특정 프로그램 패킷 - teugjeong peulogeulaem paekis

위에 사진처럼 동일한 파일인데도 여러개로 분리된게 보이고, 이것을 추출(Save)하여 실행시키면 정상적으로 열리지 않는 것을 확인할 수 있습니다.

결론적으로 파일이 온전할 수 있게 패킷을 모두 재조립(Reassemble) 해줘야 합니다.

교육 받으면서 정석으로는 Hex Editor 등을 사용하고 파일 시그니처까지 분리해주는 단계로 파일 복구해주는 과정 등이 있었지만 정석은 정석이고... 와이어샤크에서 패킷 재조립 해주는 좋은 기능이 있으니 위에서처럼 세팅을 해줬습니다.

3. 파일 추출

[File > Export Objects > HTTP] 또는 필요한 프로토콜을 클릭합니다.

이렇게하면 위에서 설정하지 않았을 때와 다르게 같은 이름의 파일이 여러개가 아닌 1개씩만 재조립되어 나옵니다. 각 파일을 클릭하여 Save 또는 Save All을 눌러서 파일을 추출하면 정상적으로 파일이 추출됩니다. 

Save All로 모든 파일을 추출해서 폴더에 저장했습니다. 중간에 깨진 것 같은 파일도 여럿 보입니다만 깨진게 아니라 text/javasrcipt, text/html 등의 기타 파일들입니다. 주고받은 통신 행위를 완벽하게는 알 수 없어도 검색, 다운로드 같은 행위 등은 육안으로 쉽게 체크할 수 있습니다.

4. 프레임, 패킷 검색

수업 듣고나니 검색 방법이 많다는 것을 다시 알았는데요. 요리하는데 주걱, 국자, 뒤집개 등 각자 기능이 있듯이 검색옵션도 각자 쓰임새가 다 있습니다. 검색 조건을 어떻게 지정하여 수많은 패킷을 내가 필요한 수준까지 최소화 시키게 하는지가 와이어샤크의 핵심인데요. 하지만 복잡한 것은 책으로 따로 공부하고 기본은 이것만 알아도 될 것 같습니다.

1) Frame contains "검색어"

 - 검색어와 정확히 일치하는 것만 가볍게 검색

2) Frame matches "검색어"

 - 대소문자 구분없이 더 넓은 범위로 검색

 - 정규식을 통한 구체적인 검색 가능

그외에 http.request.method 어쩌고저쩌고 등... 검색옵션이 다양하지만 패스하구요, 어떤 문제에서 특정 힌트나 검색어 등을 받게될텐데 맨땅에 헤딩하는 것보다는 힌트를 이용하여 프레임을 검색해보면 일단 뭐라도 손에 잡힙니다.

5. 정리하면서...

여기 정리한 내용은 약 400페이지 되는 와이어샤크 도서(와이어샤크 개론 / 저자: 로라채플) 중에서 일부분인데요.

이번 교육 받으면서도 위 내용만 배우면 절반 이상은 하는 것 같습니다. 그리고 대부분 디지털포렌식, 해킹대회 등은 웹 기반의 발생사고에 대해 분석하는 경우가 많다보니 이 방법만 써도 꽤 많이 잡아냅니다.

CaptureFilters An overview of the capture filter syntax can be found in the User's Guide. A complete reference can be found in the expression section of the pcap-filter(7) manual page. Wireshark uses the same syntax for capture filters as tcpdump, WinDump,

유료 또는 상용 도구는 데이터 캡처, 심층 패킷 검사, 그래프 및 차트, 예외 사례에 대한 경고 등과 함께 직관적 인 분석과 같은 기능을 제공합니다. 이러한 도구는 대기업에 적합합니다.

