµ·Ï ÇÑ´Ù. PHP Injection ±â¹ýÀ» ÀÌ¿ëÇÑ °ø°ÝÀº ´ëºÎºÐ ¾Æ·¡¿Í °°Àº ÇüÅÂÀÇ ·Î±×¸¦ ³²±â°Ô µÈ´Ù.
¡¤ Á¦·Îº¸µå °ø°Ý·Î±× ¿¹Á¦
: ´ÙÀ½ ·Î±×´Â Á¦·Îº¸µå Ãë¾àÁ¡ Áß, print_category.php ÆÄÀÏÀÇ Ãë¾àÁ¡À» ÀÌ¿ëÇØ °ø°ÝÇÑ access_logÀÇ ¿¹Á¦ÀÌ´Ù.
¨ç ÃÖÃÊ, ¿ÜºÎ »çÀÌÆ®ÀÇ URLÀ» ÀÌ¿ëÇØ, ÇÇÇØ ½Ã½ºÅÛ¿¡¼ id ¸í·É ½ÇÇàÀ» ÅëÇØ, Ãë¾àÁ¡ Á¸Àç¿©ºÎ¿Í À¥ ¼¹ö ±¸µ¿ ±ÇÇÑÀ» È®ÀÎÇϰí ÀÖ´Ù.
¨è ±× ÈÄ, ½Ã½ºÅÛ Á¢¼ÓÀ» À§ÇØ ¹éµµ¾î ÇÁ·Î±×·¥(r0nin)À» ÇÇÇØ½Ã½ºÅÛ¿¡ ¾÷·Îµå Çϰí ÀÖ´Ù.
¨é ¾÷·ÎµåÇÑ ¹éµµ¾î¿¡ ½ÇÇà±ÇÇÑÀ» ºÎ¿©ÇÑ ÈÄ, ¹éµµ¾î ÇÁ·Î±×·¥À» ½ÇÇàÇϰí ÀÖ´Ù.

¡¤ Å×Å©³ëÆ® °ø°Ý·Î±× ¿¹Á¦
: ´ÙÀ½ ·Î±×´Â Å×Å©³ëÆ® Ãë¾àÁ¡À» ÀÌ¿ëÇÑ °ø°Ý ½Ã access_log¿¡ ³²°Ô µÇ´Â ·Î±×ÀÌ´Ù.
°ø°Ý¿¡ ÀÌ¿ëµÈ Ãë¾àÁ¡Àº ´Ù¸£Áö¸¸, ·Î±× »óÀ¸·Î È®ÀεǴ °ø°Ý°úÁ¤Àº Á¦·Îº¸µå¿Í ¸Å¿ì À¯»çÇÑ °ÍÀ» È®ÀÎÇÒ ¼ö ÀÖ´Ù.
¨ç Å×Å©³ëÆ®ÀÇ ±¸¼ºÆÄÀÏÀÎ main.cgi ÆÄÀÏÀÇ Ãë¾àÁ¡À¸·Î ÀÎÇØ À¥ ºê¶ó¿ìÀú »ó¿¡¼ ¹Ù·Î ½Ã½ºÅÛ ¸í·ÉÀÇ ½ÇÇàÀÌ °¡´ÉÇÑ °ÍÀ» È®ÀÎÇÒ ¼ö ÀÖ´Ù. wget ¸í·ÉÀ» ÀÌ¿ëÇØ ¿ÜºÎÀÇ »çÀÌÆ®·ÎºÎÅÍ ¹éµµ¾î ÇÁ·Î±×·¥(rootdoor)À» ´Ù¿î·Îµå Çϰí ÀÖ´Ù.
¨è ´Ù¿î·Îµå ÇÑ ¹éµµ¾î ÇÁ·Î±×·¥¿¡ ½ÇÇà±ÇÇÑÀ» ºÎ¿©ÇÑ ÈÄ ½ÇÇàÇϰí ÀÖ´Ù.

´Ù. ·çƮŶ(Rootkit) È®ÀÎ
°ø°ÝÀÚ´Â ÀÚ½ÅÀÇ ÇൿÀ» ¼û±â±â À§ÇØ Á¤»óÀûÀÎ ÇÁ·Î±×·¥µéÀ» ´ë½ÅÇϵµ·Ï ¹ÙÀ̳ʸ® ÆÄÀϵéÀ» º¯Á¶½ÃŰ´Â °æ¿ì°¡ ¸¹´Ù. ¿¹¸¦ µé¾î ls¸¦ ¹Ù²ãÄ¡±âÇØ¼ ls¸¦ ½ÇÇà½ÃÄѵµ °ø°ÝÀÚ°¡ ¸¸µç ÆÄÀÏÀÌ º¸ÀÌÁö ¾Êµµ·Ï ÇÏ´Â °ÍÀÌ´Ù.
ÁÖ·Î ¸¹ÀÌ º¯Á¶µÇ¸ç ·çƮŶ¿¡ Æ÷ÇԵǾî ÀÖ´Â ÇÁ·Î±×·¥À¸·Î´Â ls, ps, netstat, login, top, dir, du, ifconfig, find, tcpd µîÀÌ ÀÖ´Ù.
½Ã½ºÅÛ ÇÁ·Î±×·¥ÀÇ ÆÄÀÏÅ©±â, »ý¼º½Ã°£, º¯°æ½Ã°£µîÀ» È®ÀÎÇÑ´Ù. /bin¶Ç´Â /usr/bin¿¡ °¡¼ #ls -alct|more·Î È®ÀÎÇßÀ» ¶§ ´Ù¸¥ ÇÁ·Î±×·¥ÀÌ ±âº»ÀûÀ¸·Î ±ò¸° ½Ã°£°ú Ʋ¸®°Ô º¯°æµÈ °ÍÀÌ ÀÖ´ÂÁö Æ®·ÎÀÌÀÜÀ¸·Î ÀÚÁÖ º¯Á¶µÇ´Â ls, ps, netstatµîÀÇ ÆÄÀÏ»çÀÌÁî´Â ¶È°°Àº OS, ¹öÀüÀÇ ´Ù¸¥ ½Ã½ºÅÛÀÇ ÇÁ·Î±×·¥°ú ºñ±³ÇÏ¿© º¯Á¶ ¿©ºÎ¸¦ È®ÀÎÇÑ´Ù.
¸®´ª½ºÀÇ °æ¿ì rpm -V fileutils ¸í·É¾î·Î ¹«°á¼º °Ë»ç¸¦ ÇÒ ¼ö ÀÖ´Ù. ¸í·É°á°ú°¡ ¿¹¸¦µé¾î S,5 .../bin/ls ·Î ³ªÅ¸³´Ù¸é ÆÄÀÏÅ©±â ÆÄÀÏ ³»¿ëÀÌ º¯Á¶µÆ´Ù´Â ÀǹÌÀÌ´Ù.

¼Ö¶ó¸®½ºÀÇ °æ¿ì¡°fingerprint¡±¸¦ Á¦°øÇϰí ÀÖÀ¸¸ç ¾Æ·¡ÀÇ »çÀÌÆ®¿¡¼ md5 ÇÁ·Î±×·¥À» ´Ù¿î¹Þ¾Æ ¼³Ä¡ÇÏ°í °Ë»çÇϰíÀÚ ÇÏ´Â ÆÄÀÏÀÇ checksum °ªÀ» ¸¸µé¾î À̸¦ ºñ±³ÇØ º½À¸·Î½á ÆÄÀÏÀÇ º¯Á¶À¯¹«¸¦ ¾Ë¼ö ÀÖ´Ù.
http://sunsolve.Sun.COM/pub-cgi/show.pl?target=content/content7
strace ¸í·ÉÀ» ÅëÇØ ½Ã½ºÅÛ ÄÝÀ» ÃßÀûÇÒ ¼ö ÀÖ´Ù. Æ®·ÎÀÌÀÜÀ¸·Î º¯°æµÈ ½Ã½ºÅÛ ÇÁ·Î±×·¥°ú Á¤»óÀûÀÎ ½Ã½ºÅÛ ÇÁ·Î±×·¥À» strace ¸í·É¾î¸¦ ÀÌ¿ëÇØ ºñ±³ÇØ º¯Á¶À¯¹«¸¦ È®ÀÎÇÒ ¼ö ÀÖ´Ù.
¿¹¸¦ µé¾î °ø°ÝÀ» ´çÇÑ ½Ã½ºÅÛÀ» ºÐ¼®ÇßÀ» ¶§ ps°¡ ¾Æ·¡¿Í °°ÀÌ¡°/usr/lib/locale/ro_RO/uboot/etc/procrc¡±ÆÄÀÏÀ» ÂüÁ¶ÇÏ´Â °ÍÀ» º¼ ¼ö ÀÖ¾úÀ¸¸ç, ÀÌ ÆÄÀÏÀº °ø°ÝÀÚ°¡ ¼û±â°í ½ÍÀº ÇÁ·Î¼¼½º¸íÀ» /usr/lib/locale/ro_RO/ uboot/etc/procrc¿¡ ³ª¿Çϰí ÀÖ¾ú°í ÀÌ·± °æ¿ì ps¸í·ÉÀ¸·Î´Â ÇØ´ç ÇÁ·Î¼¼½º°¡ º¸ÀÌÁö ¾Ê°Ô µÈ´Ù.

±×·¯¹Ç·Î strace¸í·É¾î¸¦ ÀÌ¿ëÇØ À§ÀÇ ¿¹¿¡¼Ã³·³ ½Ã½ºÅÛ ¸í·ÉÀÇ º¯Á¶À¯¹«¿Í ¼û±â°íÀÚÇÏ´Â ÆÄÀϵéÀÌ µé¾îÀÖ´Â À§Ä¡ µîÀ» ÆÄ¾ÇÇÒ ¼ö ÀÖ´Ù.
¶ó. ±âŸ ÇØÅ· °ü·Ã ÆÄÀÏ Á¶»ç
°ø°ÝÀÚ°¡ ÇÇÇØ ½Ã½ºÅÛ¿¡ µé¾î¿Í ¾î¶² ÀÛ¾÷À» Çß´ÂÁö¸¦ ºÐ¼®ÇÑ´Ù. Ȥ ´Ù¸¥ ½Ã½ºÅÛÀ» ½ºÄµÇϰųª °ø°Ýµµ±¸¸¦ ¼³Ä¡ÇÏ¿´´ÂÁö, irc¼¹ö¸¦ ¼³Ä¡ÇÏ¿´´ÂÁö, ·Î±×¸¦ »èÁ¦ÇÏ¿´´ÂÁö, ½º´ÏÆÛÇÁ·Î±×·¥À» ¼³Ä¡ÇÏ¿´´ÂÁö µîÀ» Á¶»çÇÑ´Ù.
¾Æ·¡ÀÇ ¸í·É¾î´Â ÃÖ±Ù¿¡ ¼öÁ¤µÇ°Å³ª »õ·Ó°Ô »ý¼ºµÈ ÆÄÀÏÀ» ã´Â ¸í·É¾î·Î °ø°ÝÀÚ°¡ ½Ã½ºÅÛ ÆÄÀÏÀÇ º¯Á¶¸¦ ¼û±â±â À§ÇØ ½Ã°£À» ¼öÁ¤ÇÏ´Â °æ¿ì°¡ ÀÖÀ¸¹Ç·Î ÀÌ·¯ÇÑ °æ¿ì¿¡ ´ëºñÇÏ¿© inode º¯°æ½Ã°£À» Á¡°ËÇÑ´Ù.
¿¹) ÃÖ±Ù 10Àϵ¿¾È ¼öÁ¤µÇ°Å³ª »õ·Ó°Ô »ý¼ºµÈ ÆÄÀÏÀ» ã¾Æ¼ /var/kisa/cime10.out¿¡ ÀúÀåÇ϶ó´Â ¸í·É
#find / -ctime -10 -print -xdev >/var/kisa/cime10.out
setuid¸¦ °¡Áö´Â ½ÇÇà ÇÁ·Î±×·¥Àº ½ÇÇ൵Áß¿¡ ½´ÆÛÀ¯Àú(root)ÀÇ ±ÇÇÑÀ» °¡Áö°í ½ÇÇàµÇ¹Ç·Î find¸¦ ÀÌ¿ëÇÏ¿© setuid³ª setgid ÆÄÀÏÀÌ ÀÖ´ÂÁö È®ÀÎÇÑ´Ù.
#find / -user root -perm -4000 -print>suidlist
#find / -user root -perm -2000 -print>sgidlist
¼û°ÜµÐ ÆÄÀÏ Ã£±â : º¸Åë °ø°ÝÀÚ°¡ ÀÚÁÖ ÇØÅ·°ú °ü·ÃµÈ ÆÄÀÏÀ» °¡Á®´Ù ³õ´Â µð·ºÅ͸®´Â /usr,/var,/dev,/tmp°¡ ÀÖÀ¸¸ç ÀÌ·± µð·ºÅ͸®¿¡ ÀÌ»óÇÑ ÆÄÀÏÀÌ Á¸ÀçÇÏÁö´Â ¾Ê´ÂÁö Á¶»ç ÇÑ´Ù.
¶ÇÇÑ °ø°ÝÀÚµéÀº ÁַΡ°.¡±³ª¡°..¡±·Î ½ÃÀÛÇÏ´Â µð·ºÅ͸®¸¦ ¸¸µé¾î »ç¿ëÇÏ´Â °æ¿ì°¡ ¸¹À¸¹Ç·Î (ÀÌ´Â °ü¸®ÀÚ°¡ ¾Æ¹«·± ¿É¼Ç¾øÀÌ ls ¸í·É¾î¸¦ »ç¿ëÇÒ °æ¿ì º¸ÀÌÁø ¾ÊÀ¸¹Ç·Î) ´ÙÀ½ÀÇ ¸í·ÉÀ¸·Î ¼û°ÜÁø µð·ºÅ͸®°¡ ÀÖ´ÂÁö Á¡°ËÇØº»´Ù.
¿¹) # find /-name "..*" -print ¶Ç´Â
# find /-name ".*" -print
¿¹) ÀϹÝÀûÀ¸·Î /dev¹Ø¿¡´Â MAKEDEVµî°ú °°Àº device°ü¸® ÆÄÀϿܿ¡ÀÇ ÀÏ¹ÝÆÄÀÏÀÌ ÀÖÀ¸¸é ¾ÈµÇ¹Ç·Î device°ü¸® ÆÄÀϿܿ¡ ÀÏ¹ÝÆÄÀÏÀÌ °Ë»öµÇ´ÂÁö È®ÀÎÇÑ´Ù.
#find /dev -type f -print
½Ã½ºÅÛÀÌ ºÎÆÃµÉ ¶§ °°ÀÌ ¼öÇàµÇµµ·Ï /etc/rc.d µð·ºÅ͸®(rc.sysinit, rc.local), rc0.d~rc6.d µð·ºÅ͸®¿¡ ³Ö´Â °æ¿ì°¡ ¸¹À¸¹Ç·Î À̸¦ È®ÀÎÇÑ´Ù.
Á¦3Àý ³×Æ®¿öÅ© »ç°í ºÐ¼®
1. »ç°í À¯Çüº° ¼öÁý µ¥ÀÌÅÍ
ħÀÔ »ç°í³ª ³×Æ®¿öÅ© °ø°ÝÀÌ ¹ß»ýÇßÀ» °æ¿ì, ³×Æ®¿öÅ© °ü¸®ÀÚµéÀÌ ¹ß»ý ÇöȲÀ» ÆÄ¾ÇÇϰí Áõ°Å ºÐ¼®À» À§Çؼ ¿©·¯ °¡Áö Á¤º¸¸¦ ¼öÁýÇØ¾ß ÇÑ´Ù. <Ç¥ 3-7>Àº ³×Æ®¿öÅ©¿¡¼ ¹ß»ýÇÏ´Â ´Ù¾çÇÑ »ç°íÀÇ Á¾·ù¿Í ÇØ´ç »ç°í°¡ ¹ß»ýÇÑ °æ¿ì¿¡ ¼öÁýÇØ¾ßÇÏ´Â Á¤º¸µéÀÌ´Ù.

