스노트에서 지원하는 pcre 옵션을 활용하면 정규표현식으로 시그니처를 표현할 수 있습니다. 정규표현식에 대한 이해는 필수 겠지만 pcre의 변경자(modifier) 옵션에 대한 이해까지 수반된다면 좀 더 손쉽게 다양한 표현식 작성이 가능해집니다. 

이번 포스트에서는 pcre의 modifier 옵션에 대해 다루고자 합니다. 

스노트에서 제공하는 pcre 문법입니다. 빨간색으로 칠한 부분에 대해 알아봅시다. 

• Perl과 호환되는 옵션들 

•  i (PCRE_CASELESS) 

정규표현식에 설정한 패턴의 대문자와 소문자를 구별하지 않습니다. 가장 흔하게 쓰는 옵션이라고 할 수 있습니다. 

• s (PCRE_DOTALL) 

기본적으로 점(.)은 어떤 한 문자를 표현할 때 사용하는 메타문자입니다. 하지만 줄바꿈은 점(.)에 의해 매치가 되지 않습니다. 

s 옵션을 사용하면 점(.)으로 줄바꿈 까지도 매치가 가능합니다. 

• m (PCRE_MULTILINE) 

기본적으로 주어진 문자열을 한 줄로 취급합니다. 여러개의 줄바꿈이 존재하더라도 문자열의 처음과 끝 외에는 캐럿(^)과 달러($)에 의한 매치가 되지 않습니다. 

m옵션을 사용하면 줄바꿈(newline)의 바로 앞은 달러($)로 바로 다음은 캐럿(^)으로 매치할 수 있습니다. 

참고로, 캐럿(^)은 문자열의 처음, 달러($)는 문자열의 끝을 찾는 메타문자입니다. 

• x (PCRE_EXTENDED) 

패턴(시그니처)에 있는 이스케이프 처리되지 않은 모든 공백 문자를 무시합니다. 거의 사용하지 않는 옵션입니다. 

• PCRE와 호환되는 옵션들 (일부 옵션 명이 다를 수 있음)

• A  (PCRE_ANCHORED)

문자열의 시작에 매치도록 합니다. 캐럿(^)과 동일한 기능을 합니다. 

• E  (PCRE_DOLLAR_ENDONLY)

기본적으로 달러($)는 마지막 문자가 줄바꿈(뉴라인)일 경우에는 바로 직전의 문자에도 매칭합니다. (마지막이 아닌 줄바꿈은 제외) 

하지만, 이 옵션을 사용하면 달러($)는 오직 주어진 문자열의 마지막에만 매치됩니다.

이 변경자는 변경자 m과 함께 사용되면 무시됩니다. 

• R 

마지막에 패턴 매치된 부분부터 검사를 수행합니다. 

즉, content 옵션과 함께 사용하는 distance:0 과 동일한 문자열 버퍼에 대해 패턴 매치를 시도합니다.  

• U 

URI 버퍼 값에 대해서 패턴 매치를 시도합니다. 

즉, http_uri 혹은 uricontent와 동일한 문자열 버퍼에 대해서 패턴 매치를 시도합니다. 

• I

정규화 작업을 하지 않은 URI 버퍼에 대해 패턴 매치를 시도합니다. 

즉, http_raw_uri 와 동일한 문자열 버퍼에 대해 패턴 매치를 시도합니다. 

• P

정규화 되지 않은 HTTP request body 버퍼 값에 대해 패턴 매치를 시도합니다. 

즉, http_client_body와 동일한 문자열 버퍼에 대해서 패턴 매치를 시도합니다. 

• H

정규화된 HTTP request나 response 헤더 버퍼 값에 대해서 패턴 매치를 시도합니다. 

즉, http_header와 동일한 문자열 버퍼에 대해서 패턴 매치를 시도합니다. 

• D

정규화 되지 않은 HTTP request 나 response 헤더 버퍼값에 대해서  패턴 매치를 시도합니다. 

즉, http_raw_header와 동일한 문자열 버퍼에 대해서 패턴 매치를 시도합니다. 

• M

정규화된 HTTP request method 버퍼값에 대해서 패턴 매치를 시도합니다. 

즉, http_method와 동일한 문자열 버퍼에 대해서 패턴 매치를 시도합니다. 