패킷 스니핑 팁 :

• 모든 패킷 데이터를 수집하면 정보 과부하가 발생합니다. 숙련 된 사용자는 패킷 스니퍼를 사용할 때 필터링 된 모드를 사용하고 특정 정보를 캡처합니다.
• 데이터 전송 중에 암호화되지 않은 경우 패킷의 실제 데이터를 캡처 할 수 있습니다.
• 보안을 위해 네트워크 스니퍼를 구성하고 헤더 데이터 만 복사 할 수 있습니다. 네트워크 모니터링 및 분석에 충분합니다.
• 이 제한은 워크로드 및 스토리지 요구 사항을 줄이지 만 여전히 많은 양의 데이터가 공간을 채 웁니다. 이를 피하기 위해 패킷 샘플링을 사용할 수 있습니다.
• 패킷 샘플링은 설정된 주파수에서 패킷 데이터를 복사합니다. 예를 들면 10 번째 패킷마다. 정확한 그림을 제공하지 못할 수 있지만 장기간 모니터링에 충분한 결과를 제공합니다.

패킷 스니퍼는 어떻게 작동합니까?

모든 네트워크에는 네트워킹 용어로 노드라고하는 워크 스테이션 및 서버와 같은 다양한 구성 요소가 있습니다. 데이터는 이러한 노드간에 패킷 형태로 전송됩니다.

모든 패킷에는 실제 데이터와 제어 정보가 있습니다. 이 제어 정보는 패킷이 소스의 대상에 도달하는 데 도움이됩니다. 이 제어 정보에는 발신자와 수신자의 IP 주소, 패킷 시퀀싱 정보 등 다양한 세부 정보가 포함됩니다.

데이터 패킷이 네트워크를 통해 전송되면 네트워크의 여러 노드를 통과합니다. 이러한 패킷의 제어 정보는 각 네트워크 어댑터 및 연결된 장치에서 확인됩니다. 향하는 노드가 있는지 확인합니다.

정상적인 상황에서는 패킷이 다른 노드로 주소 지정되면 무시됩니다. 패킷 스니핑 프로그램은 일부 노드가 대상 주소에 관계없이 모든 또는 정의 된 패킷 샘플을 수집하도록합니다. 패킷 스니퍼는 이러한 패킷을 사용하여 네트워크를 분석합니다.

최고의 네트워크 스니핑 도구 목록

다음은 인기있는 네트워크 스니퍼 목록입니다.

1. SolarWinds 네트워크 패킷 스니퍼
2. Wireshark
3. Paessler PRTG
4. ManageEngine NetFlow 분석기
5. Tcpdump
6. WinDump
7. NetworkMiner
8. Colasoft 상자
9. Telerik Fiddler
10. 키즈 멧

상위 네트워크 스니퍼 비교

네트워크 스니퍼 검토 :

# 1) SolarWinds 네트워크 패킷 스니퍼

최적 중소 기업.

SolarWinds Network Packet Sniffer는 최종 사용자 경험에 영향을 미치는지 여부에 관계없이 애플리케이션 또는 네트워크의 정보를 제공합니다. SolarWinds 네트워크 성능 모니터 (NPM)와 함께 제공됩니다. SolarWinds NPM은 대시 보드를 통해 패킷 수준 데이터를 기반으로 한 실제 성능 통계에 대한 개요를 한 눈에 제공합니다.

이는 문제가있는 트래픽을 정확히 찾아내는 데 도움이됩니다. 심층 패킷 검사를 수행합니다.

SolarWinds Network Packet Sniffer에는 WiFi 패킷 캡처 도구가 있습니다. 정상 트래픽과 비정상 트래픽을 구분할 수 있으며, 애플리케이션에 따라 세부 데이터 및 거래량을 제공합니다. 이러한 통찰력은 문제를 파악하고 네트워크 보안 문제를 방지하는 데 도움이됩니다.

풍모:

• NPM은 소셜 미디어 앱을 포함하여 1200 개 이상의 애플리케이션에서 데이터를 수집 할 수 있습니다.
• 네트워크를 통해 이동하는 패킷은 세분화 된 수준에서 검사됩니다.
• 관리자는 속도 저하의 원인을 알아낼 것입니다. 응용 프로그램 또는 네트워크 전체 문제 때문입니까?
• 관리자가 네트워크 보안 위협을 파악하는 데 도움이됩니다.
• 관리자는 자신의 대역폭을보다 효과적으로 사용할 수 있습니다.