À§ <Ç¥ 3-7>¿¡¼¿Í °°ÀÌ ´ëºÎºÐÀÇ »ç°í³ª °ø°ÝÀÌ ¹ß»ýÇÏ´Â °æ¿ì, ±× ¿øÀΰú ¹ß»ýÁö¸¦ ã±â À§Çؼ ³×Æ®¿öÅ© Æ®·¡ÇÈ Á¤º¸¿Í ÆÐŶÀº ¹Ýµå½Ã ¼öÁýÇÏ¿© ºÐ¼®ÇØ¾ß ÇÑ´Ù. ³×Æ®¿öÅ© Æ®·¡ÇÈ Á¤º¸´Â MRTG¿Í °°Àº °ø°³ ¼ÒÇÁÆ®¿þ¾î³ª ³×Æ®¿öÅ© °ü¸®¿¡ »ç¿ëµÇ´Â ¸¹Àº NMS(Network Management System), º¸¾ÈÀ» À§ÇÏ¿© »ç¿ëÇÏ´Â ¹æÈº®, IDS µî¿¡¼ ¼öÁýÇÒ ¼ö ÀÖÀ¸¸ç, ¶ó¿ìÅͳª ½ºÀ§Ä¡ÀÇ °£´ÜÇÑ ¸í·É¾î¸¸À¸·Î È®ÀÎÇÒ ¼öµµ ÀÖ´Ù. ¶ÇÇÑ ¸íÈ®ÇÑ ¿øÀÎ ºÐ¼®À» À§ÇÏ¿© ÇÊ¿äÇÑ ½ÇÁ¦ ³×Æ®¿öÅ© ÆÐŶµéÀº °ø°³ ÇÁ·ÎÅäÄÝ ºÐ¼®±âÀÎ EtherealÀ̳ª Æí¸®ÇÑ »ç¿ëÀÚ ÀÎÅÍÆäÀ̽º¸¦ Á¦°øÇÏ´Â ´Ù¾çÇÑ Àü¹® ºÐ¼®±â¸¦ »ç¿ëÇÏ¿© °£´ÜÇÏ°Ô ¼öÁý ¹× ºÐ¼®ÇÒ ¼ö ÀÖ´Ù.
³×Æ®¿öÅ©¿¡¼ ¼öÁýÇÒ ¼ö ÀÖ´Â ÁÖ¿ä Á¤º¸´Â ´ë¿ªÆø »ç¿ë·®, Æ®·¡ÇÈÀ» ´ë·®À¸·Î ¹ß»ý½Ã۰í ÀÖ´Â IP ÁÖ¼Ò, ħÀÔÀ» À§ÇÏ¿© ³»ºÎÀÇ »ç¿ëÀÚ³ª ¼¹öÀÇ IP ÁÖ¼Ò³ª TCP/UDP Æ÷Æ®¸¦ ½ºÄ³´×Çϰí ÀÖ´Â IP ÁÖ¼Ò, ÇÁ·ÎÅäÄÝ (TCP/UDP Æ÷Æ®)º° »ç¿ë ÇöȲ, ¶ó¿ìÅͳª ½ºÀ§Ä¡ÀÇ Æ÷Æ®º° Æ®·¡ÇÈ ¹ß»ý ÇöȲ µî°ú °°Àº Åë°è µ¥ÀÌÅÍ¿Í ½ÇÁ¦ µ¥ÀÌÅ͸¦ ¼Û¼ö½ÅÇϰí ÀÖ´Â ÆÐŶµéÀÌ´Ù.
2. ÇÁ·ÎÅäÄݰ³¿ä
³×Æ®¿öÅ©¿¡¼ ¼öÁýÇÑ ÆÐŶµéÀº ¸¹Àº IP¿Í TCP/UDP Çì´õ Á¤º¸¸¦ Æ÷ÇÔÇϰí Àֱ⠶§¹®¿¡ ÆÐŶµéÀ» ¸íÈ®ÇÏ°Ô ºÐ¼®Çϱâ À§Çؼ´Â TCP/IP Çì´õ¿¡ ´ëÇÑ ÀÌÇØ°¡ ÇÊ¿äÇÏ´Ù. <±×¸² 3-38>Àº IP Çì´õ¿¡ Æ÷ÇԵǴ Á¤º¸ÀÌ´Ù.


IP Çì´õÀÇ ÀϺΠÇʵå´Â ³×Æ®¿öÅ© °ø°ÝÀ̳ª ħÀÔ¿¡ »ç¿ëµÈ´Ù.
¡Ü Flag (3 bits)
- Bit¡° 0¡±: ÀϹÝÀûÀ¸·Î0À¸·Î¼³Á¤
- Bit¡° 1¡±: 0À̸éÅ«ÆÐŶ¿¡´ëÇÑÁ¶°¢À̸ç, 1À̸éÁ¶°¢À»Çã¿ëÇÏÁö¾Ê´Â°ÍÀÌ´Ù.
- Bit¡° 2¡±: 0À̸éÇØ´çÆÐŶÀ̸¶Áö¸·Á¶°¢À̸ç, 1À̸鸶Áö¸·À̾ƴϴÙ.
- ÀÌ Çʵå´Â Ethernet¿¡¼ Àü¼ÛÇÒ ¼ö ÀÖ´Â 1518bytesÀÇ ÀÌÇÏÀÇ ÆÐŶÀ» °Á¦·Î ÀÛÀº Á¶°¢À¸·Î ºÐ¸®Çؼ Àü¼ÛÇÏ´Â °æ¿ì¿¡ »ç¿ëÇÑ´Ù. Áï, ´ë»ó ½Ã½ºÅÛÀÇ Àü¼Û °èÃþÀÌ ¾Æ´Ñ IP°èÃþ¿¡¼ ÆÐŶÀ» ¸ðµÎ ¸ð¾Æ¾ß »óÀ§ °èÃþÀ¸·Î Àü´ÞÇÏ°Ô µÈ´Ù. º¸¾È Àåºñ¿¡¼ Àü¼Û °èÃþÀÇ Çì´õ¸¸ °Ë»öÇÏ´Â °æ¿ì¿¡´Â ¸·À» ¼ö ¾ø°Ô ÇÏ´Â ¹æ¹ýÀ¸·Î »ç¿ëµÇ±âµµ ÇÑ´Ù.
¡Ü Time to Live (8 bits)
- ÀϹÝÀûÀ¸·Î TTLÀ̶ó°í Çϸç, ÇØ´ç ÆÐŶÀÌ Àü¼Û°úÁ¤¿¡¼ Åë°úÇÒ ¼ö ÀÖ´Â ÃÖ´ë ¶ó¿ìÅͰ³¼ö¸¦ ³ªÅ¸³½´Ù.
- ÇØ´ç ÆÐŶÀÇ Àü¼Û ¼ö¸íÀ» Á¦ÇÑÇÏ´Â °ÍÀ̸ç, ¼Û½Å ½Ã½ºÅÛ¿¡¼ ƯÁ¤ °ªÀ¸·Î ¼³Á¤µÇ¾î ¶ó¿ìÅ͸¦ Åë°úÇÒ ¶§¸¶´Ù Çϳª¾¿ °¨¼ÒÇÑ´Ù.
- ÀÌ ÇʵåÀÇ °ªÀÌ¡°0¡±¿¡ µµ´ÞÇÏ¿´À» ¶§¿¡ ÇØ´ç ÆÐŶÀº ¹ö·ÁÁö°í, ¼Û½Å ½Ã½ºÅÛ¿¡°Ô ICMP ÇÁ·ÎÅäÄÝÀ» »ç¿ëÇÏ¿© Àü¼ÛÇÏ´Â °úÁ¤¿¡¼ ¿¡·¯°¡ ¹ß»ýÇÏ¿´À½À» Å뺸ÇÏ°Ô µÈ´Ù.(¹«ÇÑ ¶ó¿ìÆÃ ·çÇÁ¸¦ ¹æÁö)
- ³»ºÎÀûÀ¸·Î ½Ã½ºÅÛ °£ÀÇ Å×½ºÆ® (local test)¸¦ À§ÇÏ¿©¡°1¡±·Î ¼³Á¤µÈ ÆÐŶÀ» ¼Û½ÅÇϱ⵵ ÇÏÁö¸¸, ³»ºÎÀÇ ½Ã½ºÅÛ¿¡¼ ¶ó¿ìÅÍ¿Í ³×Æ®¿öÅ©¸¦ °ø°ÝÇϱâ À§ÇÏ¿© °Á¦·Î¡°1¡±·Î ¼³Á¤Çϱ⵵ ÇÑ´Ù.
¡Ü Protocol (8 bits)
- IP °èÃþ(³×Æ®¿öÅ©)ÀÇ »óÀ§ °èÃþ(Àü¼Û)¿¡ ÀÖ´Â ÇÁ·ÎÅäÄÝÀ» Ç¥½ÃÇÑ´Ù.
- ICMP (1), TCP (6), UDP (17)
- 0ºÎÅÍ 255±îÁöÀÇ °ªÀ» °®Áö¸¸, 255´Â »ç¿ëÇÏÁö ¸øÇÏ°Ô ¿¹¾àµÇ¾î ÀÖ´Ù. Àü¼Û °èÃþÀÇ ÇÁ·ÎÅäÄÝÀ» ÇØ¼®ÇÏÁö ¸øÇÏ¿© Àü¼Û °èÃþÀÇ Çì´õ¸¦ ÇØ¼®ÇÏ´Â Àåºñ¿¡¼ ¿À·ù°¡ ¹ß»ýÇϵµ·Ï °ø°ÝÇÏ´Â ÆÐŶ¿¡¼ 255·Î »ç¿ëÇϱ⵵ ÇÑ´Ù.
<±×¸² 3-39>´Â Àü¼Û °èÃþÀÎ TCPÀÇ Çì´õÀÌ´Ù. TCP Çì´õ´Â ½Ã½ºÅÛ°ú ³×Æ®¿öÅ©¸¦ ¿¬°áÇØÁÖ´Â °¡Àå Áß¿äÇÑ °èÃþÀ̱⠶§¹®¿¡ °¡Àå º¹ÀâÇÏ°í °ø°ÝÀ̳ª ħÀÔÀ» ÆÄ¾ÇÇϱâ À§ÇÏ¿© ÁÖ¿ä Çʵå´Â ¹Ýµå½Ã ÀÌÇØÇϰí ÀÖ¾î¾ß ÇÑ´Ù. ´ëºÎºÐÀÇ ºÐ¼® ÀÚ·á¿¡¼ »ìÆìº¸¸é, ³×Æ®¿öÅ© ¿ú(worm),Dos °ø°Ý ¹× ħÀÔ Æ÷Æ® ¶Ç´Â °ø°Ý ÆÐÅÏÀ» ¼³¸íÇϱâ À§ÇÏ¿© ¸¹ÀÌ ÀοëÇÏ´Â Çì´õÀÌ´Ù.


ħÀÔÀ̳ª °ø°Ý ÆÐŶµéÀ» ºÐ¼®Çϱâ À§Çؼ´Â ´ÙÀ½ TCP ÇʵåµéÀ» »ìÆìº¸¾Æ¾ß ÇÑ´Ù.
¡Ü Source Port (16 bits)
- 0 ~ 65535±îÁö Á¤ÀÇÇÒ ¼ö ÀÖÀ¸¸ç, ÇØ´ç ÆÐŶÀ» º¸³»´Â ½Ã½ºÅÛ¿¡¼ ÇÒ´çÇÑ ³í¸®ÀûÀÎ Æ÷Æ®ÀÌ´Ù. Áï, ÇØ´ç ÆÐŶ¿¡ ´ëÇÑ ÀÀ´äÀ» ¹Þ´Â ½Ã½ºÅÛÀÇ Æ÷Æ®ÀÌ´Ù.
¡Ü Destination Port (16 bits)
- 0 ~ 65535±îÁö Á¤ÀÇÇÒ ¼ö ÀÖÀ¸¸ç, ÇØ´ç ÆÐŶÀ» ¹Þ´Â ½Ã½ºÅÛ¿¡¼ ÇÒ´çÇÑ ³í¸®ÀûÀÎ Æ÷Æ®ÀÌ´Ù.
- ÀÌ µÎ Æ÷Æ® ¹øÈ£°¡ »ó´ëÀûÀ¸·Î ¼·Î ÀÏÄ¡Çϸé, ÇÑ ¼¼¼ÇÀ¸·Î ÀνĵȴÙ.
- ³×Æ®¿öÅ©¸¦ ÅëÇÏ¿© ƯÁ¤ ¾îÇø®ÄÉÀ̼ÇÀ» °ø°ÝÇÏ´Â °æ¿ì¿¡´Â, ÀÌ Æ÷Æ®°¡ ÇØ´ç ¾îÇø®ÄÉÀ̼ǿ¡¼ »ç¿ëÇÏ´Â ¼ºñ½º Æ÷Æ®ÀÌ´Ù. ´ëºÎºÐ ÇÑ Æ÷Æ®¸¸ °ø°ÝÇÏÁö¸¸, ÃÖ±ÙÀÇ ³×Æ®¿öÅ© ¿úµéÀº ¿©·¯ °³ÀÇ Æ÷Æ®¸¦ µ¿½Ã¿¡ °ø°ÝÇÏ´Â °æ¿ìµµ ÀÖ´Ù.
¡Ü Sequence Number (32 bits)
- ¼Û½ÅÀÚ°¡ Àü¼ÛÇÏ´Â µ¥ÀÌÅÍÀÇ TCP ¼¼±×¸ÕÆ® ¹øÈ£ÀÌ´Ù.
- ¹øÈ£´Â Ãʱâ Á¢¼Ó °úÁ¤¿¡¼ ÇÒ´çµÇ¾î Àü¼ÛµÇ´Â µ¥ÀÌÅÍ ¼¼±×¸ÕÆ®ÀÇ Å©±â¸¸Å Áõ°¡ÇÑ´Ù. Áï, TCP Çì´õ ´ÙÀ½¿¡ Æ÷ÇԵǾî ÀÖ´Â µ¥ÀÌÅÍ ¹ÙÀÌÆ® ¼ö¸¸Å Áõ°¡ÇÑ´Ù.
- TCP Çì´õ ´ÙÀ½¿¡ µ¥ÀÌÅͰ¡ Æ÷ÇԵǾî ÀÖÁö ¾ÊÀº °æ¿ì¿¡´Â Áõ°¡ÇÏÁö ¾Ê´Â´Ù. Áï, Ack
ÆÐŶÀÇ °æ¿ì¿¡´Â µ¥ÀÌÅͰ¡ Æ÷ÇԵǾî ÀÖÁö ¾Ê±â ¶§¹®¿¡ ¸î °³ÀÇ Ack ÆÐŶµé¿¡ ÇÒ´çµÇ
¾î ÀÖ´Â ¹øÈ£°¡ °°°Ô µÈ´Ù.
¡Ü Acknowledgement Number (32 bits)
- ¼Û½ÅÀÚ°¡ ÇØ´ç ÆÐŶÀ» ¼ö½ÅÇϴ ȣ½ºÆ®·ÎºÎÅÍ ´ÙÀ½¿¡ ¹Þ¾Æ¾ß ÇÏ´Â ÆÐŶÀÇ TCP ¼¼±×¸ÕÆ® ¹øÈ£ÀÌ´Ù. Áï, ÇØ´ç ÆÐŶÀ» ¼ö½ÅÇÑ È£½ºÆ®¿¡¼´Â ÀÌ ¹øÈ£°¡ ÇÒ´çµÇ¾î ÀÖ´Â ÆÐŶÀ¸·Î ÀÀ´äÇÑ´Ù.
¡Ü Control Bits (6 bits)
- TCP ¼¼±×¸ÕÆ®ÀÇ ¸ñÀû, Áï ÇØ´ç ÆÐŶÀÇ ¿ëµµ¸¦ Ç¥½ÃÇÑ´Ù. °¢ Çʵ尡¡°1¡±·Î ¼³Á¤µÇ¸é, ÇØ´ç ÆÐŶÀº ¼³Á¤µÈ ¿ëµµ¸¦ À§ÇÏ¿© Àü¼ÛµÇ´Â °ÍÀÌ´Ù.
- URG (Urgent Pointer Field): ±ä±ÞÀ» Àü´ÞÀÌ ÇÊ¿äÇÑ ÆÐŶÀÓÀ» Ç¥½ÃÇÑ´Ù.
- ACK (Acknowledgement): ÀÌÀü ÆÐŶ¿¡ ´ëÇÑ ÀÀ´ä ÆÐŶÀÓÀ» Ç¥½ÃÇÑ´Ù.
- PSH (Push): ÇØ´ç ¼¼±×¸ÕÆ®¸¦ ¸Þ¸ð¸®¿¡¼ ÀçÇÕ¼ºÇÏÁö ¸»°í ¾îÇø®ÄÉÀ̼ǿ¡°Ô ¹Ù·Î Àü´ÞÇØ¾ß ÇÏ´Â ¼¼±×¸ÕÆ®ÀÓÀ» Ç¥½ÃÇÑ´Ù.
- RST (Reset): ÇØ´ç ¼¼¼ÇÀ» °Á¦·Î Á¾·áÇÔÀ» Ç¥½ÃÇÑ´Ù.
- SYN (Synchronize): Ãʱâ Á¢¼ÓÀ» ½ÃÀÛÇÏ´Â °æ¿ì¿¡ »ç¿ëµÈ´Ù. ÀÌ Ç÷¡±×°¡ ¼³Á¤µÈ ÆÐŶ¿¡´Â Ãʱâ Sequence Number¿Í TCP Window Å©±â°¡ ¸í½ÃµÇ¾î ÀÖ´Ù. <±×¸² 3-40-A>´Â TCP ¼¼¼Ç ½ÃÀÛÀ» À§ÇÏ¿© ¼Û¼ö½Å
µÇ´Â ÆÐŶµéÀÇ È帧ÀÌ´Ù.
- FIN (Fin): ¼¼¼Ç Á¾·á¸¦ À§ÇÑ ÆÐŶÀÓÀ» Ç¥½ÃÇÑ´Ù. <±×¸² 3-40-B>´Â TCP ¼¼¼Ç Á¾·á½ÃÁ¡¿¡¼ ¼Û¼ö½ÅµÇ´Â ÆÐŶÀÇ È帧ÀÌ´Ù.