• C

정규화된 HTTP request와 response cookie 버퍼값에 대해서 패턴 매치를 시도합니다. 

즉, http_cookie 와 동일한 문자열 버퍼에 대해서 패턴 매치를 시도합니다. 

• K

정규화되지 않은 HTTP request와 response cookie 버퍼값에 대해서 패턴 매치를 시도합니다. 

즉, http_cookie 와 동일한 문자열 버퍼에 대해서 패턴 매치를 시도합니다. 

• S

HTTP response status code 버퍼값에 대해서 패턴 매치를 시도합니다. 

즉, http_stat_code 와 동일한 문자열 버퍼에 대해서 패턴 매치를 시도합니다. 

• Y

HTTP response status 메시지 버퍼값에 대해서 패턴 매치를 시도합니다. 

즉, http_stat_msg 와 동일한 문자열 버퍼에 대해서 패턴 매치를 시도합니다. 

• B

HTTTP 관련 버퍼를 사용하지 않고 원본 패킷에 대해서 패턴 매치를 시도합니다. 

즉, rawbytes와 유사합니다.  

• O

설정 파일(snort.conf)에서 지정한 pcre match limit 값을 무시하는 목적으로 사용합니다.  match limit은 pcre에 의해 너무 오랜 시간 수행 되는것을 방지하는 목적으로 검사 횟수를 제한 하는 값입니다.  

이 옵션을 사용하면, 해당 시그니처에 한해서 match recusion 횟수에 제한없이 탐지를 수행합니다. 

위 내용을 정리해보면 다음과 같습니다. 

▶ 정규표현식 관련 글 보기

[프로그래밍] 정규표현식 (Regular Expression) - 초급

크롬(Chrome) 브라우저를 사용하고 있다면 웹 페이지에서 모르는 영어 단어가 나오면 손 쉽게 사전에서 찾아주는 어플이 있습니다. 현재는 서비스 중단된 야후 미니 영어 사전에서 제공하던 펜 기능과 유사하다고 생각하시면 됩니다. 단점이라면 크롬에서만 된다는 것이겠죠. 

사실 요즘은 은행업무나 결재 할때를 제외하면 인터넷익스플로러가 아니더라도 사용하는데 전혀 불편함이 없죠. 오히려 크롬이 속도도 더 빠르고 여러가지 편의성 측면에서 봐도 더 좋은것 같더라구요. 만약 다른 브라우저를 사용하고 계시다면 한번 설치해서 사용해 보세요. 그 매력에 금방 빠져들게 될 겁니다. 

자 그럼 크롬 부라우저에서 구글 사전 어플을 사용하는 법을 알아봅시다. 

1. 웹 스토어 들어가기

크롬 부라우저 우측 하단의 '웹 스토어'를 클릭합니다. 

혹은, 애플리케이션 페이지에서 '크롬 웹 스토어'를 클릭하셔도 됩니다. 

2. 사전 어플 검색

좌측 상단 검색창에 'google dictionary'를 검색합니다. 

검색된 어플을 'CHROME에 추가' 버튼을 클릭해서 설치 합니다. 

3. 실행 

다운 및 설치가 완료되면 우측 상단에 빨간색 사전 모양의 아이콘이 생깁니다. 

사전 아이콘을 클릭해서 실행시켜줍니다. 

4. 단어 검색

모르는 영어 단어를 마우스로 더블 클릭을 하면 조그만하게 창이 뜨면서 단어에 대한 설명이 나옵니다. 

단어 옆에 있는 스피커 아이콘을 클릭하면 발음도 들을 수 있습니다. 

그런데, 설명이 영어로 나올 수 있답니다. 한글로 바꿔야 좀 더 편하겠죠?

5. 설정

구글 사전 아이콘에서 마우스 우 클릭을 해줍니다. 

그럼 메뉴가 나오게 되고 '옵션'을 선택 하시면 됩니다. 

6. 언어 변경

설정 탭이 뜨게 되고, 언어를 한국어로 변경하시면 됩니다. 

7. 다시 단어 검색

다시 영어 단어를 더블 클릭 해보니 단어 뜻이 한글로 잘 나오는 군요. 

영어 기사나 문서를 볼 때 설치해두면 참 편리하답니다. 

