Wireshark

- 네트워크 보안을 하기 위한 기본 

패킷 캡처 ( Indentifying )

패킷 분석 ( Interpreting )

- 보안 분석을 위해 반드시 필요한 기본 기술

패킷 구성/ 구조

실제 흐름

- 패킷을 캡처하고 분석할 수 있는 대표적인 무료용 툴

( TUI ) tcpdump ( http://www.tcpdump.org )

( GUI ) wireshark ( http://www.wireshark.org )

- 공식 사이트 및 wiki 사이트

http://www.wireshark.org

http://wiki.wireshark.org

- 명령어 라인 툴

tshark    터미널 기반 wireshark

editcap    캡쳐 파일 편집

디스플레이 필터(Display Filter)

캡쳐된 로그 정보에서 데이터를 찾는 경우에 사용한다.

필터 옵션을 모르는 경우 "Expression" 버튼을 선택하고 원하는 항목을 선택하여 필터 적용

(예) ip.addr == 192.168.10.50      (Display Filter)

(예) host 192.168.10.50 and port 53(Capture Options)

패킷 목록(Packet List) 패널

현재 수집된 패킷을 모두 보여준다. 

패킷 번호를 포함한 컬럼이 있는데, 여기서는 패킷이 수집된 시간, 발신지와 목적지, 프로토콜, 패킷에서 발견된 기본적인 정보들을 보여준다.

패킷 상세 정보(Packet Detail) 패널

패킷에 대한 정보를 계층적으로 보여준다. 

이 부분은 각 패킷에 대한 정보를 보여주기 위해 축약되거나 확장될 수도 있다.

정밀 분석(패킷 바이트(Packet Bytes)) 패널

가공되지 않은 형태인 가장 원시적인(Raw) 형태의 패킷을 표시한다. 

패킷이 회선을 따라 지나다니는 것처럼 보인다. 원시적인 실제 정보를 다루기 쉽고 보기 좋게 나타내지는 않는다.

- 메뉴

Help > About Wireshark    - Wireshark의 버전 정보를 확인 할 수 있습니다.

Statistics > Summary     - Wireshark File, Time , Capture, display, Traffic 등의 요약 정보를 확인

Statistics > Protocol Hierarchy    - 현재 캡쳐된 Packet의 종류와 전체 패킷중의 Packet의 비율을 확인 

Statistics > IO Graphs    - 전체 Packet에 대한 흐름도를 그래프로 확인 할수 있다. 

Filter 옵션을 통해 특정 Packet만 확인 가능

Statistics > Conversation  전체 Packet의 흐름을 확인 할수 있다. 

( IPv4 / IPv6 / TCP / UDP 등이 어디서 어디로 향했는지 한눈에 볼 수 있다. )

Edit > Preferences     - 캡쳐 화면이나 윈도우 창, 폰트 등을 상세하게 설정할 수 있다.

[참고] http://www.rcy.co.kr/xeb/tool/6934

[ 실습 ]  패킷분석하기     패킷분석 실습.zip

lawcode.txt / attack1 ~ 3 .cap

----------------------------------------------

출발지 IP :

출발지 Port :

목적지 IP :

목적지 Port :

----------------------------------------------

 - 출발지 IP는 계속 변화하는가 항상 일정한가?

 - 출발지 Port는 계속 변화하는가 항상 일정한가?

 - 목적지 IP는 계속 변화하는가 항상 일정한가?

 - 목적지 Port는 계속 변화하는가 항상 일정한가?

 - 공격 패킷의 특성은?

 - 결론적으로 어떤 공격이라고 판단할 수 있는가?

 - 이런 패킷을 방어 하는 방법은?