¡Ü Window (16 bits)
- TCP¿¡¼ µ¥ÀÌÅÍÀÇ ¼Û¼ö½Å °úÁ¤À» ¿øÈ°ÇÏ°Ô Çϱâ À§ÇÏ¿© »ç¿ëµÇ´Â ¹öÆÛÀÇ Å©±âÀÌ´Ù.
Ãʱâ Á¢¼ÓÇÏ´Â °úÁ¤¿¡¼ ¿î¿µÃ¼Á¦³ª ¾îÇø®ÄÉÀ̼ǿ¡ µû¶ó ´Ù¸¥ Å©±â·Î ÇÒ´çµÈ´Ù.
- µ¥ÀÌÅÍ ¼¼±×¸ÕÆ®¸¦ ¼ö½ÅÇϴ ȣ½ºÆ®¿¡¼´Â ÇØ´ç ¼¼±×¸ÕÆ®¸¦ ¹öÆÛ¿¡ ´©ÀûÇÏ´Â °æ¿ì¿¡, Window Å©±â¸¦ °¨¼Ò½ÃÄѼ ¼Û½ÅÇϴ ȣ½ºÆ®¿¡°Ô Åëº¸ÇØ¾ß ÇÏ¿© µ¥ÀÌÅÍ ¼Û½ÅÀ» ´ÊÃß°í, ´©ÀûµÈ ¼¼±×¸ÕÆ®µéÀ» ó¸®ÇßÀ» °æ¿ì¿¡´Â ´Ù½Ã Window Å©±â¸¦ ÃʱâÈ ÇÑ´Ù.
- ³×Æ®¿öÅ© ½Ã½ºÅÛÀ̳ª ƯÁ¤ È£½ºÆ®¸¦ °ø°ÝÇϱâ À§ÇÏ¿© ¸¹Àº ÆÐŶµéÀ» ¼Û½ÅÇÏ´Â ÀϺΠ³×Æ®¿öÅ© ¿úÀÇ °æ¿ì¿¡´Â TCP Window°¡ ÀÏÁ¤ÇÑ Å©±â·Î °íÁ¤µÇ¾î ÀÖ´Ù. ¶§¹®¿¡ ¿úÀÇ Æ¯Â¡À» ¼³¸íÇÒ ¶§¿¡ Á¾Á¾ TCP Window Å©±â¸¦ ¸í½ÃÇϱ⵵ ÇÑ´Ù.
3. ÆÐŶ ¼öÁý ¹× µðÄÚµå
°¡. ÃøÁ¤ ±¸°£
¿ÜºÎÀÇ Ä§ÀÔÀ̳ª °ø°ÝÀ» È®ÀÎÇϱâ À§ÇÏ¿© Æ®·¡ÇȰú ÆÐŶÀ» ¼öÁýÇØ¾ß ÇÏ´Â À§Ä¡´Â ¸ñÀû¿¡ µû¶ó¼ ´Ù¸£°ÚÁö¸¸, °¡Àå ¿ì¼±ÀûÀ¸·Î <±×¸² 3-41>¿Í °°ÀÌ ¶ó¿ìÅÍ¿Í °¡±î¿î À§Ä¡¿¡¼ ¼öÁýÇØ¾ß ÇÑ´Ù. ¶ÇÇÑ ¹æÈº®À» »ç¿ëÇϰí ÀÖ°í, ¹æÈº®¿¡¼ IP ÁÖ¼Ò¸¦ °øÀο¡¼ »ç¼³·Î ¹Ù²Ù¾î ÁÖ´Â NAT ±â´ÉÀÌ µ¿ÀÛÇϰí ÀÖ´Ù¸é, ¹æÈº® ¾Õ°ú µÚ¿¡¼ µ¿½Ã¿¡ ÃøÁ¤ÇÏ´Â °Íµµ ÁÁÀº ¹æ¹ýÀÌ´Ù. IPÁÖ¼Ò´Â ¹Ù²îÁö¸¸, °°Àº ½Ã°£´ë¿¡ »ý¼ºµÈ ¼¼¼ÇÀ» ã¾Æ¼ µ¿ÀÏÇÑ ÆÐŶµé·Î ºÐ¼®ÇÒ ¼ö ÀÖ´Ù.

IP ÁÖ¼Ò¸¦ º¯Á¶ÇÏ¿© ³×Æ®¿öÅ©¸¦ °ø°ÝÇÏ´Â ÃÖ±ÙÀÇ ³×Æ®¿öÅ© ¿úÀ» ã¾Æ¼ ºÐ¼®Çϱâ À§Çؼ´Â ³»ºÎ ³×Æ®¿öÅ©ÀÇ Àü ±¸°£ÀÌ ÃøÁ¤ ´ë»óÀÌ µÇ¸ç, ƯÈ÷ ¹éº»À̳ª ÁÖ¿ä ¾×¼¼½º ½ºÀ§Ä¡µéÀÇ Æ÷Æ® Æ®·¡ÇȰú CPU »óŸ¦ µ¿½Ã¿¡ °üÂûÇØ¾ß ÇÑ´Ù. ´ëºÎºÐÀÇ ³×Æ®¿öÅ© °ø°ÝµéÀÌ ¿ÜºÎ¿¡¼ ƯÁ¤ ½Ã½ºÅÛÀÌ °úµµÇÑ Æ®·¡ÇÈÀ» ¹ß»ý½ÃÄѼ ¶ó¿ìÅͳª ¹æÈº® ¶Ç´Â ¹éº» ½ºÀ§Ä¡¿¡ ¿µÇâÀ» Áֱ⺸´Ù´Â ³»ºÎ¿¡ Àִ ȣ½ºÆ®°¡ ¼·Î¸¦ °ø°ÝÇϵµ·Ï ÇÏ´Â DDos (Distributed Dos) ¹æ¹ýÀ» »ç¿ëÇϰí ÀÖ´Ù.

³ª. ÆÐŶ ¼öÁý
´ëºÎºÐÀÇ ÇÁ·ÎÅäÄÝ ºÐ¼®±â¿¡´Â ±âº»ÀûÀ¸·Î ĸÃÄ ¿É¼ÇµéÀ» ¼³Á¤ÇÏ¿© ÆÐŶÀ» ¹öÆÛ³ª ÆÄÀÏ·Î ÀúÀåÇÏ´Â ¹æ¹ýÀ» Á¦°øÇÑ´Ù. ¸¸¾à ÆÐŶÀÇ Çì´õ Á¤º¸¸¸ ºÐ¼®¿¡ ÇÊ¿äÇϰí, ½ÇÁ¦ »ç¿ëÀÚµéÀÇ µ¥ÀÌÅͰ¡ ÇÊ¿äÇÏÁö ¾ÊÀº °æ¿ì¿¡´Â ¸ðµç ÆÐŶµéÀÇ ½ÃÀۺκп¡¼ ÀÏÁ¤ Å©±â¸¸Å¸¸ ĸÃÄÇϴ±â´Éµµ Á¦°øÇÑ´Ù.
ÆÄÀÏ·Î ÀúÀåÇÏ´Â ±â´É¿¡´Â ÀÏÁ¤ °³¼öÀÇ ÆÄÀÏÀ» Ç×»ó À¯ÁöÇϵµ·Ï ÇÏ´Â ±â´ÉÀÌ ÀÖÀ¸¸ç, ÀÏÁ¤ °³¼ö¸¸Å »ý¼ºµÇ´Â ÆÄÀÏ¿¡´Â Ç×»ó ÃÖ±ÙÀÇ ÆÐŶµé¸¸ Æ÷ÇԵǵµ·Ï ÇÏ´Â ±â´Éµµ (Ring Buffer) À¯¿ëÇÏ°Ô »ç¿ëÇÒ ¼ö ÀÖ´Ù. Áï, ¾ðÁ¦ ¾î¶² »ç°í°¡ ¹ß»ýÇÒÁö ¾Ë ¼ö ¾ø´Â »óȲ¿¡¼ Ç×»óÀÏÁ¤ ½Ã°£µ¿¾ÈÀÇ Æ®·¡ÇÈ Á¤º¸¿Í ÆÐŶÀ» º¸°üÇϰí ÀÖÀ¸¸é, »ç°í°¡ ¹ß»ýÇØµµ ¸íÈ®ÇÑ ¿øÀÎÀ» ºÐ¼®ÇÒ ¼ö ÀÖ´Ù.
ÆÐŶÀ» ¼öÁýÇÏ¿© ÆÄÀÏ·Î ÀúÀåÇÒ ¶§, ÆÄÀÏÀÇ Å©±â´Â 24~32 MBytes·Î ¼³Á¤ÇÏ´Â °ÍÀÌ ÁÁ´Ù. ÆÄÀÏ Å©±â¸¦ ³Ê¹« Å©°Ô ¼³Á¤Çϸé, ÇâÈÄ¿¡ ´Ù½Ã ºÐ¼®±â¿¡¼ ÇØ´ç ÆÄÀÏÀ» ÀÐ¾î µé¿©¼ ÀúÀåµÇ¾î ÀÖ´Â ¸ðµç ÆÐŶµéÀ» ºÐ¼®Çϴµ¥ ¸¹Àº ½Ã°£ÀÌ ÇÊ¿äÇÏ°Ô µÈ´Ù. ÀúÀåµÇ´Â ÆÄÀÏÀÇ °³¼ö´Â ÆÐŶÀ» ¼öÁýÇÏ´Â ±¸°£¿¡¼ ¹ß»ýÇÏ´Â Æ®·¡ÇȰú ÆÐŶ ÀúÀåÀÌ ÇÊ¿äÇÑ ½Ã°£À» °è»êÇÏ¿© ¼³Á¤ÇÑ´Ù. Áï, ÆÐŶÀ» ĸÃÄÇÏ´Â µ¿¾È ÆÄÀÏ Çϳª°¡ »ý¼ºµÇ´Âµ¥ ¸î ºÐÀÌ ÇÊ¿äÇÑÁö ÆÄ¾ÇÇϸé, ¿øÇÏ´Â ½Ã°£µ¿¾ÈÀÇ ¸ðµç ÆÐŶµéÀ» ĸÃÄÇϱâ À§Çؼ´Â ¸î °³ÀÇ ÆÄÀÏÀÌ »ý¼ºµÇ¾î¾ß ÇÏ´ÂÁö °è»êÇÒ ¼ö ÀÖ´Ù.
´Ù. Æ®·¡ÇÈ Åë°è °üÂû
Æ®·¡ÇÈ Åë°è´Â NMS³ª ÁÖ¿ä ½Ã½ºÅÛÀÇ ³»ºÎ ¸í·É¾î¸¦ »ç¿ëÇÏ¿© ¾ðÁ¦µçÁö °üÂûÇÒ ¼ö ÀÖÀ¸¸ç, ÆÐŶÀÌ Ä¸ÃÄµÈ ½Ã°£µ¿¾ÈÀÇ Æ®·¡ÇÈ Åë°èµµ ºÐ¼®±â¿¡¼ °£´ÜÇÏ°Ô »ìÆìº¼ ¼ö ÀÖ´Ù. ħÀÔ¿¡ ´ëÇÑ ºÐ¼®À» Çϱâ À§Çؼ´Â ħÀÔÀ» ŽÁöÇÏ´Â ½Ã½ºÅÛÀÇ ·Î±×¿Í ħÀÔ ´ë»óÀÌ µÈ ½Ã½ºÅÛÀÇ ·Î±×¸¦ ÇÔ²² °üÂûÇÏ´Â °ÍÀÌ ÁÁ´Ù. °ø°ÝÀ̳ª ºñÁ¤¼ºÀûÀÎ Æ®·¡ÇÈ¿¡ ´ëÇØ¼´Â ½Ã½ºÅÛ¿¡¼ Á¦°øÇÏ´Â Åë°è³ª ºÐ¼®±â¿¡¼ Á¦°øÇÏ´Â Åë°è¸¸À¸·Î °£´ÜÇÏ°Ô °üÂûÇÒ ¼ö ÀÖ´Ù.
¡Ü MAC ÁÖ¼Òº° Æ®·¡ÇÈ Åë°è: »ç¿ëÀÚµéÀ̳ª ¼¹öµéÀÌ ¿¬°áµÇ¾î ÀÖ´Â ¾×¼¼½º ½ºÀ§Ä¡ ±¸°£¿¡¼´Â È£½ºÆ®º° MAC ÁÖ¼Ò¸¦ È®ÀÎÇÏ¿© Æ®·¡ÇÈ ¹ß»ý »óŸ¦ °üÂûÇÒ ¼ö ÀÖ´Ù. ÇÏÁö¸¸, ¶ó¿ìÅͳª ¹éº» ±¸°£¿¡¼´Â È£½ºÆ®ÀÇ MACÀ» È®ÀÎÇÒ ¼ö ¾ø±â ¶§¹®¿¡ Áß¿äÇÑ Àǹ̸¦ °®Áö ¸øÇÑ´Ù.

¡Ü IP ÁÖ¼Òº° Æ®·¡ÇÈ Åë°è: ħÀÔÀ̳ª °ø°ÝÀº IP¸¦ ±â¹ÝÀ¸·Î ¹ß»ýÇϱ⠶§¹®¿¡ IP ÁÖ¼Òº°·Î ¸ðµç Æ®·¡ÇÈ Åë°è¸¦ ºÐ¸®ÇÏ¿© °üÂûÇÒ Çʿ䰡 ÀÖ´Ù. ¸¸¾à ³×Æ®¿öÅ©¿¡¼ ¿úÀÌ È°µ¿Çϰųª DDos°¡ ¹ß»ýÇϰí ÀÖ´Ù¸é, ³»ºÎ IP ÁÖ¼Ò¿¡¼ Àü¼ÛÇÏ´Â ÆÐŶ °³¼ö°¡ ¼ö½ÅÇÏ´Â ÆÐŶ °³¼öº¸´Ù ÈξÀ ¸¹¾ÆÁö°Ô µÈ´Ù. ¶ÇÇÑ ÆÐŶ °³¼ö¿¡ ºñÇÏ¿© ¼Û¼ö½ÅµÇ´Â ¹ÙÀÌÆ® ¼ö°¡ ¸Å¿ì Àû´Ù´Â °ÍÀ» ¹ß°ßÇÒ ¼öµµ ÀÖ´Ù.

