티스토리 뷰


TCP/IP 프로토콜 패킷 분석을 지원하는 프로그램은 여러가지가 있을 것입니다.

제가 주로 사용하는 패킷 캡쳐 프로그램인 이더리얼의 다운로드, 그리고 직접 캡쳐하여 분석하는 방법에 대해 알려드리도록 하겠습니다.

우선 이더리얼은 무료 OPEN 프로그램으로 무료로 다운로드 하셔서 사용하실 수 있습니다.

가장 유명한 패킷 캡쳐 프로그램인 스니퍼(Sniffer) 가 유료인 것을 감안하면 이더리얼은 손쉽게 무료로 사용할 수 있어 공개용 네트워크 진단 프로그램 중 많은 사랑을 받고 있습니다.

이더리얼 (Ethereal) 공식 홈페이지


이더리얼 (Ethereal) 최신 버전 다운로드



적절한 미러 사이트를 선택하시고 자신의 운영체제에 맞는 버전을 선택하여 다운로드하시면 되며, Source 파일을 받고 싶으시다면 옆의 SourceForge 버튼을 누르신 후 다운로드 하여 컴파일하셔서 사용하시면 되겠습니다.

설치 과정에서 Wpcap 프로그램을 설치해야 하는데요, 따로 다운로드 받으셔서 설치하셔도 되고, 요즘 릴리즈 되는 버전에는 Wpcap 프로그램이 포함되어 있으니 설치하는 과정에서 설치할 지의 여부를 물어보게 됩니다.

윈도우 버전에서 동작하는Wpcap 은 이더리얼, 스니퍼 등의 패킷 캡쳐를 위해 반드시 설치해야 하는 플랫폼으로 예전 nmap 프로그램 소개 시에도 반드시 설치가 되어야 한다고 언급한 바 있습니다.

타 운영체제 (리눅스 및 mac 등) 에서는 해당 OS에서 지원되는 버전을 다운로드 및 설치하시거나, 또는 컴파일을 통하여 반드시 사전 설치되어야 합니다.

아래는 이더리얼 설치 후 프로그램을 실행한 화면입니다.


보통은 스니퍼나 이더리얼 등의 패킷 캡쳐 프로그램은 네트워크 진단 툴로서, 라우터나 스위치 등에서 패킷의 흐름과 유형을 감시하여 패킷 분석을 통한 패턴 추적 및 트래픽 캡쳐로 장애에 대한 대응으로 사용되어 집니다.

라우터나 스위치에서 미러링 포트의 설정으로 패킷의 in/out 패킷을 수집하는 방법이 대부분의 경우입니다.

지금은 사무실이라 캡쳐하는 화면은 현재 PC의 랜카드로의 캡쳐화면만 보여드릴 것이며, 예전 포트 미러링 후 웜바이러스의 경우를 캡쳐하는 방법을 알려드리도록 하겠습니다.

현재 컴퓨터에서 미러링 등의 지정 없이 내 랜카드의 인터넷 통신 패킷을 캡쳐해 보도록 하겠습니다.


capture 메뉴 interfaces 항목에서 랜카드 interface 를 선택한 후 Start 버튼으로 캡쳐를 시작합니다.


패킷의 개수를 대상으로 표시되며, 각 프로토콜 별로 수집되는 패킷의 개수를 나타내어 줍니다. 본인의 컴퓨터에서 실행한 화면이며 캡쳐 대상이 별로 없어 네이버 홈페이지로 접근하는 상황을 연출하였습니다.

아래는 Stop 버튼을 눌러 캡쳐를 멈춘 후 현재까지 수집된 패킷을 분석 및 확인하는 화면입니다.

 


간단히 한 줄을 설명해 드리자면 아래 화면에서 보는 바와 같이 168.126.63.1 의 KT DNS ip와 나의 컴퓨터는 서로 DNS 통신을 하고 있습니다. 그 중 캡쳐된 174번/175번 실행 단계에서는 castbox.shopping.naver.com 에 대한 쿼리를 하는 단계입니다.

중간 부분에 있는 202.131.25.80 ip와의 tcp 통신을 하는 190번 단계를 클릭하여, 그 아래 부분에 나타나는 세부 정보를 확인할 수 있습니다.

1514 byte 로 전송이 되었으며 IP통신 중 source는 202.131.25.80 ip에서 destination은 나의 컴퓨터로 통신이 되며, source 포트는 http 인 tcp80, destination 포트는 3489 로 확인되었습니다.

이 ip (202.131.25.80) 를 웹으로 접속해 보면 아래 사진과 같이 네이버 화면에서 확인할 수 있는 쇼핑 위젯임을 알 수 있습니다.


이더리얼 아래 화면에서 좌측의 + 버튼을 누르게 되면 세부 항목이 나열되며, 이러한 기능을 사용하기 위해 패킷 캡쳐 프로그램을 사용하는 것입니다.

예전의 DDoS 때랑 웜바이러스 때 캡쳐한 자료는 아무리 찾아봐도 없네요...;;;

다음에 찾으면 꼭 올려드리도록 하겠습니다.

설명한 글을 쭉 읽어보니 조금 난해하네요;;; ㅠㅜ


궁금하신 내용은 대긋이나 공지사항의 e-mail 로 문의하시면 성심 성의껏 답변해 드리도록 하겠습니다.

-----

들러주셔서 감사합니다 (__)




댓글