평결: 이 도구는 네트워크를 원활하게 실행하고 최종 사용자 경험이 영향을받지 않도록합니다. 네트워크를 최적화하기 위해 엔터프라이즈 급 네트워크 패킷 스니핑의 이점을 제공합니다.

가격: SolarWinds NPM에 대해 모든 기능을 갖춘 무료 평가판을 사용할 수 있습니다. 영구 라이선스 ($ 2995부터 시작) 및 구독 라이선스 ($ 1583부터 시작)로 제품을 제공합니다.

웹 사이트 : SolarWinds 네트워크 패킷 스니퍼

# 2) Wireshark

최적 중소 기업.

Wireshark는 네트워크 프로토콜 분석기입니다. 이 도구의 도움을 받아 네트워크에서 일어나는 일을 미시적 인 수준으로 볼 수 있습니다. 널리 사용되는 도구이며 많은 상업 및 비영리 기업, 정부 기관 및 교육 기관에서 사실상 표준으로 사용됩니다. Windows, Mac, Linux, Solaris, FreeBSD, NetBSD 등과 같은 다양한 플랫폼을 지원합니다.

풍모:

• Wireshark는 수백 개의 프로토콜에 대한 심층 검사를 수행 할 수 있습니다. 새로운 프로토콜을 계속 추가하고 있습니다.
• 라이브 캡처 또는 오프라인 분석을 수행 할 수 있습니다.
• gzip으로 압축 된 파일은 Wireshark에서 캡처하고 즉석에서 압축을 풀 수 있습니다.
• 출력을 XML, PostScript, CSV 또는 일반 텍스트로 내보낼 수 있습니다.

평결: Wireshark는 업계에서 강력한 디스플레이 필터를 보유하고 있습니다. IPsec, ISAKMP 등과 같은 많은 암호 해독 프로토콜을 지원합니다. 이더넷, IEEE 802.11, PPP / HDLC, ATM 등에서 라이브 데이터를 읽을 수 있습니다.

가격: Wireshark는 무료 오픈 소스 도구입니다.

웹 사이트 : Wireshark

# 3) Paessler PRTG

최적 중소 기업.

Paessler PRTG 네트워크 모니터는 전문적인 올인원 패킷 스니핑 도구입니다. 인프라 및 네트워크 성능에 대한 귀중한 통찰력을 제공합니다. Windows를 지원합니다. 대역폭 및 트래픽과 같은 모든 것을 모니터링 할 수있는 다양한 가능성이 있습니다. PRTG는 데이터 패킷을 모니터링하면서 SNMP, NetFlow, WMI, 네트워크 스니핑 등과 같은 다양한 기술을 사용합니다.

풍모:

• PRTG는 트래픽 및 데이터 패킷을 모니터링 할 수 있습니다.
• IP 주소, 프로토콜 및 데이터 유형별로 필터링 할 수 있습니다.
• PRTG는 지속적이고 포괄적 인 개요를 제공합니다.
• 여러 네트워크 스니핑 옵션을 사용합니다.
• iOS 및 Android 기기 용 모바일 앱이 있습니다.

평결: Paessler PRTG는 단순한 네트워크 스니핑 도구가 아니라 포괄적 인 모니터링 소프트웨어로 작동합니다. CPU 및 메모리와 같은 모든 중요한 하드웨어 매개 변수를 모니터링 할 수 있습니다. 모든 하드웨어에 대해 PRTG는 네트워크 스니퍼로서 완벽한 솔루션입니다.

가격: Paessler PRTG는 무료 버전을 제공합니다. 30 일 동안 무제한 버전의 PRTG를받은 다음 무료 버전으로 되돌립니다. 이 도구의 가격은 센서 500 개당 1750 달러부터 시작합니다.

웹 사이트 : Paessler PRTG

# 4) ManageEngine NetFlow 분석기

최적 중소 기업.

NetFlow Analyzer는 ManageEngine의 트래픽 분석 도구입니다. 심층 트래픽 분석을 수행합니다. 실시간 교통 그래프 및 보고서를 제공합니다. NetFlow Analyzer는 Essential 및 Enterprise의 두 가지 버전으로 제공됩니다. Essential Edition은 단일 네트워크 용이고 Enterprise Edition은 분산 네트워크 용입니다.