¡Ü TCP/UDP ¼¼¼Çº° Æ®·¡ÇÈ Åë°è: ¼¼¼Çº° Æ®·¡ÇÈ Åë°è¿¡¼´Â ¾î´À ¼¼¼ÇÀÌ ¼¹ö¿¡¼ ¸îºÐ µ¿¾È ÀÛ¾÷À» ÇßÀ¸¸ç, ¾î´À Á¤µµÀÇ ÆÐŶÀ̳ª µ¥ÀÌÅͰ¡ ¼Û¼ö½Å µÇ¾ú´ÂÁö¸¦ È®ÀÎÇÒ ¼ö ÀÖ´Ù. ¿ÜºÎ IP ÁÖ¼Ò°¡ ¼¹ö¿¡ Á¢¼ÓÇÏ¿© ¹«¾ð°¡ ÀÛ¾÷À» Çϰųª µ¥ÀÌÅ͸¦ ¿Ã¸®´Â °æ¿ì¿¡´Â ¼¹ö¿¡¼ ¼ö½ÅÇÑ bytes ¼ö°¡ ´õ ¸¹À» ¼öµµ ÀÖ´Ù. ´ëºÎºÐÀÇ ºÐ¼®±â¿¡´Â ¼¼¼Çº° Æ®·¡ÇÈ Åë°è¿¡¼ Á¦°øÇÏ´Â IP ÁÖ¼Ò¿Í TCP/UDP Æ÷Æ® ¹øÈ£µéÀ» ÂüÁ¶ÇÏ¿© ÇÊÅ͸¦ Á¤ÀÇÇÒ ¼ö ÀÖÀ¸¸ç, Á¤ÀÇµÈ ÇÊÅÍ·Î ÇØ´ç ¼¼¼Ç¿¡ ´ëÇÑ ÆÐŶµéÀ» ÃßÃâÇÒ ¼ö ÀÖ´Â ±â´ÉÀ» Á¦°øÇÑ´Ù.

ƯÁ¤ ±¸°£¿¡¼ ÀÏÁ¤ ½Ã°£ µ¿¾È ¸ðµç ÆÐŶÀ» ĸÃÄÇÏ¸é µðÄÚµå ȸ鿡 Ç¥½ÃµÇ´Â ÆÐŶµéÀÌ ¹«¼öÈ÷ ¸¹±â ¶§¹®¿¡, ÇÊÅ͸¦ ±¸¼ºÇÏ¿© °ü·Ã¼ºÀÌ ÀÖ´Â ÆÐŶµé¸¸ ÃßÃâÇÏ´Â °ÍÀÌ Áß¿äÇÏ´Ù. ºÐ¼®±â¿¡¼´Â Åë°è ÀڷḦ ±â¹ÝÀ¸·Î ÇÊÅ͸¦ Á¤ÀÇÇÏ´Â ¹æ¹ý¿¡ ´ëÇØ¼ Àͼ÷ÇÒ ¼ö ·Ï ¿øÇÏ´Â ÆÐŶµéÀ» ½Å¼ÓÇÏ°Ô ÃßÃâÇÒ ¼ö ÀÖ°Ô µÈ´Ù.
¶ó. ÆÐŶ µðÄÚµå
ÇÁ·ÎÅäÄÝ ºÐ¼®±âµéÀÇ ´Ù¾çÇÑ ÇÊÅ͸¦ »ç¿ëÇÏ¿© ¿øÇÏ´Â ÆÐŶµéÀ» ÃßÃâÇÑ ÈÄ, »ó¼¼ÇÏ°Ô ºÐ¼®Çϱâ À§Çؼ´Â ºÐ¼®±âÀÇ µðÄÚµå ȸéÀ» ÀÌÇØÇϰí Ä®·³µéÀ» ºÐ¼®¿¡ ÀûÇÕÇϵµ·Ï ±¸¼ºÇØ¾ß ÇÑ´Ù. ÆÐŶ ºÐ¼®¿¡ ÇÊ¿äÇÑ µðÄÚµå ȸé°ú Ä®·³ ±¸¼ºÀº ¾Æ·¡ <±×¸² 3-46>°ú °°´Ù.

´ëºÎºÐ ÇÁ·ÎÅäÄÝ ºÐ¼®±âµéÀÇ µðÄÚµå ȸéÀº À¯»çÇÏ´Ù. ¸ÕÀú »ó´Ü ȸ鿡¼´Â ĸÃÄµÈ ÆÐŶµéÀÇ ¸ñ·Ï°ú °£´ÜÇÑ Á¤º¸¸¦ Ç¥½ÃÇϸç, Áß°£ ȸ鿡¼´Â »ó´Ü ȸ鿡¼ ¼±ÅÃÇÑ ÇÑ ÆÐŶÀÇ °èÃþº° ÇÁ·ÎÅäÄÝ Çì´õ Á¤º¸¸¦ Ç¥½ÃÇÑ´Ù. ÇÏ´Ü È¸é¿¡¼´Â ¼±ÅÃÇÑ ÆÐŶ¿¡ Æ÷ÇԵǾî ÀÖ´Â ½ÇÁ¦ ³»¿ëÀ» 16Áø¼ö¿Í ASCII ÄÚµå·Î Ç¥½ÃÇÑ´Ù. ´ÙÀ½Àº ÆÐŶ ¸ñ·ÏÀ» Ç¥½ÃÇÏ´Â »ó´Ü ȸ鿡¼ ÆÐŶÀ» °üÂûÇϱâ À§ÇØ ÇÊ¿äÇÑ Ä®·³µéÀÌ´Ù.
¡Ü Time (Relative Time): ±âÁØÀÌ µÇ´Â ÆÐŶÀ» 0.00ÃÊ·Î ÇÏ¿© ´ÙÀ½ ÆÐŶµéÀÌ Ä¸ÃĵDZâ±îÁöÀÇ ½Ã°£À» ÀǹÌÇÑ´Ù. Áï, 1¹ø ÆÐŶÀÌ ±âÁØ ÆÐŶÀ̶ó°í Çϸé 2, 3, 4¹ø±îÁö ĸÃÄµÈ ½Ã°£À» Ç¥½ÃÇÑ´Ù. °¢ ÆÐŶµéÀÇ Delta TimeÀ» ÇÕÇÑ °ÍÀÌ´Ù. À̽ð£Àº 1ÃÊ µ¿¾ÈÀÇ ¸î °³ÀÇ ÆÐŶÀÌ ³×Æ®¿öÅ©¿¡¼ ¹ß»ýÇß´ÂÁö ¶Ç´Â ƯÁ¤ ÆÐŶ±îÁö ¸î Ãʰ¡ °É·È´ÂÁö¸¦ °è»êÇϱâ À§Çؼ »ç¿ëµÈ´Ù.
¡Ü Delta Time: ¹Ù·Î ÀÌÀü ÆÐŶ°ú ÇØ´ç ÆÐŶ »çÀÌÀÇ ½Ã°£ °£°ÝÀ» ÀǹÌÇÑ´Ù. À§ <±×¸² 3-46>¿¡¼ º¸¸é, 2¹ø ÆÐŶ ´ÙÀ½¿¡ 3¹ø ÆÐŶÀÌ Ä¸ÃÄµÈ ½Ã°£ÀÌ 0.06ÃÊÀÌ´Ù. ÀÌ ½Ã°£Àº ÆÐŶµéÀÌ ¾ó¸¶³ª ªÀº ¶Ç´Â ±ä ½Ã°£ °£°ÝÀ¸·Î ¹ß»ýÇß´ÂÁö¸¦ È®ÀÎÇϱâ À§Çؼ »ç¿ëµÈ´Ù.
¡Ü Abs. Time (Absolute Time): °¢ ÆÐŶÀÌ Ä¸ÃÄµÈ ½ÇÁ¦ ½Ã½ºÅÛÀÇ ½Ã°£ÀÌ´Ù. À̽ð£Àº ½ÇÁ¦ »ç°í°¡ ¹ß»ýÇÑ ½Ã°£¿¡ ĸÃÄµÈ ÆÐŶÀ» ã±â À§Çؼ ÂüÁ¶Çϸç, ½ÇÁ¦ ºÐ¼®¿¡ ÇÊ¿äÇÑ °ÍÀº ¾Æ´Ï´Ù.
¡Ü Source: ÇØ´ç ÆÐŶÀ» ¼Û½ÅÇÑ È£½ºÆ®ÀÇ ÁÖ¼ÒÀÌ´Ù. IP ¶Ç´Â MAC ÁּҷΠǥ½ÃÇÒ ¼ö ÀÖ´Ù.
¡Ü Destination: ÇØ´ç ÆÐŶÀ» ¼ö½ÅÇϴ ȣ½ºÆ®ÀÇ ÁÖ¼ÒÀÌ´Ù. ¸¶ÂùÇϱâ·Î IP ¶Ç´Â MAC ÁּҷΠǥ½ÃÇÒ ¼ö ÀÖ´Ù.
¡Ü Length: ÇØ´ç ÆÐŶÀÇ ½ÇÁ¦ Å©±âÀÌ´Ù. MAC °èÃþÀÇ CRC¸¦ Æ÷ÇÔÇÏ¿© Ç¥½ÃÇϱ⵵ ÇÏÁö¸¸, CRC¸¦ Á¦¿ÜÇÑ ³ª¸ÓÁö Å©±â·Î Ç¥½ÃÇϱ⵵ ÇÑ´Ù.
¡Ü Protocol: ÇØ´ç ÆÐŶÀÇ ¾îÇø®ÄÉÀÌ¼Ç Æ÷Æ®ÀÌ´Ù. ¼¹öÀÇ TCP/UDP Æ÷Æ®¸¦ ±Ù°Å·Î Ç¥½ÃµÈ´Ù.
¡Ü Information: ÇØ´ç ÆÐŶ¿¡ Æ÷ÇԵǾî ÀÖ´Â ¼Û¼ö½Å Æ÷Æ®, ÆÐŶÀÇ ¿ëµµ ¹× ¾îÇø®ÄÉÀ̼ǿ¡ ´ëÇÑ °£·«ÇÑ ¼³¸íÀÌ´Ù. °¢ ÆÐŶÀÇ Seq, Ack ¹øÈ£ ¹× TCP WindowÀÇ Å©±âµµ Ç¥½ÃµÈ´Ù.
4. °ø°ÝÇü Æ®·¡ÇÈÀÇ Æ¯Â¡
°ø°ÝÇü Æ®·¡ÇÈÀº ³×Æ®¿öÅ©¿¡ °úºÎÇϸ¦ ¹ß»ý½ÃŰ°Å³ª ƯÁ¤ ¾îÇø®ÄÉÀ̼ÇÀÇ ¼ºñ½º¸¦ Áß´Ü ½ÃŰ´Â ÇüŰ¡ ÀÖ´Ù. ¸î ³â Àü±îÁö¸¸ ÇØµµ ¾îÇø®ÄÉÀ̼ÇÀÇ ¼ºñ½º¸¦ ÁߴܽÃŰ´Â Äڵ带 ¼¹ö¿¡ »ðÀÔÇÏ´Â (Buffer Overflow) °ø°ÝÀÌ ¸¹¾Ò´Ù. ÇÏÁö¸¸ ÃÖ±Ù ¸î ³â ÀüºÎÅÍ´Â À¯ÀԵǴ ³×Æ®¿öÅ© ¿úµéÀº ¼¹ö»Ó¸¸ ¾Æ´Ï¶ó ³×Æ®¿öÅ© Àüü¿¡ °úºÎÇϸ¦ ¹ß»ý½ÃŰ´Â Æ®·¡ÇÈÀ» ¹ß»ý½Ã۰í ÀÖ´Ù.
°¡. ƯÁ¤ ¼¹ö¸¸À» °ø°ÝÇÏ´Â ÆÐÅÏ
Web, E-mail, DNS ¼¹ö¿Í °°Àº ÁÖ¿ä ¾îÇø®ÄÉÀÌ¼Ç ¼¹ö¸¸À» °ø°ÝÇÏ´Â Æ®·¡ÇÈÀº ´ÙÀ½°ú °°Àº Ư¡À» °¡Áö°í ÀÖ´Ù.
¡Ü ¸¹Àº µ¥ÀÌÅ͸¦ Àü¼ÛÇÏ´Â °Íó·³ ÆÐŶÀÇ Å©±â°¡ Å©°Å³ª ºÒ±ÔÄ¢ÇÏ´Ù.
¡Ü ÇØ´ç ¼¹ö¿¡¼ ÀνÄÇÏÁö ¸øÇÏ´Â Äڵ带 Àü¼ÛÇÑ´Ù.
¡Ü ÇØ´ç ¼¹ö¿¡¼ ó¸®ÇÒ ¼ö ¾øÀ» Á¤µµÀÇ ¸¹Àº ¿äûÀ» º¸³½´Ù.
¡Ü ¼¹ö¿¡¼ Çã¿ëµÇÁö ¾Ê´Â ¹®ÀåÀ» »ç¿ëÇÏ¿© ¿äû ÆÐŶÀ» Àü¼ÛÇÑ´Ù.

³ª. ³×Æ®¿öÅ©¿¡ °úºÎÇϸ¦ ¹ß»ý½ÃŰ´Â °ø°Ý ÆÐÅÏ
³×Æ®¿öÅ©¿¡ °úºÎÇϸ¦ ¹ß»ý½ÃÄѼ ½ºÀ§Ä¡³ª ¹æÈº® ¶Ç´Â ¶ó¿ìÅÍ¿¡ ¿µÇâÀ» ÁÖ´Â Æ®·¡ÇÈÀº °£´ÜÇÏ°Ô Ã£À» ¼ö ÀÖÁö¸¸, °¡Àå ¾î·Á¿î ¹®Á¦´Â ÀÌ·¯ÇÑ Æ®·¡ÇÈÀ» ¹ß»ý½ÃŰ´Â È£½ºÆ®¸¦ ã´Â °ÍÀÌ´Ù. ¸¹Àº ¿úÀ̳ª °ø°ÝÀÌ IP ÁÖ¼Ò¸¦ º¯Á¶Çϱ⠶§¹®¿¡ ¹ß»ýÁö¸¦ ã±â ¾î·Á¿öÁö°í ÀÖÀ¸¸ç, ¶§¹®¿¡ ÀÌ·¯ÇÑ Æ®·¡ÇÈÀÌ ¹ß°ßµÇ¸é, °¢ ½ºÀ§Ä¡ÀÇ Æ÷Æ® »óŸ¦ Á¡°ËÇØ¾ß ÇÑ´Ù.
¡Ü ºÒƯÁ¤ IP ÁÖ¼Ò¸¦ ¼øÂ÷ÀûÀ¸·Î »ç¿ëÇÏ¿© ÇÑ IP ÁÖ¼Ò¸¦ ´ë»óÀ¸·Î °°Àº ÇüÅÂÀÇ ÆÐŶÀ» ¼Û½ÅÇÑ´Ù.
¡Ü ƯÁ¤ IP ÁÖ¼Ò¿¡¼ ºÒƯÁ¤ ´Ù¼öÀÇ IP ÁÖ¼Ò¸¦ ´ë»óÀ¸·Î ¼øÂ÷ÀûÀ¸·Î °°Àº ÇüÅÂÀÇ ÆÐŶÀÌ ¹ß»ýÇÑ´Ù.
¡Ü 1ÃÊ¿¡ ¼Û½ÅÇÏ´Â ÆÐŶÀÇ °³¼ö°¡ ¼ö¹é ~ ¼ö ¸¸°³±îÁö ¹ß»ýÇÑ´Ù.
¡Ü ÇѰ³ ¶Ç´Â ¸î °³ÀÇ TCP Æ÷Æ®¸¦ ´ë»óÀ¸·Î SYN ÆÐŶÀ» Àü¼ÛÇÑ´Ù.
¡Ü ¹ß»ýÇÏ´Â ÆÐŶÀÇ Å©±â°¡ ÀÛ´Ù.
¡Ü ÆÐŶÀÇ °³¼ö°¡ ¼ö½Åº¸´Ù ¼Û½ÅÀÌ ¸Å¿ì ¸¹´Ù. (100 ~ 1000¹è ÀÌ»ó)

<±×¸² 3-48>ÀÇ ÆÐÅÏÀ» º¸¸é, ¿©·¯ IP ÁÖ¼Ò°¡ ¼øÂ÷ÀûÀ¸·Î ¹Ù²î¸é¼ ÇÑ IP ÁÖ¼Ò¿¡ TCP 80Æ÷Æ® SYN ÆÐŶÀ» Àü¼ÛÇϰí ÀÖ´Ù. ¶ÇÇÑ ÆÐŶÀ» Àü¼ÛÇÏ´Â ½Ã°£Àº Delta TimeÀ» ÂüÁ¶Çϸé, ª°Ô´Â 0.00001ÃÊ¿¡¼ ±æ°Ô´Â 0.00014ÃÊ ¹Û¿¡ Â÷À̳ªÁö ¾Ê´Â´Ù.


