Chapter 4. 캡처한 패킷 작업 1. 목차  4.1 캡처 파일 작업 ☞ 4.1.1 캡처 된 패킷 저장과 내보내기 ☞ 4.1.2 캡처 된 패킷 병합  4.2 패킷 작업 ☞ 4.2.1 패킷 검색 ☞ 4.2.2 패킷 표시 ☞ 4.2.3 패킷 출력  4.3 시간 표시.

Presentation on theme: "Chapter 4. 캡처한 패킷 작업 1. 목차  4.1 캡처 파일 작업 ☞ 4.1.1 캡처 된 패킷 저장과 내보내기 ☞ 4.1.2 캡처 된 패킷 병합  4.2 패킷 작업 ☞ 4.2.1 패킷 검색 ☞ 4.2.2 패킷 표시 ☞ 4.2.3 패킷 출력  4.3 시간 표시."— Presentation transcript:

1 Chapter 4. 캡처한 패킷 작업 1

2 목차  4.1 캡처 파일 작업 ☞ 4.1.1 캡처 된 패킷 저장과 내보내기 ☞ 4.1.2 캡처 된 패킷 병합  4.2 패킷 작업 ☞ 4.2.1 패킷 검색 ☞ 4.2.2 패킷 표시 ☞ 4.2.3 패킷 출력  4.3 시간 표시 형식과 참조 설정 ☞ 4.3.1 시간 표시 형식 ☞ 4.3.2 패킷 시간 참조 2

3 목차  4.4 캡처 옵션 설정 ☞ 4.4.1 캡처 설정 ☞ 4.4.2 캡처 파일 설정 ☞ 4.4.3 캡처 중지 설정 ☞ 4.4.4 표시 옵션 ☞ 4.4.5 이름 변환 설정  4.5 필터 사용 ☞ 4.5.1 캡처 필터 ☞ 4.5.2 디스플레이 필터 ☞ 4.5.3 필터 저장 3

4 4.1 캡처 파일 작업  패킷 분석을 수행할 경우 패킷을 분석한 후 캡처한 패킷을 나 중에 다시 사용할 필요가 있음  여러 번에 걸쳐 패킷을 캡처하고 저장한 후 한꺼번에 분석할 필요가 있음  캡처된 패킷을 파일로 저장하는 기능을 제공 4

5 4.1.1 캡처 된 패킷 저장과 내보내기  와이어샤크는 기본적으로.pcap 파일 형식을 사용 5

6 4.1.1 캡처 된 패킷 저장과 내보내기  내보내기 기능을 통해 캡처된 패킷을 다양한 형식으로 내보낼 수 있음 6

7 4.1.2 캡처된 패킷 병합  캡처된 여러 개의 패킷 파일을 합치는 기능 7

8 4.1.2 캡처된 패킷 병합  패킷 병합의 세가지 방식  열린 패킷의 앞에 이어서 붙이는 prepend 방식  열린 패킷의 뒤에 이어서 붙이는 append 방식  시간을 기반으로 날짜순으로 병합하는 방식 8

9 4.2 패킷 작업  많은 양의 패킷을 다루기 위해서 효율적으로 패킷을 탐색할 수 있는 방법이 필요  와이어샤크는 특정 기준과 일치하는 패킷을 찾아 표시할 수 있음  쉽게 참조할 수 있게 패킷을 출력할 수도 있음 9

10 4.2.1 패킷 검색  Ctrl + F 키를 누르거나 Edit 의 Find Packet 을 누름 10 옵션기능예 Display filter 특정 조건을 입력해 해당하는 조건에 일치하는 패킷이 있으면 찾아 줌 not ip ip address==192.168.0.1 arp Hex value 사용자가 명시한 16 진수 값을 가진 패킷을 찾아 줌 00:ff ff:ff 00:AB:B1:f0 String 사용자가 명시한 텍스트 문자열을 가진 패킷을 찾아줌 Workstation1 UserB domain

