Network Security - Wired Sniffing 실습 경희대학교 조응준 ejcho@networking.khu.ac.kr
Outline Network Packet Capturing Wired LAN Environment Source-to-Destination간 packet 전달 과정 Packet Capturing Packet Capture의 원리 Data Link Layer의 동작 Wired LAN Environment Dummy HUB Switch Sniffing Tool 소개 Sniffing Tool 실습
End-to-End delivery(1/2)
End-to-End delivery (2/2) Source Destination Applications TCP IP LAN Technologies: Ethernet, FDDI, etc Applications TCP IP LAN Technologies: Ethernet, FDDI, etc Applications TCP IP LAN Technologies: Ethernet, FDDI, etc
Packet Capture Source Destination Applications TCP IP LAN Technologies: Ethernet, FDDI, etc Applications TCP IP LAN Technologies: Ethernet, FDDI, etc Applications TCP IP LAN Technologies: Ethernet, FDDI, etc
Data Link Layer Procedure Promiscuous mode와 Non-promiscuous mode Upper Layer MAC address 일치 Data Link Layer MAC address 불일치 Physical Layer Data Link Layer에서의 동작
Wired LAN Environment (1/2) Internet Gateway Router Dummy HUB PC A PC D PC B PC C
Wired LAN Environment (2/2) Internet Gateway Router Switch PC A PC D PC B PC C
Sniffer Tools Introduction
Tools Introduction(1/2) WinPCAP(Windows Packet CAPture library) Win32 platform용 packet capture tool Network analyzing library 오픈 소스 libPCAP(UNIX library)의 windows 버전 http://www.winpcap.org
Tools Introduction(2/2) Wireshark(Ethereal) 가장 대표적인 Network Analyzer 오픈 소스 강력한 필터 기능이 특징 WinPCAP library와 driver 이용 http://www.ethereal.com SuperScan 간단한 포트 스캐너 SYN attack으로 포트 검색 http://www.snapfiles.com/get/superscan.html
Ethereal Install
SuperScan Overview -Main View 자신의 interface Scan할 port설정 Scan 대상 Scan 시작/중지 결과 창
SuperScan 둘러보기 - Scan Port Configuration
SuperScan 사용법 (1/2) Scan할 범위를 지정한다 ‘Start’버튼으로 scan을 시작한다
SuperScan 사용법 (2/2) Scan된 port를 보여준다
Ethereal 둘러보기 - Main View(1/2) <실행화면>
Ethereal 둘러보기 - Main View(2/2) Capture된 Packet의 list Packet의 분석 내용 Packet의 실제 데이터
Ethereal 둘러보기 - Menu(1/2) File Capture 파일들을 open/merge, Capture 파일들의 전체나 일부를 save/print/export, Ethereal 종료하는 아이템들을 포함한다 Edit Find packet하고 Time Reference, 한 개나 그 이상의 packet에 대한 Mark Reference, 당신의 선택을 Set preference하는 아이템들을 포함한다 View Packets의 capture된 데이터의 표시를 제어한다. 이것은 색깔과 폰트 크기 조절, 개별 윈도우에서 packet을 보여주는 것, packet 상세정보상에서 트리들이 늘어나고 줄어드는 것을 포함한다
Ethereal 둘러보기 - Menu(2/2) Go 이 메뉴는 특정 packet으로 이동하는 아이템들을 포함한다. Capture 당신이 capture를 시작/종료하는 것과 capture filter를 수정하는 것을 허락한다 Analyze 표시 필터들을 다루고, 프로토콜들의 정밀한 분석을 가능하게 하거나 불가능하게 하고, 사용자 정의 디코드를 설정하고, TCP 흐름을 따르는 아이템을 포함한다 Statistics 이 메뉴는 다양한 통계 윈도우들을 표시하기 위한 메뉴 아이템들을 포함한다. 이것은 captured packets에 대한 요약, 프로토콜 계층 통계를 표시 등을 포함한다
Ethereal 둘러보기 - Tool bar : Capture관련 icons : 환경 설정 : Capture가능한 interface list를 보여준다 : Capture option : Capture 시작/중지/재시도 Packet filter
Ethereal 둘러보기 -Preferences
Packet Capture(1/3) Tool bar에서 Capture list icon( )을 클릭한다 NIC을 고르고 Prepare로 capture에 관한 설정 후 Capture로 Packet Capture를 시도한다
Packet Capture(2/3) <Capture 동작 화면> <Capture Options 설정화면> Interface 관련 설정 Capture시 적용 filter Capture를 저장할 파일 Capture 종료 컨디션 <Capture 동작 화면> <Capture Options 설정화면>
Packet Capture(3/3) <Capture된 화면>
Filter(1/2) 적용할 filter condition을 직접 쓰거나 Expression에서 골라 Apply한다
Filter(2/2) <Filter 적용 예시 –Source IP Address가 163.180.16.53인 Packet>
Analyze(1/3)
Analyze(2/3)
Analyze(3/3)
Statistics(1/5)
Statistics(2/5)
Statistics(3/5)
Statistics(4/5)
Statistics(5/5)
실습 옆자리에 앉은 사람이 '보안접속'을 통하지 않은 로그인을 추적하여 ID/Password를 찾아내보자 옆자리에 앉은 사람과 서로 port scan을 행하여 이에대한 이상 traffic을 탐지해보자 5분여 정도 subnetwork의 packet을 capture해보고 protocol 별로 traffic 양을 통계내보자