스노트(Snort)는 보편적으로 사용되고 있는 IPS 오픈소스 입니다. (만약 생소하시다면 이전 포스팅 들을 참고하세요.)

오픈 소스이기에 소스를 공개하고 있음에도 워낙 분량이 방대하여 소스를 봐도 동작 방식을 이해하기란 쉽지 않습니다. 심지어 주요 함수에는 주석으로 친절한 설명까지 잘 남겨져 있음에도 완벽히 이해하기란 쉽지 않은것이 현실입니다. 물론, 소스를 열어서 확인 하는 사람은 극 소수겠죠. 

이번 포스팅에서는 스노트의 패턴 매칭 순서 및 동작 방식에 대한 이야기를 풀어 보고자 합니다. 

사실... 상당히 난해한 주제입니다.  

설명에 앞서 기본적인 용어를 하나 정의하고 가겠습니다. 

시그니처를 하나 예제로 살펴 봅시다. 

첫 번째 줄을 스노트에서는 RTN(Rule Tree Node)이라고 합니다. IP주소와 포트, 프로토콜 정보를 여기에다 저장합니다. 나머지 3 줄을 OTN(Option Tree Node)이라고 합니다. 실제 시그니처의 내용으로 공격 정보를 담고 있게 됩니다. 

자.. 그럼 본론으로 들어가서.. 

일반적으로 스노트는 시그니처의 RTN을 먼저 검사 한 후 OTN을 검사하는 순서로 진행한다고 생각하기 쉽습니다. 

자.. 아래 문제를 한번 풀어볼까요?

여기까지 하면서 뭔가 빠진게 있는것 같다라는 생각이 들지 않나요? 

바로, 출발지/목적지 포트가 모두 'any'인 경우가 남았네요. 

출발지/목적지가 모두 'any'라면 Generic이라는 포트 그룹을 별도로 하나 더 두고 여기에 포함시킵니다. 말 그대로 특정 포트가 아닌 일반적이고 포괄적인 녀석들을 묶어 두는 겁니다. 

그림 3. Snort Generic Port table structure

당연히 포트 값 별로 MPSE를 관리할 필요는 없지만 대신 any-any 시그니처가 많아지면 MPSE의 크기가 많이 커지게 될 수 밖에 없습니다. 그렇기 때문에 가능하면 시그니처에 포트 정보를 넣어주는게 좋습니다. 

참고로, 시그니처에 패턴(content, uricontent)이 없다면 nc룰(no-content) 이라고 부르며 패턴이 없기 때문에 당연히 MPSE를 만드는 것도 불가능해집니다. 이런 시그니처들은 한 데 모아서 순차적으로 검사하도록 합니다. 

지금까지의 내용을 정리해보면 스노트는 시그니처를 아래와 같은 구조로 관리하게 됩니다. 

그림 3. Snort Rule Table structure

결과적으로 프로토콜이 일치하는 경우 포트 중 하나(출발지/목적지)가 일치 되면 패턴 매칭을 시도하게 되는 구조입니다. 

※ OTN과 RTN이 트리(tree)구조로 매달려 있는 것은 나중에 따로 포스팅 하겠습니다. 

OTN은 MPSE로 부터의 연결 점이 되는 root OTN이 하나 존재하고,

 패턴과 같이 시그니처의 옵션 정보를 가지고 있는 child OTN이 여러개 나올 수 있으며, 

시그니처 옵션의 마지막 정보이자 sid 와 RTN정보를 모두 포함하고 있는 leaf OTN 노드가 존재하게 됩니다. 

이제 어떤 구조로 시그니처를 관리하며 어떤 순서로 공격 패킷을 탐지 하는지 대충 감이 오시나요? 

RPM (Red Hat Package Manager)은 리눅스에 사용되는 가장 일반적인 소프트웨어 패키지 방법입니다. 

Debian에서 사용하는 deb방식도 있지만 일반적으로 rpm으로 패키징 되어 배포되고 있습니다. 

rpm을 만드는 내용은 .spec 파일에 정의해 주면 됩니다. 

spec파일은 vim 에디터로 name.spec 과 같이 임의의 파일을 생성하면 자동으로 기본 탬플릿을 채워줍니다. 

rpmbuild 명령어로 spec파일을 인자로 주어 실행하게 되면 패키징을 수행합니다. 

spec파일에는 수행해야할 명령들이 정의해줘야 합니다. (위에 접혀 있는 'spec 파일 탬플릿 열기'를 펼쳐 보세요.)

spec 파일의 각 파트별 역할에 대해 알아봅시다. 