11 4.2.1 패킷 검색  대소문자 구분, 검색 방향 지정, 등 다른 옵션을 이용하여 문 자열 검색기능을 확장할 수 있음  Ctrl + N 을 누르면 해당하는 문자열이 포함된 다음 패킷을 찾음  Ctrl + B 를 누르면 해당하는 문자열이 포함된 이전 패킷을 찾음 11

12 4.2.2 패킷 표시  패킷을 찾은 후 해당 패킷에 표시를 할 수 있음  패킷을 구분해 저장하거나 색상표를 기반으로 패킷을 찾을 수 있게 패킷을 표시 할 수 있음  표시된 패킷은 검정색 배경에 흰색 글자로 표시 12

13 4.2.2 패킷 표시  해당 패킷을 선택 후 마우스 오른쪽 버튼의 Mark Packet (toggle) 선택  해당 패킷 선택 후 Ctrl + M  다시 선택 시 패킷 표시 해제  Shift + ctrl + N, B 를 통하여 표시된 패킷 간 이동 가능 13

14 4.2.3 패킷 출력  캡처된 데이터를 프린트로 출력해 볼 필요가 있음 14

15 4.2.3 패킷 출력  텍스트 파일, 포스트스크립트, 출력 파일 형태로 출력 가능  특정 패킷 범위나 표시된 패킷들이나 필터의 결과로 나타난 패킷만 출력할 수 있음 15

16 4.3 시간 표시 형식과 참조 설정  시간은 패킷 분석에 있어서 매우 중요한 요소  네트워크 상에서 발생하는 모든 것은 시간에 민감하고, 캡처 된 파일들에 대해서 네트워크에 대한 동향과 잠재적인 사안 들에 대해 설명 필요  시간에 대해 설정할 수 있는 다양한 옵션을 제공 16

17 4.3.1 시간 표시 형식  패킷이 캡처된 시간을 나타내는 타임스탬프를 가짐  마지막으로 캡처한 패킷과 관련된 시간, 캡처의 시작과 끝 시 간을 보여줌  다양한 형식의 옵션을 통해 시간을 표시 할 수 있음 17

18 4.3.2 패킷 시간 참조  특정 패킷에 패킷 시간 참조를 설정하면 다음 패킷 시간 표시는 특 정 패킷을 기준으로 정해짐  다른 곳에서 시작되는 연속적인 사건들을 조사할 때 편리 18

19 4.4 캡처 옵션 설정  더 많은 캡처 옵션을 제공 19

20 4.4.1 캡처 설정  구성 되어 있는 네트워크 인터페이스 선택이 가능  체크 박스를 통해서 캡처 모드 선택가능  Capture Filter 옵션으로 캡처 필터를 지정 가능 20

21 4.4.2 캡처 파일 설정  자동으로 파일에 캡처한 패킷을 저장할 수 있음  많은 양의 트래픽을 캡처하거나 오랜 시간동안 캡처를 수행 할 때에는 파일 집합을 이용 21

22 4.4.3 캡처 중지 설정  특정 트리거를 만나면 진행 중인 캡처 중지 설정  패킷의 수, 파일 크기, 시간 간격에 기반을 두고 트리거 가능  Multiple file 옵션과 함께 사용 가능 22

23 4.4.4 표시 옵션  캡처한 패킷을 어떻게 보여줄 것인지 설정  Update List of Packets in Real Time 과 Automatic Scrolling in Live Capture 은 함께 사용 가능  적당한 양의 데이터를 캡처 시 프로세서에 상당한 부담  Hide Capture Info Dialog 는 프로토콜 단위로 캡처 되는 패킷의 수와 비율을 보여주는 작은 창을 표시 하지 않음 23

24 4.4.5 이름 변환 설정  캡처를 위해 MAC (2 계층 ), 네트워크 (3 계층 ), 전송 (4 계층 ) 의 이름 변환을 사용할 수 있음  이름 변환의 단점을 포함한 자세한 내용은 5 장 ! 24