풍모:

• NetFlow Analyzer는 애플리케이션 및 프로토콜 모니터링을 수행합니다.
• 가장 중요한 교통 정보를 한눈에 볼 수있는 맞춤형 대시 보드가 있습니다.
• 네트워크 트래픽에 대한 임계 값을 기반으로 경고를 설정하여 네트워크 사용량의 위반에 대해 알 수 있습니다.
• 분산 모니터링, 용량 계획 보고서, Cisco NBAR보고 등과 같은 고급 모니터링 기능을 제공합니다.

평결: NetFlow Analyzer는 네트워크 트래픽에 대한 포괄적 인 가시성을 제공하는 완벽한 대역폭 관리 솔루션입니다. 모바일 앱을 사용하면 언제 어디서나 이동 중에 네트워크 트래픽을 모니터링 할 수 있습니다. Android 및 iOS 장치를 지원합니다.

가격: NetFlow Analyzer에는 Essential (10 개 인터페이스에 595 달러)과 Enterprise (10 개 인터페이스에 1295 달러)의 두 가지 에디션이 있습니다. 30 일 동안 두 버전을 모두 사용해 볼 수 있습니다. 영구 및 구독 라이선스에 대한 견적을받을 수 있습니다. 또한 라이선스없이 2 개의 인터페이스를 모니터링 할 수있는 무료 버전을 제공합니다.

비즈니스 분석가 기술 인터뷰 질문 및 답변

웹 사이트 : ManageEngine NetFlow 분석기

# 5) TCPdump

최적 도구에 대한 깊이있는 지식을 가진 사용자.

TCPdump는 패킷 분석기입니다. 이 데이터 네트워크 패킷 분석기는 강력한 명령 줄 도구입니다. 네트워크 트래픽 캡처를위한 휴대용 C / C ++ 라이브러리입니다. Linux, Solaris, FreeBSD, NetBSD, Mac OS 등과 같은 대부분의 유닉스 계열 OS를 지원합니다.

짧고 간단한 명령을 사용하여 실패한 패킷 만 캡처, 캡처 된 패킷을 파일에 저장 등과 같은 기능을 수행 할 수 있습니다.

풍모:

• TCPdump는 네트워크 패킷의 내용을 인쇄 할 수 있습니다.
• 네트워크 인터페이스 카드의 패킷을 읽을 수 있습니다.
• 표준 출력이나 파일에 패킷을 쓸 수 있습니다.

평결: TCPdump는 BSD 라이선스와 함께 배포됩니다. 도구가 원활하게 작동하기 위해 견고한 PC가 필요하지 않습니다. 이 도구에 대한 학습 곡선이 있으며 사용하는 동안이 도구를 사용하는 방법을 알아야합니다.

가격: TCPdump는 무료로 사용할 수 있습니다.

웹 사이트 : TCPdump

# 6) WinDump

최적 Windows 사용자.

WinDump는 Windows OS 용 TCPdump 버전입니다. TCPdump와 완벽하게 호환됩니다. 복잡한 규칙에 따라 네트워크 트래픽을 감시, 진단 및 디스크에 저장하는 기능이 있습니다. Windows 95, 98, ME NT, 2000, XP, 2003 및 Vista를 지원합니다.

풍모:

• WinDump는 WinPcap 라이브러리와 드라이버를 사용하여 캡처합니다.
• WinPcap 라이브러리 및 드라이버는 무료로 다운로드 할 수 있습니다.
• WinDump는 Riverbed AirPcap 어댑터를 통해 802.11b / g 무선 캡처 및 문제 해결에 사용할 수 있습니다.

평결: TCPdump와 마찬가지로 WinDump는 BSD 스타일 라이선스로 배포됩니다.

가격: WinDump는 무료로 사용할 수 있습니다.

웹 사이트 : WinDump

# 7) NetworkMiner

최적 사고 대응 팀 및 법 집행을 위해.