- Preamble(서문)

● Source

RPM을 만들기 위해 사용할 압축 파일(.tar.gz) 지정 해 줄 수 있습니다. 

Source 뒤에 숫자를 붙여 여러 소스파일을 지정 해 줄 수 있습니다. 숫자는 '0' 부터 시작해야 합니다. 

● Requires

이 rpm이 built(설치)되기 이전에 설치 되어 있어야 할 rpm을 지정해줄 수 있습니다. 

기본적으로 이름만 써도 되지만, 버전을 체크 하도록 할 수 있습니다. 

비교 연산자는 ( <, >, =, >=,  <=) 를 지원합니다. 

만약 64bit 머신에 32bit rpm을 설치해야 할 일이 있는경우 해당 정보를 지정해 주어야 합니다. 

아래 처럼 괄호안에 지정해 주면 됩니다. 

● BuildRequires 

이 rpm을 build 하기 위해 필요한 rpm을 지정해 줄 수 있습니다.  

빌드에 필요한 rpm이므로 주로 devel 패키지가 될 겁니다. 

- Scriptlets 

실제로 수행할 명령을 지정해주는 섹션으로 bash shell 명령어를 지원합니다. 

● %prep 

Source0에서 지정한 파일을 빌드를 하기 위해 필요한 일들을 지정해 줍니다. 압축을 푸는 작업이 주된 작업이 됩니다.  

-q 옵션을 사용하면 압축을 푸는 과정을 보여주지 않습니다. 진행 과정을 감춘다고 생각하면 됩니다. 

-n 옵션으로는 이름을 지정해 줄 수 있습니다. 

● %build

'%prep' 다음에 수행되며, 압축을 푼 소스를 가지고 빌드를 수행합니다. 

주로 './configure'를 실행하여 'Makefile'을 생성하고, 'make'를 수행하여 빌드를 수행합니다. 

● %install

'%build' 다음에 수행되며, 빌드 수행결과 생성된 파일들을 설치 폴더로 복사하는 역할을 수행합니다. 

주로, 'make install'을 수행해서 실행 파일들을 '~/rpmbuild/BUILDROOT' 폴더 아래로 넣는 작업을 수행합니다. 

물론, Makefile에 make install시 수행할 동작에 대해 미리 정의해 주어야 합니다. 

일반적으로 빌드를 통해 생성된 실행 파일을 특정 경로에 넣어주는 작업을 설정해주게 됩니다. 

아래는 'mybin' 이란 파일을 지정한 경로에 설치 하기 위한 Makefile 예제입니다. 

물론, Makefile에는 값에 대한 정의가 되어 있어야 겠죠. 

만약 path를 Makefile에 넘겨줘야 할 상황이 발생하게 되면 아래와 같은 방식으로 지정해 줄 수 있습니다. 

● %check 

'%install' 다음에 수행되며, 설치 이후에 테스트 케이스 검증같은 작업을 위해 사용합니다. TDD기반의 프로젝트라면 이 위치에 테스트를 수행하도록 설정해주면 됩니다. 

● %clean

빌드 마지막에 수행합니다. 빌드 과정에서 생긴 파일들을 지우도록 설정 할 수 있으며, 주로 설치 폴더를 삭제하도록 설정해줍니다. 

spec파일 기본 탬플릿에 있는 내용을 그대로 사용하시면 됩니다. 

● %files 

rpm 파일에 묶여야(패키징) 하는 파일의 이름을 지정해주게 됩니다. 물론, 폴더 이름을 지정 해주는 것도 가능한데, 하위 폴더를 포함 한 모든 파일을 모두 묶는 의미로 사용됩니다. 

여기서 지정한 파일만 rpm 파일에 묶이게 된다고 생각하면 됩니다. 

파일 리스트를 파일로 입력 받는것도 가능합니다. 

패키징 될 파일의 경로(path)정보는 Makefile에서 사용한 값을 사용하게 됩니다. 

다시 말해서.. Makefile에서 install 한 경로 정보와 동일한 값으로 spec 파일에 지정해 주어야 하는 것입니다. 