25 4.5 필터 사용  필터는 분석을 위해 사용되는 패킷을 정확하게 지정 가능  패킷을 포함시키거나 제외하기 위한 기준  두 가지 주요 유형의 필터를 제공  캡처 필터 : 패킷이 캡처될 때 지정, 포함 / 배제를 지정한 패킷만 캡처  표시 필터 : 원하지 않는 패킷을 숨기거나 표시하기 위해 캡처한 패킷의 기존 집합에 적용 25

26 4.5.1 캡처 필터  실제 패킷 캡처링 과정 중 성능을 위해 사용  대용량 데이터를 처리할 때 유용함  간단한 예로 여라 역할을 하는 서버에서 포트를 지정하여 해당 트래픽만 캡처 가능 26

27 4.5.1 캡처 필터 – Capture/BPF 구문  WinPcap 에 의해 적용되고 버클리 패킷 필터 구문 사용  여러 패킷 스니핑 애플리케이션에 일반적으로 사용  libpcap/WinPcap 라이브러리에 의존 27 한정자설명예제 Type 어떤 ID 이름이나 숫자를 언급하는지를 식별한다 host, net, port Dir ID 이름이나 숫자에 대한 전송 방향을 지정한다 src, dst Proto 특정한 프로토콜로 일치성을 제한한다 ether, ip,,tcp, udp, http, ftp

28 4.5.1 캡처 필터 – Capture/BPF 구문 28 dst host 192.168.0.10 && tcp port 80 프리미티브 연산자프리미티브 한정자 ID

29 4.5.1 캡처 필터 – 호스트 이름과 주소 지정 필터  만들어진 대부분의 필터는 특정 네트워크 장치나 그룹화된 장치에서 중심이 됨  MAC 주소, IPv4 주소, IPv6 주소나 해당 DNS 호스트 이름을 기반으로 할 수 있음  host 203.247.40.197 : IPv4 네트워크 주소 기반  host 2001:db8:85a3::8a2e:370:7334 : IPv6 네트워크 주소 기반  host testserver2 : 호스트 이름 기반  ether host 00-1a-a0-52-e2-a0 : MAC 주소 기반 29

30 4.5.1 캡처 필터 – 호스트 이름과 주소 지정 필터  특정 호스트에서 오는 트래픽만 캡처 하기 위해 src 사용  src host 203.247.40.197  의심스러운 호스트를 목적지로 한 서버로 떠나는 데이터만 캡처 하기 위해 dst 사용  dst host 203.247.40.197  type 한정자를 사용하지 않을 경우 host 한정자로 가정  dst 203.247.40.197  type 한정자의 종류 : host, net, port 30

31 4.5.1 캡처 필터 – 포트와 프로토콜 필터  호스트에서 각 패킷에 사용되는 포트를 기반으로 필터링 가능  서비스 포트를 사용해 서비스와 애플리케이션을 기반으로 필터링 하기 위해 사용  port 8080 : 8080 포트에 있는 트래픽만 캡처  !port 8080 : 8080 포트에 있는 것만 제외하고 캡처  웹 서버로 가는 트래픽만을 챕처하려면 dst 한정자 사용  dst port 80 : 80 포트에서 리스닝하는 웹 서버로 가는 트래픽만 캡처 31

32 4.5.1 캡처 필터 – 프로토콜 필터  특정 프로토콜을 기반으로 필터링 할 수 있음  정의되지 않은 비응용 계층 프로토콜을 일치 할 때 사용  icmp : ICMP 트래픽만을 보고 싶을 때 사용  !ip6 : IPv6 트래픽을 제외한 모든 트래픽을 사용 32