<±×¸² 3-49>ÀÇ ÆÐÅÏÀ» º¸¸é, ÇÑ IP ÁÖ¼Ò°¡ ¿©·¯ IP ÁÖ¼ÒµéÀÇ ´ÙÁß TCP Æ÷Æ®¿¡ ´ëÇØ¼ SYN ÆÐŶÀ» Àü¼ÛÇϰí ÀÖ´Ù.
5. ħÀÔÇü Æ®·¡ÇÈÀÇ Æ¯Â¡
ħÀÔÇÏ·Á´Â ´ë»óÀ» ¾Ë°í ÀÖ´Â »óŶó¸é, Á¢¼ÓÀÌ °¡´ÉÇÑ Æ÷Æ®¸¦ °Ë»öÇÑ ÈÄ¿¡ Á¢¼ÓÀ» ½ÃµµÇϱâ À§ÇÏ¿© ¿©·¯ °¡Áö ¹æ¹ýÀ̳ª µµ±¸¸¦ »ç¿ëÇÑ´Ù. ÇÏÁö¸¸, ´ë»óÀ» ¸ð¸£°í ÀÖ´Ù¸é, ¸ÕÀú ³×Æ®¿öÅ©¸¦ ÅëÇÏ¿© Á¢¼ÓÀÌ °¡´ÉÇÑ IP ÁÖ¼Ò¿Í Æ÷Æ®¸¦ °Ë»öÇÑ ÈÄ¿¡ Á¢¼ÓÀ» ½ÃµµÇÑ´Ù. IP ÁÖ¼Ò¿Í Æ÷Æ®¸¦ °Ë»öÇÏ´Â °úÁ¤¿¡¼ ¹ß»ýÇÏ´Â Æ®·¡ÇÈÀÇ Æ¯Â¡Àº ¾Æ·¡¿Í °°´Ù.
¡Ü ÇØ´ç IP ÁÖ¼Ò¿¡¼ ¼Û½ÅÇÑ ÆÐŶ °³¼ö¿Í ¼ö½ÅÇÑ ÆÐŶ °³¼ö°¡ ºñ½ÁÇÏ´Ù.
¡Ü ÀϹÝÀûÀ¸·Î °Ë»ö °úÁ¤¿¡¼´Â ½ÇÁ¦ µ¥ÀÌÅÍ ¼Û¼ö½ÅÀÌ ¹ß»ýÇÏÁö ¾Ê±â ¶§¹®¿¡ ¼Û¼ö½ÅÇÑ ¹ÙÀÌÆ® ¼öµµ ºñ½ÁÇÏ´Ù.
¡Ü ÆÐŶ °¡¿îµ¥ RSTÀ̳ª login Failure°¡ Æ÷ÇÔµÈ ÆÐŶÀÌ ¸¹´Ù.
¡Ü °Ë»öÇÏ·Á´Â IP ÁÖ¼Ò ¶Ç´Â Æ÷Æ®°¡ ¼øÂ÷ÀûÀ¸·Î ¹Ù²ï´Ù.

´ÙÀ½ <±×¸² 3-51>´Â ³×Æ®¿öÅ©¿¡ ¿¬°áµÇ¾î Àִ ȣ½ºÆ®ÀÇ IP ÁÖ¼Ò¸¦ °Ë»öÇÏ´Â ÆÐÅÏÀÌ´Ù. IP ÁÖ¼Ò¸¦ °Ë»öÇÏ´Â ¹æ¹ýÀ¸·Î °¡Àå ¸¹ÀÌ »ç¿ëµÇ´Â ¸í·É¾î°¡ PingÀÌ´Ù. Ping ¸í·É¾î¸¦ ÀÌ¿ëÇÏ¿© Echo request¸¦ Àü¼ÛÇϸé, ³×Æ®¿öÅ©¿¡ ¿¬°áµÇ¾î ÀÖÁö ¾Ê´Â È£½ºÆ®¿¡¼´Â ÀÀ´äÀÌ ¾øÁö¸¸, ¿¬°áµÇ¾î Àִ ȣ½ºÆ®¿¡¼´Â Echo Reply·Î ÀÀ´äÇϱ⠶§¹®¿¡, °¡Àå °£´ÜÇÑ ¹æ¹ýÀ¸·Î »ç¿ëµÈ´Ù.

<±×¸² 3-52>Àº TCP Æ÷Æ®¸¦ °Ë»öÇÏ´Â ÆÐÅÏÀÌ´Ù. ÇÑ IP ÁÖ¼ÒÀÇ TCP Æ÷Æ®¿¡ ´ëÇØ¼ ¼øÂ÷ÀûÀ¸·Î SYN ÆÐŶÀ» Àü¼ÛÇϰí ÀÖÀ¸¸ç, ´ë»ó È£½ºÆ®¿¡¼ ÇØ´ç Æ÷Æ®·Î Á¢¼ÓÀ» °ÅºÎÇÏ´Â °æ¿ì¿¡´Â RST ÆÐŶÀÌ ¹ß»ýÇϰí ÀÖ´Ù. ÇÏÁö¸¸, ¸¸¾à TCP 7(echo), 9(discard)¹ø Æ÷Æ®ÀÎ °æ¿ì¿¡ ´ëÇØ¼´Â SYN ACK ÆÐŶÀÌ ¹ß»ýÇÏ¿© Á¢¼ÓÀÌ °¡´ÉÇÔÀ» ¾Ë·ÁÁÖ°í ÀÖ´Ù.

Á¦4Àý µ¥ÀÌÅͺ£À̽º »ç°í ºÐ¼®
1. Data, µ¥ÀÌÅͺ£À̽º, DBMS
°¡. µ¥ÀÌÅÍ¿Í Á¤º¸
µ¥ÀÌÅͶõ Á¤º¸ÀÛ¼ºÀ» À§ÇÏ¿© ÇÊ¿äÇÑ ÀڷḦ ¸»ÇÏ´Â °ÍÀ¸·Î, ÀÌ´Â ¾ÆÁ÷ ƯÁ¤ÀÇ ¸ñÀû¿¡ ´ëÇÏ¿© Æò°¡µÇÁö ¾ÊÀº »óÅÂÀÇ ´Ü¼øÇÑ »ç½Ç¿¡ ºÒ°úÇÏ´Ù.
Á¤º¸¶õ µ¥ÀÌÅ͸¦ ÃßÃâ, ºÐ¼®, ºñ±³ µî °¡°øÀýÂ÷¸¦ ÅëÇØ ¿øÇÏ´Â °á°ú¸¦ ¾ò±â À§ÇÏ¿© ¾î¶²ÀÇ»ç°áÁ¤À̳ª ÇൿÀ» ÃëÇßÀ» ¶§ Àǹ̸¦ °¡Áö´Â µ¥ÀÌÅ͸¦ Á¤º¸¶ó°í ºÎ¸¥´Ù.
³ª. µ¥ÀÌÅͺ£À̽º
ÇÑ Á¶Á÷ÀÇ ¿©·¯ ÀÀ¿ë½Ã½ºÅÛÀÌ °øÀ¯(shared)Çϱâ À§ÇØ ÃÖ¼ÒÀÇ Áߺ¹À¸·Î ÅëÇÕ(Integrated), ÀúÀå(Stored) µÈ ¿î¿µ(Operational) µ¥ÀÌÅÍÀÇ ÁýÇÕÀ» °¡¸®Å²´Ù.
´Ù. DBMS
µ¥ÀÌÅ͸¦ ÅëÇÕÀûÀ¸·Î »ý¼º, ÀúÀå ¹× °ü¸®ÇÏ´Â ½Ã½ºÅÛ ¼ÒÇÁÆ®¿þ¾î ÆÐŰÁö¸¦ ¸»Çϸç, ¿ì¸®°¡ ÈçÈ÷ ¾Ë°í ÀÖ´Â MS-SQL, Oracle, Informix, DB2 µîÀÌ ¿©±â¿¡ ¼ÓÇÑ´Ù.
2. My-SQL
My-SQLÀº ¼¼°èÀûÀ¸·Î °¡Àå ³Î¸® ¾²À̰í ÀÖ´Â ´ëÁßÀûÀÎ DBMSÀÌ´Ù. My-SQL ¸»°í¶óµµ MS-SQL °°Àº ¼Ò±Ô¸ðDB, ¶Ç ASP¿Í ¿¬µ¿ÇÏ¿© ¾²ÀÌ´Â MS-SQL µî ¸¹Àº ´Ù¸¥ SQLÀÌ ÀÖ±ä ÇÏÁö¸¸ My-SQLÀÌ °ø°³ ¼ÒÇÁÆ®¿þ¾î¶ó´Â ÀÌÁ¡ ¶§¹®¿¡ ´Ù¸¥ SQLµéÀ» ¾ÐµµÇϰí ÀÖ´Ù. ¿ì¼± My-SQLÀºLinux, Apache, PHP µî°ú °°ÀÌ Open Source¸¦ ÁöÇâÇÏ´Â Application°ú ȯ»óÀûÀÎ Á¶È¸¦ ÀÌ·ç°í ÀÖ´Ù. Àü ¼¼°èÀûÀ¸·Î ÀÎÅͳݻ󿡼 °¡Àå ¸¹Àº ºñÁßÀ» Â÷ÁöÇÏ´Â ¼¹ö´Â Linux·Î¼ PHP¿Í My-SQLÀÇ ¿¬µ¿Àº Linux ¼¹öÀÇ ÀϹÝÀûÀÎ ±¸¼ºÀ̶ó°í ÇÒ ¼ö ÀÖ´Ù. ±×·¯ÇÑ ÀÌÀ¯·Î Hacker¿¡°Ô °¡Àå ¸¹Àº Target ÀÌ µÇ´Â ¸ñÇ¥À̱⵵ ÇÏ´Ù. My-SQL ¼¹ö°¡ Ä§ÇØ»ç°í¿¡ ³ëÃâÀÌ µÇ¾ú´Ù°í ÀÇ½ÉµÉ °æ¿ì¿¡´Â ÇÊ¿äÇÑ Á¡°Ë ÀýÂ÷¸¦ ¾Ë¾Æº¸µµ·Ï ÇÏÀÚ.
°¡. °ü¸®ÀÚ ¾ÆÀ̵𸦠Default·Î »ç¿ëÇϰí Àִ°¡?
My-SQL º¸¾È¿¡ °¡Àå Áß¿äÇÑ °ÍÀº µðÆúÆ® ¼³Ä¡½Ã ¼³Á¤µÇÁö ¾ÊÀº ä ºñ¾îÀÖ´Â µ¥ÀÌÅͺ£À̽º °ü¸®ÀÚ ÆÐ½º¿öµå¸¦ º¯°æÇÏ´Â °ÍÀÌ´Ù. My-SQLÀÇ °ü¸®ÀÚÀÎ root´Â ½ÇÁ¦ Linux(¶Ç´Â Unix)½Ã½ºÅÛÀÇ root »ç¿ëÀÚ¿Í´Â °ü°è°¡ ¾ø´Ù. ´Ù¸¸ ±× À̸§ÀÌ °°À» »ÓÀÌ´Ù. µû¶ó¼ Ä§ÇØ»ç°í ¹ß»ý½Ã °¡Àå ¸ÕÀú ÇØ¾ß ÇÒ ÀÏÀÌ ¹Ù·Î My-SQL µ¥ÀÌÅͺ£À̽ºÀÇ root »ç¿ëÀÚ ÆÐ½º¿öµå¸¦ Default »óÅ·Π¿î¿µÇÏÁö ¾Ê¾Ò´ÂÁö Á¡°ËÇÏ´Â °ÍÀÌ´Ù. ÀÌÀ¯´Â My-SQLÀÇ root¶ó´Â °ü¸®ÀÚ ÆÐ½º¿öµå´Â ´©±¸³ª°¡ ¾Ë°í ÀÖ´Â »ç½ÇÀ̱⠶§¹®ÀÌ´Ù. µû¶ó¼ °ü¸®ÀÚ °èÁ¤À» root°¡ ¾Æ´Ñ ´Ù¸¥ °èÁ¤À¸·Î ¹Ù²Ù´Â °ÍÀÌ ¾ÈÀüÇÏ´Ù. µðÆúÆ®·Î ¼³Á¤µÇ´Â °ü¸®ÀÚ °èÁ¤(root)À» ¹«Â÷º° ´ëÀÔ °ø°ÝÀ̳ª »çÀü´ëÀÔ °ø°Ý µîÀ¸·Î ÃßÃøÇØ ³»±â ¾î·Á¿î À̸§À¸·Î º¯°æÇÑ´Ù. º¯°æÇØ µÎ¸é ¼³»ç °ø°ÝÀ» ´çÇÏ´õ¶óµµ °ø°ÝÀÚ´Â ÆÐ½º¿öµå»Ó ¾Æ´Ï¶ó °èÁ¤Á¤º¸µµ ÃßÃøÇØ ³»¾ß Çϱ⠶§¹®¿¡ °ø°ÝÀº ´õ ¾î·Á¿öÁø´Ù.
¡Ü Á¡°Ë »çÇ×
¾Æ·¡¿Í °°Àº ¹æ¹ýÀ¸·Î root °èÁ¤¿¡ ´ëÇÑ Á¡°ËÀ» ¼öÇàÇϸç, root °èÁ¤À» admin °èÁ¤À¸·Î °èÁ¤¸íÀ» ¹Ù²Ù´Â ¿¹ÀÌ´Ù.

³ª. ÆÐ½º¿öµå°¡ ¼³Á¤ÇÏÁö ¾ÊÀº DBMS °èÁ¤ÀÌ Á¸ÀçÇϴ°¡?
ÆÐ½º¿öµå°¡ ¼³Á¤µÇ¾î ÀÖÁö ¾ÊÀº DBMS°èÁ¤ÀÌ Á¸ÀçÇÒ °æ¿ì Àΰ¡µÇÁö ¾ÊÀº ÀϹݻç¿ëÀÚ°¡ DBMS¿¡ ºÒ¹ýÁ¢¼ÓÀÌ °¡´ÉÇϹǷΠDBMS¿¡ ÀúÀåµÇ¾î ÀÖ´Â ÁÖ¿ä µ¥ÀÌÅ͵éÀÇ ÆÄ±«, º¯Á¶ µîÀÇ À§Ç輺ÀÌ Á¸ÀçÇÑ´Ù.
ƯÈ÷¡°°¡¡±ÀÇ °æ¿ìó·³ root ÀÇ ÆÐ½º¿öµå°¡ ¼³Á¤µÇÁö ¾ÊÀ» ¶§´Â ´©±¸³ª My-SQL ÀÇ root±ÇÇÑÀ¸·Î Á¢¼Ó °¡´ÉÇÏ´Ù.
¡Ü Á¡°Ë »çÇ×
ÆÐ½º¿öµå ¼³Á¤ Table Á¡°Ë¹æ¹ýÀº ´ÙÀ½°ú °°´Ù.