물론, automake와 같은 툴을 사용한다면 크게 신경쓰지 않아도 되는 부분이기는 하나, Makefile을 직접 만들었다면 절대 경로가 아닌 상대 경로에 설치 하도록 해주어야만 rpmbuild 수행 시 ~/rpmbuild/BUILDROOT/ 아래 설치 하는게 성공 할 수 있습니다. 

파일 리스트 앞에는 Prefix가 붙을 수 있으며, 각각의 의미는 다음과 같습니다. 

◆  [기본] - 아무런 Prefix가 없음 

데이터 파일이라고 생각해서 항상 엎어쓰고 rpm 삭제시에는 제거해줍니다. 혹시 기존에 설치 되었던 파일을 수정했었다 하더라도 신경쓰지 않습니다. 

◆  %config

기존에 설치 된 파일이 수정되었다면 기존 파일을 '.rpmsave' 확장자를 붙여서 백업해놓고 새로운 파일을 설치합니다. 설치 이후에 파일이 수정되었다면 변경된 설정 값을 지우지 않고 백업해 준다는 의미입니다. 

◆  %config(noreplace)

기존에 설치 된 파일이 수정되었다면 기존 파일을 유지하고, 새로 설치될 파일을'.rpmsave' 확장자를 붙여서 설치합니다. 설치 이후에 파일이 수정되었다면 수정된 설정 값을 유지 시키기 위해 사용합니다. 

◆  %attr 

설치된 rpm 권한과 소유권을 지정해 줄 수 있습니다. 

◆  %defattr 

기본 권한 값을 설정 해 줄 수 있습니다. 

◆  %dir

패키지에 포함시킬 폴더를 지정해줘서 생성하도록 합니다. 주로 특정 위치에 빈 폴더를 생성 시키기 위해 사용합니다. 

● %package

서브-패키지를 생성하기 위해 사용합니다. 이름은 당연히 'Name' 필드에 지정해준 이름을 사용하며 여기서 지정해준 이름을 이어서 패키지 이름을 지어주게 됩니다. 

Name은 'foo' 이고 '%package bar' 라고 지정하게 된다면 'foo-bar.rpm' 이란 이름의 rpm 파일이 생성될겁니다. (물론 뒤에 버전 정보 같은것도 들어가겠죠.) 

release 번호는 메인-패키지와 별도로 지정이 가능합니다. 

%if - %else - %endif

빌드 환경을 체크해서 환경에 따라 다르게 동작하게 할 수 있습니다. 

%if 의 종류는... 

아키텍쳐(architecture)를 검사하는 %ifarch 와 %ifnarch가 있습니다.  (i386, alpha, sparc, etc.. )

운영체제(operating system)을 검사하는 %ifos 와 %ifnos가 있습니다.  (linux, etc... )

%else와 %endif는 %if와 짝으로 사용하면 됩니다. 이름만으로 어떻게 동작하시는지 아실겁니다. 

● %post

 rpm 설치 이후에 뭔가 추가 작업을 해줘야 할때 사용합니다. 

예를 들면.. 설정 파일에서 값을 변경하거나.. chkconfig 와 같은 작업 지정이 가능합니다. 

※ 참고로 rpmbuild시 path 정보는 rpmmacros 파일에 정의해주면 됩니다. 

물론, BUILD, RPMS, SOURCES, SPECS, SRPMS 폴더는 미리 만들어 줘야 합니다. 

참고 링크 : 

http://www.rpm.org/max-rpm-snapshot/ch-rpm-specref.html

그림 1. SURICATA 로고 

Suricata(수리카타)는 Open source기반의 IDS(Intrusion detection system)입니다. 사실 Open source 기반의 IDS/IPS라고 하면 Snort(스노트)가 대표적입니다. 거의 독보적이라고 할 정도로 오랜 시간 입지를 굳혀오고 있었지요. 오픈 소스의 특성상 많은 사람들이 사용하고 피드백을 주게 되면 그 만큼 오류 수정 및 기능 추가에 용의하게 됩니다. Snort는 오랜 시간 전 세계 많은 사용자의 도움으로 다양한 공격을 좀 더 정확하게 탐지하는 방법에 중점을 두고 발전을 해왔다고 봅니다. 