NetworkMiner는 Netresec의 네트워크 포렌식 분석 도구입니다. Windows, Mac, Linux 및 FreeBSD를 지원합니다. 수동 네트워크 스니핑 및 패킷 캡처 기능이 있습니다. 운영 체제, 세션, 호스트 이름, 열린 포트 등을 감지 할 수 있습니다. 오프라인 분석을 수행하고 PCAP 파일에서 전송 된 파일 및 인증서를 재생성하기 위해 PCAP 파일을 구문 분석 할 수 있습니다.

풍모:

• PCAP 파일을 구문 분석하고 네트워크에서 직접 트래픽을 스니핑하여 NetworkMiner는 네트워크를 통해 전송 된 파일, 이메일 및 인증서를 추출 할 수 있습니다.
• NetworkMiner는 패킷을 캡처하거나 수동 네트워크 스니핑을 수행하는 동안 네트워크에 트래픽을 발생시키지 않습니다.
• Professional Edition을 사용하면 DNS 화이트리스트, 웹 브라우저 추적, 온라인 광고 및 추적기 감지 등의 기능을 사용할 수 있습니다.

평결: NetworkMiner는 전 세계 조직에서 인기가 있습니다. 추출 된 아티팩트를 제공하는 직관적 인 사용자 인터페이스가있어 고급 네트워크 트래픽 분석을보다 쉽게 ​​수행 할 수 있습니다. 분석가 또는 법의학 수사관이 분석하는 데 도움이되는 직관적 인 UI의이 데이터 프레젠테이션입니다.

가격: NetworkMiner는 NetworkMiner 무료 버전과 NetworkMiner Professional (미화 900 달러)의 두 가지 버전으로 제공됩니다.

웹 사이트 : NetworkMiner

# 8) 콜라 소프트 박스

최적 네트워크 관리자 및 네트워크 엔지니어.

Capsa는 유선 및 무선 네트워크를 모니터링, 분석 및 문제 해결하는 기능이있는 네트워크 분석기입니다. 네트워크 성능 분석 및 진단을위한 휴대용 도구입니다. 강력한 패킷 캡처 및 분석 기능이 있습니다. 사용하기 쉬운 인터페이스가 있습니다. 베테랑 및 초보 사용자 모두에게 적합합니다.

중요한 비즈니스 환경에서 네트워크를 보호하고 모니터링 할 수 있습니다.

Colasoft의 무료 플랜 인 Capsa Free는 10 개의 IP 주소 모니터링, 4 시간 세션 시간 초과 길이, 수동 파일 저장과 같은 제한된 기능을 제공하며 어댑터 모니터를 제공합니다. Enterprise 플랜을 사용하면 모니터링 할 IP 주소 및 세션 시간 초과 길이에 제한이 없습니다.

풍모:

• Capsa는 실시간으로 패킷을 캡처 할 수 있습니다.
• 유선 네트워크 및 무선 네트워크를 포함한 로컬 네트워크를 통해 전송되는 데이터를 저장할 수 있습니다.
• 1800 개 이상의 프로토콜과 하위 프로토콜을 지원합니다.
• 이메일 및 인스턴트 메시징 트래픽 모니터링, 보안 및 데이터 처리 위반 식별과 같은 여러 네트워크 동작을 모니터링 할 수 있습니다.

평결: Capsa는 패킷 캡처 및 분석에 강력하고 포괄적입니다. 네트워크 문제를 신속하게 파악할 수 있습니다. 각 호스트의 광범위한 통계를 제공합니다.

가격: Capsa에서 무료 플랜도 사용할 수 있습니다. Capsa Enterprise는 $ 995입니다. 30 일 동안 무료 평가판을 제공합니다.

웹 사이트 : Colasoft 상자

# 9) Telerik Fiddler

최적 중소 기업.

Telerik Fiddler는 무료 웹 디버깅 프록시입니다. 컴퓨터와 인터넷 간의 모든 HTTP (S) 트래픽을 기록 할 수 있습니다. 교통 검사에 도움이됩니다. 중단 점을 설정하고 요청 / 응답을 조작 할 수 있습니다. Fiddler Everywhere는 모든 브라우저, 애플리케이션 및 프로세스에 사용할 수 있습니다. Windows, Mac 및 Linux 플랫폼을 지원합니다.