À§¿Í °°ÀÌ rootÀÇ °æ¿ì ÆÐ½º¿öµå°¡ ¼³Á¤µÇÁö ¾ÊÀº °æ¿ì ÀϹÝÀ¯Àúµµ µ¥ÀÌÅͺ£À̽º¸¦ root ±ÇÇÑÀ¸·Î Á¢¼Ó °¡´ÉÇØ Áø´Ù.
- ÆÐ½º¿öµå°¡ ¼³Á¤µÇÁö ¾Ê¾ÒÀ» ¶§ Á¢¼Ó ¿¹½Ã
# mysql -u root -p
mysql>
¡Ü ´ëÀÀ ¹æ¹ý
ÆÐ½º¿öµå°¡ ¼³Á¤µÇÁö ¾ÊÀº »ç¿ëÀÚ¿¡ ´ëÇØ ÆÐ½º¿öµå¸¦ ¼³Á¤ÇÑ´Ù.
- ¹æ¹ý1. mysql>UPDATE user SET password=password¡®( new-password¡¯)
mysql>WHERE user =¡® user_name¡¯
mysql>flush privileges;
- ¹æ¹ý2. mysql>SET PASWORD for user_name=password¡®( new_password¡¯);
- ¹æ¹ý 3. $My-SQLadmin u username password new-password
´Ù. Remote¿¡¼ My-SQL ¼¹ö·ÎÀÇ Á¢¼ÓÀÌ °¡´ÉÇѰ¡?
¸ÕÀú My-SQLÀÌ µðÆúÆ®·Î ¸®½º´×ÇÏ´Â 3306/tcp Æ÷Æ®¸¦ Â÷´ÜÇØ µ¥ÀÌÅͺ£À̽º°¡ ·ÎÄ÷Π¼³Ä¡µÈ PHD ¾îÇø®ÄÉÀ̼ǿ¡ ÀÇÇØ¼¸¸ »ç¿ëµÇ°Ô ÇÑ´Ù. ÀÌÀ¯´Â 3306/tcp Æ÷Æ®°¡ My-SQL Åë½ÅÆ÷Æ®¶ó´Â »ç½ÇÀº ´©±¸³ª ´Ù ¾Ë°í ÀÖ´Â »ç½ÇÀ̱⠶§¹®¿¡, 3306/tcp Æ÷Æ®¸¦ ¸®½º´×ÇÏÁö ¸øÇÏ°Ô ÇÏ¸é ´Ù¸¥ È£½ºÆ®·ÎºÎÅÍ Á÷Á¢ TCP/IP Á¢¼ÓÀ» ÇØ¼ My-SQL µ¥ÀÌÅͺ£À̽º¸¦ °ø°ÝÇÒ °¡´É¼ºÀÌ ÁÙ¾îµç´Ù. ±×·¯³ª mysql. socket À» ÅëÇÑ ·ÎÄà Ŀ¹Â´ÏÄÉÀ̼ÇÀº ¿©ÀüÈ÷ °¡´ÉÇÏ´Ù.
¡Ü ´ëÀÀ ¹æ¹ý
3306/tcp Æ÷Æ®¸¦ ¸®½º´×ÇÏÁö ¸øÇÏ°Ô ÇÏ·Á¸é /chroot/mysql/etc/my.cnfÀÇ [mysqld] ºÎºÐ¿¡ ´ÙÀ½À» Ãß°¡ÇÑ´Ù.
skip-networking
µ¥ÀÌÅÍ ¹é¾÷ µîÀÇ ÀÌÀ¯·Î µ¥ÀÌÅͺ£À̽º·Î ¿ø°Ý¿¡¼ Á¢¼ÓÇØ¾ß¸¸ ÇÏ´Â °æ¿ì ¾Æ·¡¿Í °°ÀÌ SSH ÇÁ·ÎÅäÄÝÀ» »ç¿ëÇÑ´Ù.
$ ssh mysqlserver /usr/local/mysql/bin/mysqldump -A > backup
¶ó. My-SQL °èÁ¤À» ÀÌ¿ëÇÑ Á¢¼ÓÀÌ °¡´ÉÇÑ »óÅÂÀΰ¡?
My-SQL DB¸¦ Install Çϸé ÀÚµ¿À¸·Î ¼¹ö¿¡ My-SQLÀ̶ó´Â °èÁ¤ÀÌ »ý¼ºµÈ´Ù. µû¶ó¼ ¼¹ö°ü¸®ÀÚµéÀÌ My-SQL °èÁ¤¿¡ ´ëÇÑ °ü¸®°¡ ¼ÒȦÇÑ Á¡À» ÀÌ¿ëÇÏ¿© ÀÌ °èÁ¤À¸·Î ¼¹ö¿¡ ºÒ¹ýÀ¸·Î ħÅõÇÏ´Â °æ¿ì°¡ Á¾Á¾ ¹ß»ýÇÑ´Ù.
¡Ü Á¡°Ë »çÇ×
$ more /etc/passwd
My-SQL:x:60004:102::/export/home/My-SQL:/bin/sh
ÇöÀç My-SQLÀ̶ó´Â °èÁ¤À¸·Î ¿ÜºÎ¿¡¼ Login °¡´ÉÇÏ´Ù.
¡Ü ´ëÀÀ ¹æ¹ý
/etc/passwd ÆÄÀÏ¿¡¼ /bin/sh¸¦ bin/false·Î º¯°æÇÑ´Ù. ÀÌ´Â My-SQL »ç¿ëÀÚ °èÁ¤À» ÀÌ¿ëÇÑ remote Login ±ÝÁöÇÏ´Â ¿É¼ÇÀÌ´Ù.
¸¶. °¢ ½Ã½ºÅÛ»ç¿ëÀÚµéÀÇ DBµé¿¡ ´ëÇÑ ±ÇÇѼ³Á¤Àº ¿Ã¹Ù¸¥°¡?
ÇÊ¿ä ÀÌ»óÀÇ ±ÇÇÑÀÎ ¾îÇø®ÄÉÀÌ¼Ç »ç¿ë À¯Àú¿¡°Ô ºÎ¿©µÇ¾î ÀÖÀ» °æ¿ì ¿ÜºÎÀÇ Ä§ÀÔÀڴ ȹµæÀ¯Àú ±ÇÇÑ È¹µæ ÈÄ DBMS¸¦ ÄÁÆ®·Ñ ÇÒ ¼ö ÀÖ´Â ±ÇÇÑÀÌ ÁÖ¾îÁö¹Ç·Î, ÇÊ¿ä ÀÌ»óÀÇ ±ÇÇÑÀÇ ºÎ¿©¸¦ Áö¾çÇØ¾ß ÇÑ´Ù.
¡Ü Á¡°Ë »çÇ×
¾Æ·¡ÀÇ °æ¿ì¿¡´Â test, test¡¬_%, ccrco ¶ó´Â 3Á¾·ùÀÇ µ¥ÀÌÅͺ£À̽º °¡ ¼³Á¤µÇ¾î ÀÖ´Ù. ƯÈ÷ test, test¡¬_% DB´Â ¸ðµç È£½ºÆ®ÀÇ ¸ðµç ½Ã½ºÅÛ »ç¿ëÀÚ¿¡ ÀÇÇØ »ç¿ë °¡´ÉÇϵµ·Ï ¼³Á¤µÇ¾î ÀÖÀ½À» È®ÀÎÇÒ ¼ö ÀÖ´Ù.
¶ÇÇÑ ccrco DB´Â localhostÀÇ ½Ã½ºÅÛÀÇ root À¯Àú¿¡ ÀÇÇØ¼¸¸ »ç¿ë °¡´ÉÇÑ »óÅÂÀÌ´Ù.

°ü¸® ¸ñÀûÀÇ »ç¿ëÀ» À§ÇÏ¿© root / mysql °èÁ¤À̿ܿ¡ °ü¸®¸ñÀûÀÇ °èÁ¤À» ¸¸µé¾î¼ ÇöÀçÀÇ rootÀÇ ±ÇÇÑÀ» ºÎ¿©ÇÏ¿© ÀÌ¿ëÇϰí, root »ç¿ëÀÚÀÇ ±ÇÇÑÀº ¸ðµÎ revoke ½ÃŰ´Â °ÍÀÌ ¿øÄ¢ÀÌ´Ù.
¡Ü ´ëÀÀ ¹æ¹ý
test, test¡¬_% DB´Â ¸ðµç È£½ºÆ®ÀÇ ¸ðµç »ç¿ëÀÚ¿¡ ÀÇÇØ »ç¿ë °¡´ÉÇÑ »óÅÂÀ̹ǷΠºÒÇÊ¿äÇÑ ±ÇÇÑÀ» Revoke½ÃÄÑ¾ß ÇÑ´Ù.
mysql> UPDATE db SET Update_priv =¡® N¡¯ WHERE db =¡® test¡¯
mysql> flush privileges;
¸¸¾à test, test¡¬_% DB°¡ ºÒÇÊ¿äÇÑ DB¶ó¸é ¾Æ·¡¿Í °°ÀÌ ½ÇÇàÇÏ¿© µ¥ÀÌÅͺ£À̽º¸¦ »èÁ¦ÇÏ´Â °ÍÀÌ ¾ÈÀüÇÏ´Ù.
mysql> DROP µ¥ÀÌÅͺ£À̽º db_name
¹Ù. µ¥ÀÌÅͺ£À̽º³»ÀÇ »ç¿ëÀÚº° Á¢¼Ó/±ÇÇÑ ¼³Á¤Àº ¿Ã¹Ù¸¥°¡?
µ¥ÀÌŸº£À̽º¿¡ ´ëÇÑ ÀûÀýÇÑ ±ÇÇÑ ¼³Á¤ÀÌ µÇ¾î ÀÖÁö ¾ÊÀº °æ¿ì dba°¡ ¾Æ´Ñ »ç¿ëÀÚ°¡ Áß¿ä Å×ÀÌºí¿¡ ´ëÇÑ Á¶ÀÛÀ» ÇÒ ¼ö ÀÖÀ¸¹Ç·Î °¢ User º° µ¥ÀÌÅͺ£À̽º±ÇÇÑ ¼³Á¤ÀÌ ÀûÀýÇÏ°Ô ÀÌ·ç¾îÁ®¾ß ÇÑ´Ù. ƯÈ÷, ÀÏ¹Ý »ç¿ëÀÚ¿¡°Ô File_priv, Process_priv ±ÇÇÑÀÌ ÁÖ¾îÁú °æ¿ì ÇØÄ¿¿¡ ½Ã½ºÅÛ Ä§ÀÔÀÇ ´ë»óÀÌ µÇ¾îÁú ¼ö ÀÖ´Ù.
¡Ü Á¡°Ë »çÇ×
user Å×À̺í ÇöȲ Á¡°Ë¹æ¹ýÀº ´ÙÀ½°ú °°´Ù.

À§ÀÇ °á°ú¿¡¼´Â ¿ÜºÎ È£½ºÆ®ÀÎ (203.xxx.xxx.237, 47, 52, 66)¿¡¼ root»ç¿ëÀÚ·Î ·Î±×ÀÎÇØ ¸ðµç ÀÛ¾÷ÀÌ °¡´ÉÇÑ »óÅÂÀÌ´Ù. ¶ÇÇÑ localhost¿¡¼´Â ccrco¿Í root°¡ ·Î±×ÀÎÇÏ¿© ¸ðµç ÀÛ¾÷ÀÌ °¡´ÉÇÑ »óÅÂÀÌ´Ù.
¡Ü ´ëÀÀ ¹æ¹ý
ccrco °èÁ¤ÀÌ ÀÏ¹Ý ¿î¿µ¿ë °èÁ¤À̶ó¸é Ư¼º¿¡ µû¶ó ±ÇÇÑ ¼³Á¤À» Á¶Á¤ÇÒ °ÍÀÌ ¹Ù¶÷Á÷ÇÏ´Ù. ¶ÇÇÑ localhost¿¡¼ root »ç¿ëÀÚ´Â ¸ðµç ±ÇÇÑÀ» revoke½ÃŰ°í ´Ù¸¥ À̸§ÀÇ DBA°èÁ¤À» ¸¸µé¾î »ç¿ëÇϵµ·Ï ÇØ¾ß ÇÑ´Ù. ±×¸®°í remote Login½Ã root»ç¿ëÀÚ°¡ ¾Æ´Ñ ´Ù¸¥ »ç¿ëÀÚ·Î Login Çϰí Á¢±ÙÇÒ ¶§ Á¢±Ù±ÇÇÑÀ» ÃÖ¼ÒÈÇÒ °ÍÀÌ ÁÁ´Ù.
´ÙÀ½Àº Àý´ë ÀÏ¹Ý »ç¿ëÀÚ³ª remote »ç¿ëÀÚ¿¡°Ô ÁÖ¾îÁ®¼´Â ¾È µÇ´Â ±ÇÇѵéÀ» ¼³¸íÇÑ ³»¿ëÀÌ´Ù.
- File_priv : ÆÄÀÏ¿¡ ´ëÇÑ ±ÇÇÑ
- Process_priv : ¾²·¹µå Á¤º¸¸¦ º¼ ¼ö ÀÖÀ¸¸ç, ¾²·¹µå¸¦ ÁßÁö ½Ãų ¼ö ÀÖ´Â ±ÇÇÑ
- Shutdown_priv : My-SQL ¼¹öÀÇ ½ÇÇàÀ» ÁßÁö ½ÃŰ´Â ±ÇÇÑ
À̿ܿ¡ ºÒÇÊ¿äÇÑ ±ÇÇÑÀº revoke ½ÃÄÑ¾ß ÇÑ´Ù.
´ÙÀ½Àº root °èÁ¤ÀÌ 203.xxx.xxx.237 ¼¹ö¿¡ ´ëÇÑ Process_priv ¼¹ö¿¡ ´ëÇÑ ±ÇÇÑÀ» revoke ½ÃŰ´Â ¹æ¹ýÀÌ´Ù.
mysql> UPDATE user SET Process_priv =¡® N¡¯ WHERE host =¡® 203.xxx.xxx.237¡¯ AND User =¡® root¡¯
»ç. ¾ÈÁ¤ÀûÀÎ My-SQL ¹öÀüÀ» »ç¿ëÇϰí Àִ°¡?
3.22.32 ¹Ì¸¸ÀÇ ¹öÀü¿¡¼´Â »ç¿ëÀÚ ÀÎÁõó¸® ºÎºÐ¿¡¼ ¹ö±× º¸°íµÈ ¹Ù ÀÖ´Ù. µû¶ó¼ ±ÇÇÑÀ» °¡ÁöÁö ¾ÊÀº ÀϹÝÀεµ My-SQLÀÇ ¸ðµç ±ÇÇÑÀ» °¡Áö°í Á¢±ÙÇÒ ¼ö ÀÖ´Ù. ÀÚ½ÅÀÌ ¿î¿µÇϰí ÀÖ´Â My-SQL DBÀÇ ¹öÀüÀ» Á¡°ËÇØ º¸µµ·Ï ÇÏÀÚ.
¡Ü Á¡°Ë »çÇ×

À§ÀÇ °æ¿ì¿¡´Â ¾ÈÁ¤ÀûÀÎ 3.23.55 ¹öÀüÀ» »ç¿ëÇϰí ÀÖ´Ù.
¡Ü ´ëÀÀ ¹æ¹ý
´ëÀÀ¹æ¹ýÀº °£´ÜÇÏ´Ù. °¡Àå ¾ÈÀüÇÑ »óÅÂÀÇ ÃֽйöÀüÀ» ´Ù¿î¹Þ¾Æ »ç¿ëÇÒ °ÍÀÌ °¡Àå ÁÁ´Ù.
¾Æ. My-SQLÀÇ µ¥ÀÌÅÍ µð·ºÅ͸®´Â ¾ÈÀüÇÏ°Ô º¸È£µÇ°í Àִ°¡?
My-SQLÀº Å×À̺íÀÇ µ¥ÀÌÅ͸¦ ÆÄÀÏ ÇüÅ·Π°ü¸®ÇÑ´Ù. ÀÌ ÆÄÀÏÀº My-SQL µ¥ÀÌÅÍ µð·ºÅ͸®¶ó°í ºÒ¸®´Â µð·ºÅ͸®¿¡ ÀúÀåµÇ´Âµ¥, ÀÌ µð·ºÅ͸®ÀÇ ±ÇÇÑÀ» À߸ø ¼³Á¤ÇÒ °æ¿ì, ¼¹öÀÇ ÀÏ¹Ý User°¡ My-SQLÀÇ ¸ðµç µ¥ÀÌÅ͸¦ »èÁ¦ÇØ ¹ö¸®´Â °æ¿ìµµ ÀÖ´Ù. ¶Ç´Â ¼¹ö¸¦ ÇØÅ·ÇÑ ÇØÄ¿¿¡ ÀÇÇØ¼ My-SQL µ¥ÀÌÅ͸¦ »èÁ¦ÇØ ¹ö¸®´Â »ç°íµµ ¹ß»ýÇÑ´Ù.
ÀÌ´Â My-SQLÀÇ ·Î±×ÆÄÀϵµ ¸¶Âù°¡ÁöÀÌ´Ù. My-SQLÀÇ °æ¿ì¿¡´Â Update ·Î±× ÆÄÀÏÀ̳ª ÀϹÝÀûÀÎ ·Î±×ÆÄÀÏ¿¡´Â »ç¿ëÀÚ°¡ ÆÐ½º¿öµå¸¦ ¹Ù²Ù·Á°í ÇÏ´Â Äõ¸®µµ ±â·ÏµÈ´Ù. µû¶ó¼ ·Î±× ÆÄÀÏÀÇ ÆÛ¹Ì¼ÇÀÌ ºÎÀûÀýÇÏ¿© DB ±ÇÇÑÀÌ ¾ø´Â User°¡ My-SQL Log ÆÄÀÏ¿¡ Á¢±ÙÇÏ¿© DB ÆÐ½º¿öµå°¡ ³ëÃâµÇ´Â °æ¿ì°¡ ¹ß»ýÇÑ´Ù.
»Ó¸¸ ¾Æ´Ï¶ó ÁöÁ¤µÈ ¿É¼Ç ÆÄÀÏ(my.cnf, my.cnf)µé¿¡ ´ëÇÑ Á¢±ÙÅëÁ¦µµ ¸¶Âù°¡ÁöÀÌ´Ù. My-SQL °ü¸®ÀÚ´Â ¿©·¯ ¿É¼ÇÀ» ¿É¼ÇÆÄÀÏ¿¡ ÁöÁ¤ÇÏ¿© °ü¸®¸¦ ½±°Ô ÇÒ ¼ö ÀÖÀ¸¸ç, ÀÌ ¿É¼Ç ÆÄÀϵ鿡´Â root¸¦ ºñ·ÔÇÑ ÀÏ¹Ý »ç¿ëÀÚµéÀÇ ÆÐ½º¿öµå°¡ µé¾î ÀÖ´Â °æ¿ìµµ ÀÖ´Ù. µû¶ó¼ ¿É¼ÇÆÄÀÏÀº °ü¸®ÀÚ³ª ÇØ´ç »ç¿ëÀÚ¸¸ÀÌ ÀÐ°í ¾µ ¼ö ÀÖµµ·Ï ÇÑ´Ù.
¡Ü Á¡°Ë »çÇ×