문제는, 그 사이 인터넷 세상은 집집마다 광 케이블을 통한 초고속 인터넷이 설치 되는가 하면 스마트폰 보급이 빠른 속도로 진행되면서 급속도로 팽창하게 됩니다. 그 결과 트래픽 양이 급격히 증가하면서 대용량 트래픽의 실시간 처리에 대한 이슈가 부각되게 됩니다. Snort는 구조상 단일 스레드(Single-thread)만 지원 하다 보니 처리 대용량 트래픽을 실시간으로 처리하기에 버거운 환경이 된 겁니다. 

Suricata는 Snort의 단점은 개선하면서 장점은 그대로 수용하여 이상적인 IDS/IPS를 개발하는 것이 기본적인 목표인것 같습니다. 아래는 Suricata의 주요 장점이라고 할 수 있는 내용입니다. 

그림 2. suricata work flow

Suricata는 OISF(Open Information Security Foundation)에서 개발 한 것으로, 2009년 12월에 베타 버전이 나온 이후로.. 2012년 10월에는 Fedora 17버전에 포함되면서 엄청나게 빠른 속도로 기반을 잡아가고 있습니다. 

이제는 Fedora에서 '# yum install suricata'라는 명령 하나만으로 Suricata를 설치/사용 할 수 있는 환경이 된 것이죠. 

이처럼 급격한 성장은 OISF라는 단체에 대해 알고 나면 금방 이해가 될 겁니다.  

OISF는 미국의 해군 우주해양전쟁시스템센터(SPAWAR-Navy's Space and Naval Warfare Systems Command)와 국토안보부의 과학기술국 (Department of Homeland Security's Directorate for Science and Technology)의 오픈 보안기술(HOST-Homeland Open Security Technology) 프로그램의 일환으로 창립 되었습니다. 

그림 3. OISF 로고

이 재단의 목표는, 미국 정부 기관의 전반적인 보안 및 인터넷 보안을 위해 사용할 새로운 보안 시스템을 개발 하는 것입니다. 오픈 프로젝트여서 결과물에 대해서 사용자나 기관에서 사용 할 수 있도록 공개도 해줍니다. 

우리나라는 강 바닥 파는데 투자할 때 미국은 보안 소프트웨어에 대대적인 투자를 시작한것이죠. 이게 시각의 차이인가 싶네요. 

어쨌든, 미국의 국토안보부에서 재정 지원을 하는 만큼 재정적으로 부족함이 없을것 같네요. 

아래는 OISF의 파트너사 입니다. 

그림 4. OISF Partners

미국 처럼 큰 나라의 정부가 주관하는 프로젝트여서 그런지 많이 들어본 친숙한 회사들이 여럿 있습니다. 

어찌 보면 이제 시작인지도 모릅니다. 시간이 지나면서 점점 참여 업체가 많아지고.. 실제로 사용할 만한 수준이 되고 나면 급속도로 snort가 차지하고 있던 시장을 대체해 버릴지도 모르겠네요. 따지고 보면 snort는 한 업체의 제품이고 suricata는 미국의 범 정부 차원의 프로젝트 결과물이니 당연한 것인지도 모르겠네요. 

어쨌든, 한국 IPS시장도 현재는 Snort 일색인데.. 머지않은 미래에 큰 변화가 생길지도 모르겠네요. 

아래는 관련 사이트 링크 

일반 키보드에 컨트롤 키는 너무 아래쪽에 위치하고 있어서.. 컨트롤 키를 자주 눌러야 하는 사람들은 소중한 새끼 손가락을 혹사 시킬 수 밖에 없는 구조랍니다. 

이럴 때 자주 사용하는 키와 자주 사용하지 않는 키의 위치를 바꿔줌으로써 새끼 손가락의 부담을 조금이나마 덜어 줄 수 있답니다. 

방법: 

1. '레지스트리 편집기'를 실행합니다. 

실행 창에 'regedit' 이라고 입력하면 편집기가 실행 됩니다.  

2. 아래 위치로 이동합니다. 

HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Control > Keyboard Layout

※ 바로 아래 있는 'Keyboard Layouts'와 헷갈리지 않도록 조심해야 합니다. 

3. 새로운 값을 생성합니다. 

마우스 우 클릭 후 '새로 만들기 > 이진값' 을 선택합니다. 

새로 생성된 파일의 이름은 'Scancode Map' 으로 변경해줍니다. 

