it store

현재 피해 시스템 네트워크 정보, 서비스를 열고 있는 응용프로그램 정보, 서비스에 연결되어 있는 세션 정보 등은 공격자의 흔적을 추적할 수 있는 중요한 역할을 합니다. 네트워크 연결 정보는 네트워크 연결이 끊어지고 나면 사라지기 때문에 가장 시급히 수집해야 하는 정보중 하나입니다. 외부 장비든 내부 애플리케이션이든 또 다른 네트워크 연결 기록을 얻었다면 그것은 반드시 라이브 리스폰스에서 수집한 연결정보와 비교해 봐야 하며 차이가 있다면 시스템에 루트킷이 설치되어 있을 가능성이 높다는 것을 의미합니다. 네트워크 인터페이스 정보 네트워크 인터페이스 정보로는 기본적으로 IP, MAC 주소, 게이트웨이, DNS 정보가 있으며, 이들 정보는 라우팅 테이블과 연계되어 네트워크 트래픽이 어떤 식으로 외부로 전송되는지..

라이브 리스폰스는 일단 컴퓨터의 플러그부터 뽑고 하드디스크의 이미지를 복사하던 과거 방식과는 달리 동작하고 있는 컴퓨터로부터 휘발성 정보들을 수집하고 분석하는 것을 목적으로 합니다. 휘발성 정보들에는 메모리, 프로세스, 네트워크 연결 정보, 시간과 날짜, 열려있는 파일 목록 등이 속합니다. 라이브 리스폰스는 '초기 대응 (First Response)' 또는 '사고 대응(Accident Response)'이라고 불리기도 합니다. 라이브 리스폰스란? 전통적인 컴퓨터 포렌식 방법론에는 컴퓨터를 조사하기 전에 우선 전원 플러그를 뽑고 하드 드라이브의 이미지를 복사하는 것이 가장 기본적이고 상식적인 절차였습니다. 최근에는 컴퓨팅 환경의 변화로 인해 저장 매체의 이미지 복사에 앞서 휘발성 정보(Volatile Da..

웹 클라이언트(Internet Explorer나 Chrome과 같은 웹 브라우저)는 POST 또는 GET 등의 방식을 통해 데이터를 웹 서버로 보내며(request), 웹 서버는 클라이언트의 요청을 처리하여 그 결과를 웹 클라이언트로 보내는 과정(response)을 거쳐 통신합니다. 웹 클라이언트에서 데이터를 보내면 그 데이터는 특별한 수정 없이 웹 서버로 보내집니다. 웹 서버에서 처리한 결과를 클라이언트에 보낼 때도 마찬가지입니다. Web client -> Web server (request) Web client 연결 -> LAN 설정 메뉴로 이동합니다. 프록시 서버 사용을 체크하고 주소와 포트 번호를 입력합니다. - 주소 : 127.0.0.1- 포트 : 8080 프록시 주소나 포트 번호는 파로스 옵션..

CPS (Connection Per Second)는 초당 TCP Connection을 생성할 수 있는 최대 개수이며, TPS (Transaction Per Second)는 초당 최대 처리 건수, 즉 초당 교환되는 데이터의 수치를 의미합니다. 보통 L4에서는 CPS라는 용어를 L7에서는 TPS라는 용어를 사용합니다. 일반적으로 클라이언트가 Load Balancer(L4)의 VIP로 접속하고, 이를 특정 서버로 분산한 후 다시 세션을 끊는 과정을 하나의 1 CPS로 봅니다. 어떤 장비에서 200,000 CPS를 지원한다고 한다면 초당 200,000 개의 커넥션을 동시에 처리한다고 보시면 됩니다. 커넥션이란 하나의 세션이 만들어지고 닫히는 순간까지를 이야기합니다. 보통 TCP 통신을 이야기할때 세션 TCP 3..