À§ÀÇ ¿¹´Â µð·ºÅ͸®ÀÇ permissionÀÌ ÀûÀýÇÏ°Ô ¼³Á¤µÇ¾î ÀÖ´Â °æ¿ìÀÌ´Ù.
¶ÇÇÑ ¿¡·¯·Î±×(v480.err)¸¸ »ý¼ºµÇ¸ç permissionÀÌ Á¤»óÀûÀ¸·Î ¼³Á¤µÇ¾î ÀÖ´Â °æ¿ìÀÌ´Ù.
¡Ü ´ëÀÀ ¹æ¹ý
ÇØ´ç µð·ºÅ͸®´Â chmod ¸í·É¾î¸¦ ÀÌ¿ëÇÏ¿© My-SQL ±×·ì ¹× ¼ÒÀ¯ÀÚ¸¸ »ç¿ëÇÒ ¼ö ÀÖ°Ô permissionÀ» º¯°æÇØ¾ß ÇÑ´Ù.
ÇØ´ç ¿É¼Ç ÆÄÀϵ鿡 ´ëÇÑ ¼³Á¤Àº ¿ÀÁ÷ ¼ÒÀ¯ÀÚ¸¸ÀÌ ÀÐ°í ¾µ ¼ö ÀÖµµ·Ï ¼³Á¤ÇÑ´Ù.
#chmod 700 /etc/my.cnf
#chmod 700 DATADIR/my.cnf
#chmod 700 $HOME/my.cnf
3. MS-SQL
MS-SQLÀº Àß ¾Ë·ÁÁø ¹Ù¿Í °°ÀÌ Microsoft »ç¿¡¼ ¸¸µç Windows ±â¹Ý¿¡¼ ¿î¿µÇÏ´Â µ¥ÀÌÅͺ£À̽º¸¦ °¡¸®Å²´Ù. ÃÖ±Ù¿¡´Â SQL Server 2005°¡ Ãâ½ÃµÇ¾úÀ¸³ª, ¾ÆÁ÷±îÁö ½ÃÁß¿¡´Â SQL Server 2000ÀÌ ÁÖÁ¾À» ÀÌ·ç°í ÀÖ´Ù. Windows °è¿ÀÇ ¼¹ö¿¡¼´Â µ¥ÀÌÅͺ£À̽º ½ÃÀåÀÇ ¾à 80% Á¤µµ¸¦ MS-SQL DB°¡ Á¡À¯Çϰí ÀÖ´Â °ÍÀ¸·Î Microsoft¿¡¼´Â ¹ßÇ¥Çϰí ÀÖ´Ù. µû¶ó¼ MS-SQL DB¸¦ Áß½ÉÀ¸·Î °¡Àå ÀϹÝÀûÀÎ µ¥ÀÌÅͺ£À̽º Application Ãë¾àÁ¡À» ÇÑ °¡Áö ¾Ë¾Æº¸ÀÚ. º» °í´Â MS SQL Server 2000À» ±âÁØÀ¸·Î ÀÛ¼ºµÇ¾ú´Ù.
ÀϹÝÀûÀ¸·Î ±â¾÷¿¡¼ ¿î¿µÇÏ´Â »ó¾÷Àû ¸ñÀûÀÇ Web ¼¹öµéÀº Back-end ´Ü¿¡ DB¼¹ö¿Í ¿¬µ¿ÀÌ µÇ¾î ÀÖ°í, DB ¼¹ö·ÎºÎÅÍ Web¼¹ö ÀÎÁõÀ̳ª ¿î¿µ¿¡ ÇÊ¿äÇÑ Áß¿ä Data Á¤º¸¸¦ °¡Á®¿Àµµ·Ï ±¸¼ºµÇ¾î ÀÖ´Ù. <±×¸² 3-53> ÂüÁ¶

MS-SQL DB¿Í Web ¼¹ö¿Í ¿¬°áÇÏ¿© ¿î¿µÇÑ´Ù°í °¡Á¤ÇÒ ¶§ Web ¼¹ö¿¡´Â DB¼¹ö¿ÍÀÇ ¿¬°áÁ¤º¸°¡ ´ã°ÜÀÖ´Â ÆÄÀÏ (conn.asp)ÀÌ Á¸ÀçÇϰí, ±× ÆÄÀÏ¿¡´Â DB Ä¿³Ø¼ÇÀ» À§ÇÑ ´ÙÀ½°ú °°Àº ȯ°æÁ¤º¸°¡ ´ã°ÜÁ® ÀÖ´Ù.
- DB¼¹öÀÇ IP ÁÖ¼Ò ¶Ç´Â Host Name
- DB¼¹ö Á¢±Ù °èÁ¤ (ID)
- DB¼¹ö Á¢±Ù ÆÐ½º¿öµå (Password)
µû¶ó¼ ºÒ¹ýÀûÀΠħÀÔÀÚ°¡ Web¼¹öÀÇ °èÁ¤À» ȹµæÇÏ¿´À» °æ¿ì DB ¼¹ö±îÁö Á¡·ÉÇÏ´Â °ÍÀº ÀüÇô ¹®Á¦°¡ µÇÁö ¾Ê´Â´Ù. MS-SQL ¼¹ö Á¢¼ÓÇÁ·Î±×·¥ÀÎ sqlpoke.exe¿Í °°Àº ÆÄÀÏÀ» ¾÷·ÎµåÇÏ¿© À¥ ¼¹ö¿¡¼ ȹµæÇÑ DBÁ¢±Ù °èÁ¤°ú ÆÐ½º¿öµå¸¦ ÀÌ¿ëÇÏ¿© ¼¹ö ³»ºÎ¿¡ Á¢±ÙÇÒ ¼ö ÀÖ´Ù. MS-SQL¼¹öÀÇ Default °èÁ¤ÀΡ®sa¡¯°èÁ¤Àº ¼¹ö ³»ºÎ¿¡ administrator±ÇÇÑÀ¸·Î ¸í·ÉÀ» Àü´ÞÇÒ ¼ö ÀÖ´Â °èÁ¤ÀÌ´Ù.

À§¿Í °°ÀÌ net user ¸í·ÉÀ» ÀÌ¿ëÇÏ¿© Remote¿¡¼ DB¼¹ö ³»ºÎ¿¡¡°hack¡±À̶ó´Â ³»ºÎ°èÁ¤À» »ý¼ºÇÑ °á°úÀÌ´Ù. ÀÌ¿Í °°ÀÌ <±×¸² 3-54>¿¡¼ º¸´Â °Í°ú ¸¶Âù°¡Áö·Î Á¡·ÉµÈ À¥ ¼¹ö¸¦ ÅëÇÏ¿© ¿ìȸħÅõ °æ·Î·Î DB¼¹ö±îÁö Á¢±ÙÀÌ °¡´ÉÇÏ´Ù´Â °ÍÀ» ¾Ë ¼ö ÀÖ´Ù.
±×·¸´Ù¸é ÀÌ·¯ÇÑ Ãë¾àÁ¡À» ¾î¶»°Ô ¹æ¾îÇÒ °ÍÀΰ¡?
ÀǿܷΠ°£´ÜÇÏ´Ù. DB ¼¹ö¿Í À¥ ¼¹ö¸¦ ¿¬µ¿ÇÒ ¶§¡®sa¡¯°èÁ¤À» ÀÌ¿ëÇϸé, À¥ ¼¹ö°¡ ħÅõ¸¦ ´çÇÒ °æ¿ì º¸¾È»ó Ãë¾àÇÒ ¼ö¹Û¿¡ ¾ø´Ù. µû¶ó¼ administrator °èÁ¤ÀÌ ¾Æ´Ï¶ó ÀÏ¹Ý DB¼¹ö °èÁ¤À» »ý¼ºÇÏ¿© À¥ ¼¹ö¿Í ¿¬µ¿½ÃŰ´Â °ÍÀÌ ÇϳªÀÇ ¹æ¹ýÀÌ´Ù. ÀÌ·² °æ¿ì DB¼¹öÀÇ¡°sa¡±°èÁ¤Àº Administrator ±ÇÇÑÀÌ ¾ø±â ¶§¹®¿¡ ¿©·¯ °¡Áö Á¦¾àÀ» °¡Áö°Ô µÈ´Ù. ±×·¯³ª ÀÌ °æ¿ì¿¡µµ DB¼¹öÀÇ DataµéÀ» ºÒ¹ýÀûÀ¸·Î Á¶È¸ÇÏ´Â °ÍÀº ¸·Áö ¸øÇÑ´Ù.
ÃÖ±Ù °¡Àå ¸¹ÀÌ ÀÌ¿ëµÇ°í ÀÖ´Â SQL Injection °ø°ÝÀÇ °æ¿ì, À¥ »çÀÌÆ®°¡ Injection µµ±¸¿¡ ÀÇÇØ ħÀÔÀ» ¹Þ¾Ò´Ù¸é DB¿¡ ÇØ´ç ÅøÀ» ¾Ï½ÃÇÏ´Â Å×À̺íÀ̳ª, ÀÌ¿ëÀÚ °èÁ¤ Á¤º¸°¡ ³²¾ÆÀÖ°Ô µÈ´Ù. ¶ÇÇÑ IIS À¥·Î±×¿¡µµ ·Î±× ±â·ÏÀÌ ³²±â ¶§¹®¿¡ À̸¦ ÅëÇØ¼µµ ħÀÔ ÈçÀûÀ» È®ÀÎÇÒ ¼ö ÀÖ´Ù. ¿©±â¼´Â DB Âʸ¸ »ìÆìº¸µµ·Ï ÇÏÀÚ.
°¡. ÆÐ½º¿öµå°¡ ¼³Á¤µÇÁö ¾Ê¾Ò°Å³ª ´Ü¼øÇÑ ÆÐ½º¿öµå¸¦ »ç¿ëÇÏ´Â °èÁ¤ÀÌ Àִ°¡?
HDSI ÅøÀº SQL Injection¿¡ Ãë¾àÇÑ »çÀÌÆ®ÀÇ DB¸¦ Á¶È¸Çϰųª ½Ã½ºÅÛ ¸í·É¾î µîÀ» ½ÇÇàÇÒ ¼ö ÀÖ°Ô ÇØÁØ´Ù. DB¿¡ T_Jiaozhu, jiaozhu, comd_list, xiaopan, Reg_Arrt µîÀÇ Å×À̺íÀ» »ý¼ºÇϹǷÎ, ÀÌ Å×À̺íµéÀÇ Á¸À縦 È®ÀÎÇÔÀ¸·Î½á ħÀÔ ¿©ºÎ¸¦ ¾Ë ¼ö ÀÖ´Ù.


³ª. D-SQL¿¡ ÀÇÇÑ Ä§ÀÔ
DB¿¡ D99_Tmp¶ó´Â Å×À̺íÀÌ Á¸ÀçÇÑ´Ù¸é D-SQLÀ» ½á¼ ½Ã½ºÅÛ ¸í·É¾î¸¦ ½ÇÇàÇÑ °ÍÀ¸·Î º¼ ¼ö ÀÖ´Ù. ¾Æ¿ï·¯ D99_Reg Å×À̺íÀº ·¹Áö½ºÆ®¸® ¼öÁ¤, D99_Tmp´Â µð·ºÅ͸® Ž»ö,D99_CMD´Â ¸í·É¾î ¼öÇàÀÌ ÀÌ·ïÁ³À½À» °¢°¢ ³ªÅ¸³½´Ù. D-SQLÀº ¶ÇÇÑ IIS À¥·Î±×µµ »ý¼ºÇÑ´Ù.