4. 코드 값을 변경해줍니다. 

'Scancode Map'에서 마우스 우 클릭 후 '수정'을 선택하면 '이진 값 편집' 팝업창이 뜨게 되고 값을 아래와 같이 수정합니다. 

그렇다면, 저 키 값은 어떻게 알아야 할까요?

아래 키보드 위치 코드 값으로 알 수 있습니다. 

자신의 키보드에서 위치를 바꾸고자 하는 키에 해당 하는 숫자를 찾습니다. 

이 표에서 해당 키보드 값에 해당하는 XT값을 찾으면 됩니다. 

키 번호가 62가 넘어가면 XT값에 'EO'가 붙어 있는 값이 보입니다. 이럴 경우 앞에 붙은 값(E0)을  뒤에 써주면 됩니다. 

5. 컴퓨터를 리붓하고 나면 '캡스 락(Caps lock)'키가 '오른쪽 컨트롤(ctrl)'키와 위치가 바뀌어 동작하게 됩니다. 

Brute-Force라 하면 무작위로 여러 가지 경우의 수를 계산해서 시도해보는 것을 의미하는데요. 

사람은 유사한 작업을 반복하는것을 매우 힘들어하고 싫어하는 반면 컴퓨터는 반복 작업도 곧잘 해냅니다. 

이런 컴퓨터에게 수 많은 경우의 수를 감안해서 다양한 무작위 시도를 하게 함으로써 원하는 정보를 획득 하는게 가능합니다. 

일반적으로 'SSH Brute-Force 공격'이 유명하죠. 

성공할 경우 타겟 장비의 root권한을 획득 할 수 있으므로 주의가 필요한 공격 중 하나라고 할 수 있습니다. 

이에 대한 방어를 준비했다면 제대로 방어가 되는지 확인이 필요하겠죠?

이 작업을 도와줄 좋은 도구가 있답니다. 

리눅스용 과 윈도우용 두 가지 간단한 툴을 소개하고자 합니다. 

• 파이썬(Python)으로 작성된 리눅스용 Brute-Force 검증 툴

이름은 'Patator'인데요.. 사전상에 정확한 의미는 없지만.. 유추해 보기로는 'patate'를 사람명사로 표현해서 '바보처럼 같은 행위를 반복해주는 녀석' 정도가 아닐까 생각됩니다. 

믿음직 스러운건 구글 코드에 등록되어 있다는 겁니다. (아직 베타 버전인가 봅니다. 버전이 0.3 이네요.)

구글 코드 페이지 에서 기본 사용법인 지원 가능한 리스트를 확인 할 수 있습니다. 

자세한 설명은 다운받은 파일을 문서 편집 툴로 열어서 확인해보시면 됩니다. 

아래 링크를 클릭해서 다운 받으시면 됩니다. 

Patator 다운로드 

Patator 사용법:

다운 받은 실행 파일을 Brute-Force를 시도할 장비로 옮겨둡니다. 

실행 권한을 미리 부여해 두면 사용이 더 편리합니다. 

이름도 간단하게 변경해 줍시다. 

1. 사용 가능한 명령 리스트 조회

이것도 역시 '-h'옵션을 주면 됩니다. 

여기서는 공격 종류를 모듈이라고 부르고 있습니다. 아무래도 공격이라고 하면 왠지 어감이 안좋아서 그런것 같기도 하네요.

모듈 종류별로 별도의 도움말 페이지 조회 방법도 나오네요. 

1. host로 설정해준 '10.0.0.1'에 대해 FTP 로그인을 시도합니다. 
2. FTP 로그인에 시도할 user ID와 password는 별도의 파일에 리스트 형식으로 입력해줍니다. 
3. logins.txt에는 user ID를 한 줄에 한 개씩 가능성 있는 ID들을 입력해 줍니다. 
4. passwords.txt에는 password를 ID처럼 가능성 있는 다양한 비밀번호를 입력해 줍니다. 
5. 로그인 실패 메시지는 무시하고, 성공하게 되면 다른 ID/PW로 시도하기 위해 현재 연결을 끊어줍니다. 
6. 문법 오류가 있을 때 발생하는 에러 코드 500 에 대해서도 무시하도록 합니다. 

• 윈도우용 GUI기반 Brute-Force 검증 툴