네트워크 프로토콜 분석기 이며
네트워크에 전달되는 패킷을 캡쳐 및 저장하여 세부적인 분석이 가능하도록 지원
명령어 라인 툴
- tshark 터미널 기반 Wireshark
- tcpdump 패킷 캡쳐
- dumpcap 패킷 캡쳐
- capinfos 패킷 캡쳐 파일 정보
- rawshark 낮은 레벨 패킷 캡쳐
- editcap 캡쳐 파일 편집
- mergercap 파일 합치기
- text2pcap ASCII Hexdumps to pcap 파일 형태
- idl2wrs Corba IDL 파일에서 디코더 생성
(KaliLinux)
wireshark 설치
+RPM 기반 # yum install wireshark
+DEB 기반 # apt-get install wireshark
+소스 기반 #configure/make/make install
wireshark 실행
프로그램 > Kali Linux > Sniffing/Spoofing > Network Sniffers > wireshark
# wireshark &
wireshark 사용법
[그림]초기 화면
캡쳐(Capture)
Interface List
Start
Capture Oprions
파일(Files)
Open
Sample Captures
온라인(Online)
Website
User's Guide
Security
캡쳐 도움말(Capture Help)
How to Capture
Network Media
Capture Options
와이어샤크 메인 창
◆메뉴
-
파일 : 캡쳐 데이터를 열거나 저장
-
편집 : 패킷을 찾거나 표시, 프로그램 전역적인 속성 설정
-
보기 : wireshark 플랫폼의 모양 설정
-
이동 : 캡쳐된 데이터의 특정 위치로 이동
-
캡쳐 : 캡쳐 필터 옵션을 설정하고 캡쳐를 시작
-
분석 : 분석 옵션을 설정
-
통계 : wireshark의 통계 데이터 보기
-
도움말 : 오프라인 or 온라인 도움말
◆ 디스플레이 필터
-
캡쳐된 로그 정보에서 데이터를 찾는 경우 사용
-
필터 옵션을 모를 때 Expression 버튼 선택
EX) ip.addr == 192.168.XX.XX
host 192.168.XX.XX and port 53
◆ 패킷 목록 패널
- 현재 수집된 패킷을 출력
- 패킷 번호를 포함한 컬럼이 있는데, 패킷이 수집된 시간, 발신지와 목적지, 프로토콜
패킷에서 발견된 기본적인 정보 출력한다.
◆ 패킷 상세 정보 패널
- 패킷에 대한 정보를 계층적으로 출력
- 각 패킷에 대한 정보를 보여주기 위해 축약되거나 확장될 수도 있다.
◆ 정밀 분석 패널
- 가공되지 않은 형태인 가장 원시적인(Raw) 형태의 패킷을 표시
- 패킷이 회선을 따라 지나다니는 것처럼 보인다. 원시적인 실제 정보를 다루기 쉽고
보기 좋게 나타내지는 않는다.
◆ 기타
- 네트워크 카드
- 캡쳐 동작이 진행 되는 정지 상태 여부
- 캡쳐 된 정보의 하드디스크 저장 위치
- 캡쳐 사이즈
- 캡쳐 된 패킷수(P)
- 화면에 표시된 패킷수
- 표시된 패킷 수(M)
패킷 덤프(Packet Dump) & 패킷 보기 설정
캡쳐 필터 - 필요한 데이터만 필터링하여 패킷 덤프
디스플레이 필터 - 필요한 데이터만 필터링 하여 패킷 보기
캡쳐 필터
tcpdump 또는 windump에서 사용하는 구문과 동일
디스플레이 필터와 다르게 반드시 캡쳐 전에 설정해야 한다.
패킷을 캡쳐하기 전에 필터링하여 원하는 패킷만 잡을 때 사용할 수 있고, 만약 패킷을 저장한다면
필터링된 패킷만 저장이 된다.
설정 과정
프로토콜(Protocol) : ether, arp, rarp, ip, tcp, udp 등
(기본값) 프로토콜의 지정이 없으면 모든 프로토콜
방향(Direction) : src, dst, src and dst, src or dst 등
(기본값) 방향의 지정이 없으면 src or dst 모두
호스트(Hosts) : net, port, host, portrange 등
(기본값) 호스트의 지정이 없으면 모든 호스트
[실습1] 패킷 분석을 통해 어떤 프로토콜 패킷인지 확인해 보자.(작업 시간: 5분)
분석 파일 : lawcode.txt
어떤 종류의 패킷인가?
어떤 프로토콜 패킷인가?
[실습2] 공격 패킷에 대해서 분석하여 보자.(작업 시간 10분)
분석파일 : attack1.pcap
----------------------------------------------
출발지 IP :
출발지 Port :
목적지 IP :
목적지 Port :
----------------------------------------------
출발지 IP는 계속 변화하는가 항상 일정한가?
출발지 Port는 계속 변화하는가 항상 일정한가?
목적지 IP는 계속 변화하는가 항상 일정한가?
목적지 Port는 계속 변화하는가 항상 일정한가?
공격 패킷의 특성은?
결론적으로 어떤 공격이라고 판단할 수 있는가?
이런 패킷을 방어 하는 방법은?
[실습3] 공격 패킷에 대해서 분석하여 보자.(작업시간 10분)
분석파일 : attacker2.pcap
----------------------------------------------
출발지 IP :
출발지 Port :
목적지 IP :
목적지 Port :
----------------------------------------------
출발지 IP는 계속 변화하는가 항상 일정한가?
출발지 Port는 계속 변화하는가 항상 일정한가?
목적지 IP는 계속 변화하는가 항상 일정한가?
목적지 Port는 계속 변화하는가 항상 일정한가?
공격 패킷의 특성은?
결론적으로 어떤 공격이라고 판단할 수 있는가?
이런 패킷을 방어 하는 방법은?
'Learning > └◆Network Hacking' 카테고리의 다른 글
| TCP/IP 이해 (0) | 2016.12.19 |
|---|---|
| 네트워크 기초 복습 (0) | 2016.12.19 |
| SNMP Sniffing 공격 onesixtyone(brutus-attack) (0) | 2016.12.07 |
| 네트워크 보안 - 해킹 과정 (0) | 2016.12.06 |