33 4.5.1 캡처 필터 – 프로토콜 필드 필터  고급 필터를 사용하면 특정한 위치에서 시작하는 패킷으로 부터 특정한 바이트들을 검색 가능  icmp[0] == 3 : 목적지 도달 불가능 메시지를 나타내는 ICMP 패킷만 캡처  icmp[0] ==8 || icmp[0] == 0 : 에코 요청이나 에코 회신을 나타내는 ICMP 패킷만 캡처  icmp[0:2] == 0x0301 : 식별되는 모든 ICMP 목적지 도달불가능, 호 스트 도달 불가능 패킷을 캡처  tcp[13] & 4 == 4 : RST 플래그를 설정을 가진 TCP 패킷만 캡처  tcp[13] & 8 == 8 : PSH 플래그를 설정을 가진 모든 패킷을 캡처 33

34 4.5.1 캡처 필터 – 간단한 캡처 필터 표현식  패킷 분석의 성공과 실패는 적절한 필터를 만드는 능력 34 필터설명 tcp[13] & 32 == 32 URG 플래그 설정을 가진 TCP 패킷 tcp[13] & 16 == 16 ACK 플래그 설정을 가진 TCP 패킷 tcp[13] & 8 == 8 PSH 플래그 설정을 가진 TCP 패킷 tcp[13] & 4 == 4 RST 플래그 설정을 가진 TCP 패킷 tcp[13] & 2 == 2 SYN 플래그 설정을 가진 TCP 패킷 tcp[13] & 1 == 1 FIN 플래그 설정을 가진 TCP 패킷 tcp[13] == 18 TCP SYN-ACK 패킷 ether host 00:00:00:00:00:00 (MAC 으로 대체 )MAC 주소로 가거나 오는 트래픽 !ether host 00:00:00:00:00:00 (MAC 으로 대체 )MAC 주소로 가지 않거나 오지 않는 트래픽 Broadcast 브로드캐스트 트래픽만 icmp ICMP 트래픽 Icmp[0:2] == 0x0301 ICMP 목적지 도달 불가능, 호스트 도달 불가능 Ip IPv4 트래픽만 Ip6 IPv6 트래픽만 udp UDP 트래픽만

35 4.5.2 디스플레이 필터  캡처 파일에 적용될 때 해당 필터에 일치하는 패킷만 표시  실제로 적용되지 않은 나머지 패킷을 삭제하지 않고 필터가 적용된 패킷만 보여줄 수 있기 때문에 자주 사용 35

36 4.5.2 디스플레이 필터 – 필터 표현식 대화상자  쉽고 유용하게 필터를 만들 수 있음 36

37 4.5.2 디스플레이 필터 – 필터 표현식 대화상자 37

38 4.5.2 디스플레이 필터 – 필터 표현식 문법구조  대부분 특정 프로토콜을 분석하기 위해 캡처 필터나 디스플레이 필터를 사용  예 1) frame.len <= 128 : 128 바이트보다 작은 패킷만 보임  예 2) ip.addr==192.168.0.1 : 192.168.0.1 에 해당하는 패킷만 보임 38 연산자설명 == 같다 != 같지 않다 > 보다 더 크다 < 보다 더 작다 >= 크거나 같다 <= 작거나 같다 비교 연산자 연산자설명 and 같다 or 같지 않다 xor 보다 더 크다 not 보다 더 작다 논리 연산자

39 4.5.2 디스플레이 필터 – 간단한 디스플레이 필터 표현식  새로운 필터를 만들 때 도움이 되는 구체적인 키워드와 연산자 예제가 필요  가장 자주 사용하는 디스플레이 필터의 일부분 39 표현식설명 !tcp.port==3389 RDP 트래픽을 지운다 tcp.flags.syn==1 SYN 플래그 설정을 가진 TCP 패킷 tcp.flags.rst==1 RST 플래그 설정을 가진 TCP 패킷

40 4.5.2 디스플레이 필터 – 간단한 디스플레이 필터 표현식  http://www.wireshark.org/docs/dfref/ 40

41 4.5.3 필터 저장 – 캡처 필터 41 5

42 4.5.3 필터 저장 – 디스플레이 필터 42

43 4.5.3 필터 저장 – 디스플레이 필터 43

44 44