컴퓨터보안전문가, [File Server Processor 숨겨진(2)]Windows2003 GG2[File Server Processor 숨겨진(2)]Windows2003



연결을 하게 되면 사용자 확인을 하게 되죠.


물론 도메인 환경에 도메인 사용자이면서 권한이 있다면 이러한 절차가 내부적으로 이루어지게 되겠죠. 그러나 그것 또한 인증 절차에 의해 접속이 된 것 입니다.

 


 





모든 인증이 끝나면 아래와 같이 연결이 되겠죠





연결을 확인해 볼까요 서버에서 연결을 확인하는 방법 2가지만 알려 드리죠


 


하나의 방법은 명령어를 통한 연결 확인 방법입니다. 이 방법을 이용하여 예약작업을 하시면 파일서버에 어떠한 사용자가 어떠한 컴퓨터로 우리 서버에 접근하는지를 Log로 남겨 둘수 있게 됩니다.


 


C:\>net session


 


컴퓨터        사용자 이름            클라이언트 유형       열린 수    유휴 시간


—————————————————————-


\\LEEWJ   ADMINISTRATOR     Windows 2002 Serv     0         <?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />00:02:20


명령을 잘 실행했습니다.


 


또 다른 방법은 컴퓨터관리 도구를 이용하는 방법이죠


 


 





GUI 도구가 보기는 편할 수 있으나 예약작업은 명령어가 편리 하겠죠


 


  


6. 네트워크 모니터로 파일 서버에 연결한 패킷 분석


 


네트워크에 연결하기 위한 서비스와 파일서버에 접근하였습니다. 과연 이것이 다는 아니겠죠 바로 실제 네트워크 상에 데이터가 어떻게 주고 받았는지를 살펴보는 시간이 필요할 것입니다.


 


단순하게 서버에 접근하기만 한 상태입니다.


여기서 파일을 주고 받는 행위를 하게 되면 보다 많은 패킷들이 발생하겠죠.


 


1) 파일서버 찾기


UNC Path를 통해 서버에 요청하게 되면 NetBIOS를 이용하여 서버를 찾게 됩니다.



패킷을 살펴보면 UDP 137번 포트를 사용하여 NBT(NetBIOS Over TCP/IP) 쿼리를 하고 있는 것을 알 수 있습니다.


 


이때 사용한 방법은 브로드캐스트를 이용하고 있죠. 이러한 브로드캐스트를 줄이기 위해  WINS 서비스를 사용하게 되면 브로드캐스트 트래픽을 줄일수 있게 됩니다.



역시 IP NetBIOS 이름만 안다고 통신은 되지 않습니다. 바로 MAC 주소를 알아야겠죠.


물론 ARP Cache에 의해 서로간의 MAC Address를 알고 있다면 위의 과정은 생략됩니다.






파일을 주고 받는 경우는 신뢰성이 중요한 문제겠죠. 그래서 TCP 139번 포트를 이용하여 NBT 연결을 확인하고 있군요.


 


패킷의 중간을 보시면 seq(sequence number) ack(acknowledge)통해 상대방을 확인 하려고 하는 것을 알 수 있습니다. 우리가


연결을 하게 되면 사용자 확인을 하게 되죠.


물론 도메인 환경에 도메인 사용자이면서 권한이 있다면 이러한 절차가 내부적으로 이루어지게 되겠죠. 그러나 그것 또한 인증 절차에 의해 접속이 된 것 입니다.

 





모든 인증이 끝나면 아래와 같이 연결이 되겠죠





연결을 확인해 볼까요 서버에서 연결을 확인하는 방법 2가지만 알려 드리죠


 


하나의 방법은 명령어를 통한 연결 확인 방법입니다. 이 방법을 이용하여 예약작업을 하시면 파일서버에 어떠한 사용자가 어떠한 컴퓨터로 우리 서버에 접근하는지를 Log로 남겨 둘수 있게 됩니다.


 


C:\>net session


 


컴퓨터        사용자 이름            클라이언트 유형       열린 수    유휴 시간


—————————————————————-


\\LEEWJ   ADMINISTRATOR     Windows 2002 Serv     0         00:02:20


명령을 잘 실행했습니다.


 


또 다른 방법은 컴퓨터관리 도구를 이용하는 방법이죠


 


 





GUI 도구가 보기는 편할 수 있으나 예약작업은 명령어가 편리 하겠죠


 


  


6. 네트워크 모니터로 파일 서버에 연결한 패킷 분석


 


네트워크에 연결하기 위한 서비스와 파일서버에 접근하였습니다. 과연 이것이 다는 아니겠죠 바로 실제 네트워크 상에 데이터가 어떻게 주고 받았는지를 살펴보는 시간이 필요할 것입니다.


 


단순하게 서버에 접근하기만 한 상태입니다.


여기서 파일을 주고 받는 행위를 하게 되면 보다 많은 패킷들이 발생하겠죠.


 


1) 파일서버 찾기


UNC Path를 통해 서버에 요청하게 되면 NetBIOS를 이용하여 서버를 찾게 됩니다.



패킷을 살펴보면 UDP 137번 포트를 사용하여 NBT(NetBIOS Over TCP/IP) 쿼리를 하고 있는 것을 알 수 있습니다.


 


이때 사용한 방법은 브로드캐스트를 이용하고 있죠. 이러한 브로드캐스트를 줄이기 위해  WINS 서비스를 사용하게 되면 브로드캐스트 트래픽을 줄일수 있게 됩니다.



역시 IP NetBIOS 이름만 안다고 통신은 되지 않습니다. 바로 MAC 주소를 알아야겠죠.


물론 ARP Cache에 의해 서로간의 MAC Address를 알고 있다면 위의 과정은 생략됩니다.






파일을 주고 받는 경우는 신뢰성이 중요한 문제겠죠. 그래서 TCP 139번 포트를 이용하여 NBT 연결을 확인하고 있군요.


 


패킷의 중간을 보시면 seq(sequence number) ack(acknowledge)통해 상대방을 확인 하려고 하는 것을 알 수 있습니다.

파일공유 세션확인 및 패킷분석

댓글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다