±×·¯¸é MS-SQL ¼¹ö°¡ Ä§ÇØ»ç°í¿¡ ³ëÃâÀÌ µÇ¾ú´Ù°í ÀÇ½ÉµÉ °æ¿ì¿¡´Â ´ÙÀ½°ú °°Àº ÀýÂ÷¸¦ °Åó Á¡°ËÇØ º¸ÀÚ.
°¡. °èÁ¤ÀÇ ÆÐ½º¿öµå Áß ºó ÆÐ½º¿öµå³ª ¾àÇÑ ÆÐ½º¿öµå°¡ Á¸Àç Çϴ°¡?
ÆÐ½º¿öµå°¡ ¼³Á¤µÇ¾î ÀÖÁö ¾ÊÀ» °æ¿ì user ¸¸ ¾Ë¸é ´©±¸³ª DB¿¡ Á¢¼ÓÇÒ ¼ö ÀÖ°Ô µÈ´Ù. ƯÈ÷ sa °èÁ¤¿¡ ´ëÇØ ÆÐ½º¿öµå°¡ ¼³Á¤µÇ¾î ÀÖÁö ¾ÊÀº °æ¿ì°¡ ºñ±³Àû ¸¹´Ù. ÀÌ·² °æ¿ì ½Ã½ºÅÛ ±ÇÇÑÀÇ ¾÷¹«¸¦ ¾ÇÀÇÀûÀÎ »ç¿ëÀÚ°¡ ½ÇÇàÇÒ ¼ö ÀÖ°Ô µÈ´Ù.
¡Ü Á¡°Ë »çÇ×
1. ÇÁ·Î±×·¥ MSSQL Äõ¸®¾î³Î¶óÀÌÁ® ½ÇÇà
2. ¸ÞÀÎ DB¸¦¡°MASTER¡±·Î ¼³Á¤
3. QA¿¡¼¡°Select name, password from syslogins¡±ÀÔ·Â ÈÄ
4. °á°ú °ªÀÌ Null ÀÌ¸é ÆÐ½º¿öµå ¾øÀ½
´Ü, Builtin\°èÁ¤¸íÀÇ °æ¿ì NULLÀÌ Á¤»óÀÌ´Ù.
¡Ü ´ëÀÀ ¹æ¹ý
ÆÐ½º¿öµå°¡ ¾ø´Â °èÁ¤À» ¹ß°ßÇϸé, Ư¼ö¹®ÀÚ°¡ Æ÷ÇÔµÈ ÃßÃøÇϱâ Èûµç ÆÐ½º¿öµå¸¦ »ý¼ºÇϵµ·Ï ÇÑ´Ù. ƯÈ÷ Windows ÀÎÁõÀ» ¿ä±¸Çϵµ·Ï ±¸¼ºµÈ ¼¹ö¿¡¼µµ sa °èÁ¤Àº Ç×»ó ±î´Ù·Î¿î ÆÐ½º¿öµå¸¦ »ç¿ëÇØ¾ß ÇÑ´Ù´Â °ÍÀº ±âº»À¸·Î ÁöÄѾßÇÒ ¼öÄ¢ÀÌ´Ù. °èÁ¤ÀÇ ÆÐ½º¿öµå ÁöÁ¤¹æ¹ýÀº ´ÙÀ½°ú °°´Ù.
1. ¼¹ö ±×·ìÀ» È®ÀåÇÏ°í ¼¹ö¸¦ È®Àå.
2. º¸¾ÈÀ» È®ÀåÇÏ°í ·Î±×ÀÎÀ» Ŭ¸¯.
3. »ó¼¼³»¿ë â¿¡¼ ¸¶¿ì½º ¿À¸¥ÂÊ ´ÜÃ߷ΠŬ¸¯ÇÏ°í ¼Ó¼ºÀ» Ŭ¸¯.
4. ÆÐ½º¿öµå ÀԷ¶õ¿¡ »õ ÆÐ½º¿öµå¸¦ ÀÔ·Â
³ª. guest °èÁ¤ÀÌ ºñȰ¼ºÈ µÇ¾î Àִ°¡?
guest°èÁ¤Àº Ưº°ÇÑ ·Î±×ÀÎ °èÁ¤À¸·Î ÀÌ °èÁ¤À» µ¥ÀÌÅͺ£À̽º¿¡ ÁöÁ¤ÇÔÀ¸·Î½á SQL ¼¹öÀÇ Á¤»ó »ç¿ëÀÚ ¸ðµÎ°¡ µ¥ÀÌÅͺ£À̽º¿¡ ¾×¼¼½ºÇÏ°Ô Çã¶ôÇÏ´Â °æ¿ì°¡ Á¾Á¾ ÀÖ´Ù. ÀÌ´Â ´ç¿¬È÷ MS-SQL ¼¹öÀÇ º¸¾È¿¡ Ä¡¸íÀûÀÎ °á°ú¸¦ °¡Á®¿Â´Ù.
¡Ü Á¡°Ë »çÇ×
1. SQL ServerÀÇ Enterprise Manager ½ÇÇà
2. ÇØ´ç µ¥ÀÌÅͺ£À̽º »ç¿ëÀÚ ¼±ÅÃ
3. ¿ìÃø¿¡ guest °èÁ¤ÀÌ ÀÖ´ÂÁö Á¡°Ë
¡Ü ´ëÀÀ ¹æ¹ý
À§ÀÇ ¹æ¹ý´ë·Î Á¡°Ë½Ã guest °èÁ¤ÀÌ ¹ß°ßµÇ¸é guest °èÁ¤À» »èÁ¦ÇÏ¸é µÈ´Ù.
1. SQL ServerÀÇ Enterprise Manager ½ÇÇà
2. ÇØ´ç µ¥ÀÌÅͺ£À̽º »ç¿ëÀÚ ¼±ÅÃ
3. ¿ìÃø¿¡ guest °èÁ¤ ¿ìÃø¹öư Ŭ¸¯ »èÁ¦ Ŭ¸¯
´Ù. public µ¥ÀÌÅͺ£À̽º ¿ªÇÒÀÌ ºÎ¿©µÇ¾î Àִ°¡?
¸ðµç µ¥ÀÌÅͺ£À̽º »ç¿ëÀÚµéÀÇ Ç¥ÁØ ¿ªÇҷμ »ç¿ëÀÚ´Â public ¿ªÇÒÀÇ ±ÇÇѰú Ư±ÇÀ» °è½Â ¹Þ°í, ÀÌ ¿ªÇÒÀº ±×µéÀÇ ÃÖ¼ÒÇÑÀÇ ±ÇÇѰú Ư±ÇÀ» ³ªÅ¸³½´Ù. µû¶ó¼ public µ¥ÀÌÅͺ£À̽º ¿ªÇÒ¿¡ ±ÇÇÑÀÌ ¼³Á¤µÇ¾î ÀÖÀ¸¸é, Àΰ¡¸¦ ¹ÞÁö ¾ÊÀº »ç¿ëÀÚµµ ¸ðµç ÀÛ¾÷À» ÇÒ ¼ö ÀÖ´Â Ãë¾àÁ¡ ¹ß»ýÇÑ´Ù.
¡Ü Á¡°Ë »çÇ×
1. SQL ServerÀÇ Enterprise Manager ½ÇÇà
2. ÇØ´ç µ¥ÀÌÅͺ£À̽º µî·ÏÁ¤º¸ »ç¿ë±ÇÇÑ
3. Public¿¡ ¾î¶² ±ÇÇÑÀÌ Ã¼Å©µÇ¾î ÀÖ´ÂÁö È®ÀÎ
¡Ü ´ëÀÀ ¹æ¹ý
Public DB ¿ªÇÒ¿¡ ºÎ¿©µÈ ±ÇÇÑÀ» Revoke ½Ã۸é ÇØ°áµÈ´Ù.
1. SQL ServerÀÇ Enterprise Manager ½ÇÇà
2. ÇØ´ç µ¥ÀÌÅͺ£À̽º µî·ÏÁ¤º¸ »ç¿ë±ÇÇÑ
3. Public¿¡ ÇÒ´çµÈ ±ÇÇÑÀ» Revoke ½ÃÅ´
¶ó. SYSADMINÀ¸·Î ±×·ìÀÇ »ç¿ëÀÚ¸¦ ÀÎÁõµÈ »ç¿ëÀÚ¸¸À¸·Î Á¦ÇÑÇϰí Àִ°¡?
sysadmin(system administrators)ÀÇ ¿ªÇÒÀº SQL¼¹ö¿Í ¼³Ä¡µÈ µ¥ÀÌÅͺ£À̽º¿¡ ´ëÇØ¼ ¿ÏÀüÇÑ °ü¸® ±ÇÇÑÀ» ÇÊ¿ä·Î ÇÏ´Â »ç¿ëÀÚ¸¦ À§ÇØ ¸¸µé¾î Áø ¿ªÇҷμ ÀÌ ¿ªÇÒÀÇ ±¸¼º¿øÀº SQL¼¹ö¿¡¼ ¸ðµç ÀÛ¾÷À» ¼öÇàÇÒ ¼ö ÀÖ¾î, ÀÌ ¿ªÇÒ¿¡ ÀÎÁõµÇÁö ¾ÊÀº »ç¿ëÀÚ À־ ¾È µÈ´Ù.
¡Ü Á¡°Ë »çÇ×
1. SQL ServerÀÇ Enterprise Manager ½ÇÇà
2. º¸¾È ¼¹ö¿ªÇÒ ¿ìÃø ȸ鿡¼ system administrators¸¦ ´õºí Ŭ¸¯
3.¡° ÀϹݡ±ÅÇ¿¡Àִ±¸¼º¿øÀ»È®ÀÎ
¸¶. ¹æÈº®¿¡¼ SQL Server Æ÷Æ®¸¦ Â÷´ÜÇߴ°¡?
SQL Server Æ÷Æ®´Â Default °¡ TCP/1433, TCP/1434 ÀÌ´Ù. Áï SQL Server¸¦ ¿î¿µÇϰí ÀÖ´Â »ç½ÇÀ» ¾Ë°í ÀÖ´Â ÇØÄ¿¶ó¸é, ¹æÈº®¿¡¼ 1433, 1434 Æ÷Æ®°¡ OPEN µÇ¾îÀÖ´Ù´Â °ÍÀ» ¾Ë°í ÀÖ´Â °ÍÀ̳ª ¸¶Âù°¡Áö¶õ ¶æÀÌ´Ù. ½ÇÁ¦·Î ÀÎÅͳݿ¡ ³ëÃâµÈ MS-SQL ¼¹ö¸¦ ¸ð´ÏÅ͸µ ÇØº¸¸é 1433, 1434 Æ÷Æ®¸¦ TargetÀ¸·Î ¼ö¸¹Àº Scan °ø°Ý°ú ¿úÀ¸·Î ÀÎÇÑ À¯ÇØ Æ®·¡ÇÈÀÌ ²÷ÀÓ¾øÀÌ °ø°ÝÀ» ½ÃµµÇÏ´Â °ÍÀ» ¹ß°ßÇÒ ¼ö ÀÖ´Ù. µû¶ó¼ SQL Server¸¦ ¼³Ä¡ÇÒ ¶§ Åë½Å Default Port¸¦ ÀÓÀÇÀÇ ´Ù¸¥ Æ÷Æ®·Î ¼³Á¤ÇÏ¿© ¿î¿µÇÑ´Ù¸é, º¸¾È¼öÁØÀÌ Çâ»óµÉ °ÍÀÌ´Ù.
¹Ù. °¡Àå ÃÖ½ÅÀÇ ¼ºñ½º ÆÑÀ» ¼³Ä¡ÇÑ´Ù.
¼¹ö º¸¾È °³¼±À» À§ÇÑ °¡Àå È¿°úÀûÀÎ Á¶Ä¡´Â SQL Server ¼ºñ½º ÆÑÀ» ÃÖ½ÅÀÇ ÆÐÄ¡·Î ¾÷±×·¹À̵åÇÏ´Â °ÍÀÌ´Ù. SQL ServerÀÇ ¼ºñ½º ÆÑÀº ´ÙÀ½ »çÀÌÆ®¿¡¼ ´Ù¿î·Îµå ÇÒ ¼ö ÀÖ´Ù.
- MS-SQL 2000
http://www.microsoft.com/korea/sql/downloads/2000/sp4.asp
- MS-SQL 2005
http://www.microsoft.com/downloads/details.aspx?familyid=cb6c71ea-d649-47ff-9176-e7cac58fd4bc&displaylang=en
¶ÇÇÑ °ø°³µÇ´Â ¸ðµç º¸¾È ÆÐÄ¡¸¦ ¼³Ä¡ÇØ¾ß ÇÑ´Ù. »õ º¸¾È ÆÐÄ¡¸¦ ÀüÀÚ ¸ÞÀÏ·Î ÅëÁö ¹ÞÀ¸·Á¸é MicrosoftÀÇ Á¦Ç° º¸¾È ÅëÁö ÆäÀÌÁö¿¡¼ ½ÅûÇÏ¸é µÈ´Ù.
»ç. ¸¶Áö¸·À¸·Î Microsoft Baseline Security Analyzer(MBSA)·Î ¼¹ö¸¦ Á¡°ËÇØ º»´Ù.
MBSA´Â SQL Server ¹× Microsoft SQL Server 2000, 2005 Desktop Engine(MSDE 2000, 2005)À» ºñ·ÔÇÑ ¿©·¯ Microsoft Á¦Ç°¿¡¼ ÀÚÁÖ º¼ ¼ö ÀÖ´Â º¸¾È»ó Ãë¾àÇÑ ±¸¼ºÀ» °Ë»çÇØ ÁÖ´Â µµ±¸ÀÌ´Ù. ÀÌ ÇÁ·Î±×·¥ÀÇ ½ÇÁ¦ ±â´ÉÀº ÇöÀç »ç¿ë ÁßÀÎ À©µµ¿ì°¡ ÇØ¾ß ÇÒ º¸¾ÈÆÐÄ¡¸¦ ÃÖ½ÅÀ¸·Î À¯ÁöÇϰí ÀÖ´ÂÁö, »ç¿ëÀÚ°¡ º¸¾È»ó ¾àÁ¡ÀÌ µÉ ¸¸ÇÑ ¼³Á¤À» »ç¿ë ÁßÀÎÁö¸¦ ½ºÄµÇÑ °á°ú¸¦ º¸¿©ÁÖ´Â °ÍÀÌ´Ù. ±×·¡µµ ÀÌ Á¤µµ Åø·Îµµ ±âº»ÀûÀÎ Ãë¾àÁ¡Àº Á¡°ËÀÌ °¡´ÉÇÏ´Ù. ÀÌ µµ±¸´Â ·ÎÄà ¶Ç´Â ³×Æ®¿öÅ©¿¡¼ ½ÇÇàÇÒ ¼ö ÀÖÀ¸¸ç, SQL Server ½Ã½ºÅÛ¿¡ ´ÙÀ½°ú °°Àº ¹®Á¦
°¡ ¾ø´ÂÁö Å×½ºÆ®ÇÑ´Ù.
1. Áö³ªÄ¡°Ô ¸¹Àº sysadmin ±¸¼º¿øÀÌ ¼¹ö ¿ªÇÒÀ» ¼öÁ¤ÇÑ °æ¿ì
2. sysadmin ÀÌ¿Ü ¿ªÇÒ¿¡ CmdExec ÀÛ¾÷ ÀÛ¼º ±ÇÇÑÀÌ ºÎ¿©µÈ °æ¿ì
3. ÆÐ½º¿öµå°¡ ºñ¾î Àְųª Áö³ªÄ¡°Ô Æò¹üÇÑ °æ¿ì
4. ÀÎÁõ ¸ðµå°¡ Çã¼úÇÑ °æ¿ì
5. °ü¸®ÀÚ ±×·ì¿¡ ³Ê¹« ¸¹Àº ±ÇÇÑÀÌ ºÎ¿©µÈ °æ¿ì
6. SQL Server µ¥ÀÌÅÍ µð·ºÅ͸®ÀÇ ¾×¼¼½º Á¦¾î ¸ñ·Ï(ACLs)ÀÌ Á¤È®ÇÏÁö ¾ÊÀº °æ¿ì
7. ¼³Á¤ ÆÄÀÏ¿¡ ÀÏ¹Ý ÅØ½ºÆ® ÆÐ½º¿öµå sa°¡ ÀÖ´Â °æ¿ì
8. guest °èÁ¤¿¡ ³Ê¹« ¸¹Àº ±ÇÇÑÀÌ ºÎ¿©µÈ °æ¿ì
9. µµ¸ÞÀÎ ÄÁÆ®·Ñ·¯ ¿ªÇÒµµ ÇÏ´Â ½Ã½ºÅÛ¿¡ SQL Server°¡ ½ÇÇàµÇ´Â °æ¿ì
10. Everyone ±×·ìÀÇ ±¸¼ºÀÌ À߸øµÇ¾î ƯÁ¤ ·¹Áö½ºÆ®¸® Ű¿¡ ´ëÇÑ ¾×¼¼½º°¡ Çã¿ëµÇ´Â °æ¿ì
11. SQL Server ¼ºñ½º °èÁ¤ ±¸¼ºÀÌ À߸øµÈ °æ¿ì
12. ¼ºñ½º ÆÑ ¹× º¸¾È ¾÷µ¥ÀÌÆ®°¡ ¾ø´Â °æ¿ì
Microsoft´Â MBSA 2.0 ¹öÀüÀ» ¹«·á ´Ù¿î·Îµå·Î Á¦°øÇϰí ÀÖÀ¸¸ç, ´ÙÀ½ »çÀÌÆ®¿¡¼ ´Ù¿î·Îµå ÇÒ ¼ö ÀÖ´Ù.
http://www.microsoft.com/technet/security/tools/mbsa2/default.mspx
ÀÚ. ¸¶Áö¸·À¸·Î SQL Server ¿¬°á¿¡ ´ëÇÑ °¨»ç¸¦ ¼öÇàÇÑ´Ù.
SQL Server´Â ½Ã½ºÅÛ °ü¸®ÀÚÀÇ °ËÅ並 À§ÇØ À̺¥Æ® Á¤º¸¸¦ ±â·ÏÇÒ ¼ö ÀÖ´Ù. ÃÖ¼ÒÇÑ SQL Server¿¡ ´ëÇÑ ¿¬°á ½ÇÆÐ¸¦ ±â·ÏÇÏ¿© À̸¦ Á¤±âÀûÀ¸·Î °ËÅäÇØ¾ß ÇÑ´Ù. °¡´ÉÇϸé ÀÌ ·Î±×´Â µ¥ÀÌÅÍ ÆÄÀÏÀÌ ÀúÀåµÇ´Â µå¶óÀ̺ê¿Í ´Ù¸¥ ÇÏµå µå¶óÀ̺꿡 ÀúÀåÇÑ´Ù.
¡Ü ´ëÀÀ ¹æ¹ý
SQL ServerÀÇEnterprise Manager·Î ¿¬°á ½ÇÆÐ¸¦ °¨»çÇÏ·Á¸é
1. ¼¹ö ±×·ìÀ» È®ÀåÇÑ´Ù.
2. ¼¹ö¸¦ ¿À¸¥ÂÊ ´ÜÃ߷ΠŬ¸¯ÇÏ°í ¼Ó¼ºÀ» Ŭ¸¯ÇÑ´Ù.
3. º¸¾È ÅÇÀÇ °¨»ç ¼öÁØ¿¡¼ ½ÇÆÐ¸¦ Ŭ¸¯ÇÑ´Ù.
ÀÌ ¼³Á¤ÀÌ Àû¿ëµÇ·Á¸é ¼¹ö¸¦ Á¾·áÇß´Ù°¡ ´Ù½Ã ½ÃÀÛÇØ¾ß ÇÑ´Ù.
Ãâó :