풍모:

• Fiddler Everywhere는 웹 세션, 원격 API 호출, 쿠키 및 헤더 속성을 자세히 검사 할 수 있습니다.
• 웹 및 데스크톱의 모든 앱 시나리오에 대해 HTTP 및 HTTPS 프로토콜을 모두 지원합니다.
• HTTPS 트래픽을 해독하고 네트워크 관찰자에게 숨겨진 요청을 안전하게 표시 / 수정하는 데 도움이 될 수 있습니다.
• 노이즈를 필터링하고 특정 앱, URL 및 프로세스로보기를 제한하는 기능이 있습니다.

평결: 프록시이므로 브라우저 또는 앱의 모든 네트워크 요청은 Fiddler Everywhere를 통해 라우팅됩니다. 모든 주요 브라우저를 지원합니다.

가격: Fiddler Everywhere는 현재 Free와 Pro의 두 가지 버전으로 제공됩니다. Pro 계획은 사용자 당 월 $ 12입니다. Teams 및 Enterprise 플랜이 곧 제공 될 예정입니다.

웹 사이트 : Telerik Fiddler

# 10) 키즈 멧

최적 무선 패킷 스니핑.

Kismet은 무선 네트워크 및 장치 탐지기, 스니퍼, wardriving 도구 및 WIDS 프레임 워크로 작동하는 기능이있는 무료 도구입니다. WiFi 인터페이스, Bluetooth 인터페이스, 일부 SDR 하드웨어 및 기타 특수 캡처 하드웨어와 함께 작동 할 수 있습니다. Linux 및 OSX를 지원하며 WSL 프레임 워크에서 Windows 10에 대한 제한된 지원을 제공합니다.

Linux OS의 경우 대부분의 WiFi 카드, Bluetooth 인터페이스 및 기타 하드웨어 장치가 Kismet에서 지원됩니다. OSX의 경우 내장 Wi-Fi 인터페이스가 지원되며 Windows 10 Kismet의 경우 원격 캡처와 함께 작동합니다. Kismet에는 '패킷 별 정보'헤더를 캡처하는 기능이 있습니다.

풍모:

• Kismet에는 활성 무선 스니핑 프로그램 감지와 같은 기본 무선 IDS 기능이 있습니다.
• 스니핑 된 모든 패킷을 기록 할 수 있습니다.
• Kismet은 모든 스니핑 된 패킷을 TCPdump / Wireshark 또는 Airsnort 호환 파일 형식으로 저장합니다.
• 기본 또는 구성되지 않은 네트워크, 프로브 요청을 감지 할 수 있습니다. 주어진 액세스 포인트에서 사용되는 무선 암호화 수준을 식별 할 수 있습니다.

평결: 키즈 멧은 인기있는 도구 중 하나입니다. 최신이며 오픈 소스 도구입니다. 기록 가능한 패킷을 보내지 않고도 무선 액세스 포인트 및 무선 클라이언트의 존재를 감지하고 서로 연결할 수 있습니다.

가격: Kismet은 무료 네트워크 스니퍼 도구입니다.

웹 사이트 : 키즈 멧

결론

네트워크 스니퍼는 대역폭 관리, 효율성 증대, 비즈니스 서비스 제공 보장, 보안 강화 등과 같은 다양한 사용 사례에 사용됩니다. SolarWinds 네트워크 패킷 스니퍼, Wireshark, PRTG 네트워크 모니터, ManageEngine NetFlow Analyzer, TCPdump 및 WinDump는 우리의 최고 권장 네트워크입니다. 스니핑 도구.

Wireshark, TCPdump, WinDump, Kismet은 완전 무료 도구입니다. SolarWinds Network Packet Sniffer, PRTG Network Monitor, ManageEngine NetFlow Analyzer, Network Miner, Colasoft Capsa 및 Telerik Fiddler는 상용 도구입니다. NetworkMiner, Colasoft Capsa 및 Telerik Fiddler는 무료 요금제를 제공합니다.