본문 바로가기

security/포렌식

패킷 분석...그리고 네트워크 포렌식을 위한 클라우드


급변하는 IT 기술...그중에 현재를 장식하고 있는 IT 의 핫키워드...

바로 클라우드 서비스 입니다.

간단하게는 vmware 와 같은 서버 가상화 기술을 이용한 클라우드 서비스 부터 , 메일 , 웹하드 서비스...그리고 , 각종 서비스들이 클라우드라는 환경으로 옮겨지고 있습니다.

온라인 오피스를 무료로 제공하는 구글닥스 등을 보고 , 쓰다 보니 , 참으로 IT의 기술의 격세지감과 발전을 느끼기에 충분합니다.

그런데, 이러한 클라우드 서비스를 독특하게 접목시킨 서비스들이 있어서 소개해 볼까 합니다.

인터넷을 찾아보니 , 어떤 사이트나 블로그 등에도 소개된 적은 없어서 국내에 최초(?) 소개한다는 자부심 (?) 으로 한번 소개 해 봅니다.

바로 클라우드 서비스를 패킷 분석에 활용하는 서비스 들입니다.

패킷분석은 현업의 네트워크 장애 처리를 목적으로 엔지니어나 분석가들 사이에서 많이 사용하지만, 보안 전문가들 사이에서도 각종 네트워크 기반 침해사고 대응, 네트워크 포렌식 , 유해트래픽 분석을 위해서 많이 사용합니다.

그러나, 하드웨어기반의 전문화된 패킷 분석기가 없다면 대량의 패킷 분석은 어려움이 따르게 됩니다.

그리고 , 어떠한 샘플 패킷을 공유하기 위해서도 첨부 파일로 메일로 보내는 번거로움도 감수해야 합니다.

이럴때 사용할 수 있는 유용한 서비스...바로 cloudshark 입니다.

clound

cloudshark web page

wiareshark 기반의 pcap 파일을 읽어 들여서 브라우저에서 와이어샤크를 실행하여 분석하는 것과 같은 기능을 제공해 줍니다.

현재 해당 서비스는 pcap 파일의 5M , 2500개 패킷 제한을 가진 형태로 누구나 분석이 가능하도록 제공하고 있고, 별도의 어플라이언스를 판매하고 있습니다.

용량과 패킷개수 제한이 아쉽긴 하지만, 이러한 서비스가 활성화되면 일반 pc에서 분석하기 어려운 대용량 패킷을 보다 빠르게 분석할 수 있고, 공유할 수 있게 됩니다.

DDoS 공격이나 , 다양한 유해트래픽 분석도 보다 빠르게 분석하여 대응할 수 있고 , 네트워크 포렌식 관점에서 공격자에 대한 역추적, 증거수집 등이 용이할 수 있습니다.


cloudshark 이외에도 pcapr / xtractr 서비스가 있습니다.

pcapr
pcapr 서비스는 xtractr 기반의 소셜기반의 네트워크 분석 서비스를 제공합니다.
xtractr http://www.pcapr.net/xtractr 은 하이브리드 클라우드 서비스로 인덱싱,검색,공동작업,리포팅 등의 다양한 기능을 제공하는 서비스로 pcapr은 바로 xtractr을 기반으로 작성되어 누군가에게 특정 패킷을 가르쳐주고 , 공부할 수 있는 기능을 가지고 있습니다.

현재는 베타버전으로 500개 패킷 , 4048kb 용량 업로드만 지원하고 있습니다.
lite 버전의 경우는 10만개 패킷, 1Gb 용량을 지원하고 있습니다.

게다가 네트워크 포렌식 공동작업 환경을 지원하기 위해 http://pcapr.net/forensics 을 제공하고 있습니다.

지금은 걸음마 수준의 서비스 지만, 안정화 후에 조금더 완성도를 높여가고, 어느정도 인프라가 제공이 되면, 제법 괜찮을 서비스라고 생각합니다.

개개인pc 에서의 분석보다 고성능 시스템을 여러개를 클라우드나 클러스터로 묶은 상태에서 사용한다면 더욱 더 유용하리라 생각합니다.

by 김재벌 (김석)

'security > 포렌식' 카테고리의 다른 글

Process Hacker 2.19 릴리즈  (0) 2011.08.01
Malware Analyser 3.2 릴리즈 (2011.7.14)  (0) 2011.07.21
Incident Analyzer 1.0  (0) 2011.07.14
Malware Analyzer 3.1  (0) 2011.07.14
AcessData 의 Forensic 이미징 도구 : FTK Imager 3.0  (0) 2011.07.12