[와이어샤크] 트래픽 캡처

스터디 날짜 : 2020.03.14

 

[3장] 트래픽 캡처

 

1) 네트워크를 살펴보는 위치

 

1-1)라우터에 연결된 네트워크 분석

- 라우터는 IP 주소 같이 네트워크 주소에 기반을 둔 트래픽을 분리 -> 라우터의 한 쪽에 와이어샤크를 배치하면 네트워크로부터 송수신되는 트래픽 볼 수 있음

- 네트워크 10.1.0.0과 네트워크 10.2.0.0가 있다고 하면, 10.1.0.0 상의 클라이언트와 서버 간의 트래픽은 네트워크 10.2.0.0에 있는 와이어샤크 #2에는 보이지 않을 것

- 와이어샤크 #1는 라우터 A에 연결된 포트를 수신하려고 포트 스패닝으로 구성되어 있음. 이에 따라 와이어샤크 #1이 클라이언트 A,B,C에서 송수신되는 트래픽에서 수신할 수 있음

   +)포트 스패닝

      SPAN 명령어 : 시스코 교환기에서 발신지 포트와 목적지 포트를 설정하기 위해 사용하는 간단한 span 명령

      switch (enable) set span 1/4 1/1   포트 4를 포트 1로 보내는 예

      

 

1-2) 무선 네트워크 분석

- WLAN 환경을 분석할 때에는 프로토콜 스택을 밑에서 위로 이동함. WLAN 환경에서 '밑에서부터'라는 말은 라디오 주파수 신호의 강도를 분석하고 간섭을 찾는 것을 의미

-와이어샤크는 모듈화되지 않은 RF 에너지나 간섭을 식별할 수 없기 때문에 스펙트럼 분석기 사용. Metageek은 우수한 WLAN 스펙트럼 분석기 어댑터와 소프트웨어를 제공. 무선 네트워크에서 와이어샤크의 위치는 유선 네트워크에서으 ㅣ위치와 유사

 

2) 원격 트래픽 캡처

-로컬에서 트래픽을 분석하지 않고 원격지에서 트래픽 캡처를 원하는 경우, 일부 스위치는 rspan이라는 원격 스패닝 기능을 제공

- 원격지 캡처에 대한 간단한 옵션은 대상에서 와이어샤크를 실행시켜 소프트웨어를 원격으로 제어하는 것, WinPcap이 포함돼 있는 원격 캡처 기능 또한 사용 가능. (WinPcap은 rpcapd와 로컬 와이어샤크 호스트로 패킷을 캡처해 전송하는 원격 호스트에서 실행 가능한 원격 캡처 데몬으로 포함함)

 

2-1)rspcapd에 대한 파라미터 환경 설정

패킷 캡처 원격 호스트 설정에 사용되는 rpcapd의 파라미터 목록

파라미터	설명
-b <address>	바인딩할 주소(숫자나 문자). 기본값 : 모든 로컬 IPv4 주소를 바인딩
-p <port>	바인딩할 포트. 기본값 : 2002번 포트 바인딩
-4	오직 IPv4만 사용(IPv4와 IPv6 대기 소켓 모두 사용)
-l <host_list>	이 서버로 연결이 허용되는 호스트의 목록이 있는 파일(서버가 하나 이상이라면 라인마다 하나의 서버 나열). 다른 주소군과의 문제를 피하기 위해 문자 이름(숫자 이름 대신) 사용 권장
-n	NULL 인증을 허가(일반적으로 -1과 같이 사용)
-a <host, port>	포트에 호스트로 연결될 때 활성화 모드에서 실행, 기본값 : 2003포트
-v	오직 활성화 모드에서만 실행(기본값 : -a가 지정되면 수동 연결도 쉽게 허용)
-d	데몬 모드(UNIX에서만)에서 혹은 서비스(Win32 에서만)로 실행. 경고(Win32) : 제어판에서 서비스가 시작할 때 이 스위치가 자동으로 제공
-s <file>	현재 환경 설정을 파일에 저장
-f <file>	파일에서 현재 환경 설정을 불러옴. 커맨드라인에서 지정된 모든 스위치 무시
-h	hpcapd의 도움말 화면 보기

 

 

 

[4장] 캡처 필터 생성과 적용

1) 캡처 필터의 목적

캡처 필터는 추적 파일을 저장할 때 패킷을 캡처하는 동안 \temp나 다른 디렉터리에 저장되지 않게 제한, 캡처 필터는 실시간으로 캡처하는 작업에서만 적용

Tcpdump와 동일한 필터 구문 사용

저장된 캡처 필터 확인을 위해 Capture > Capture Filters나 Capture Filters 아이콘 클릭

캡처 필터 이름	캡처 필터 구문
Ethernet address 00:08:15:00:08:15	ether host 00:08:15:00:08:15
Ethernet type 0x0806 (ARP)	ether proto 0x0806
No Broadcast and no Multicast	not broadcast and not multicast
No ARP	not arp
IP only	ip
IP address 192.168.0.1	host 192.168.0.1
IPX only	ipx
TCP only	tcp
UDP only	udp
TCP or UDP port 80 (HTTP)	port 80
HTTP TCP port (80)	tcp port http
No ARP and no DNS	not arp and port not 53
Non-HTTP and non-SMTP to/from www.wireshark.org	not port 80 and not port 25 and host www.wireshark.org

와이어샤크는 와이어샤크 프로그램 파일 디렉터리에 보관되어 있는 기본 필터의 집합을 가집. 캡처 필터 파일 이름은 cfilters

 

2) 캡처 필터 생성

- 식별자 : 필터링하려는 요소

   ex) 53(식별자)번 포트로부터 송신 트래픽이나 수신 트래픽에 대한 캡처 필터

- 한정자 : 

   유형 한정자 : 식별자가 참조하는 이름이나 번호의 유형을 가리킴

      ex) 53번 포트(유형한정자)로부터 송신 트래픽이나 수신 트래픽에 대한 캡처 필터

   방향 한정자 : 관심있는 트래픽의 흐름을 표시하기 위해 사용. 일반적으로 사용하는 방향 한정자는 dst와 scr

   프로토콜 한정자 : Tcp나 udp 같이 특별한 프로토콜에서 캡처된 트래픽을 제한하기 위해 사용

- 기본식 : 

   기본식 키워드 사용 가능

      dst host host, src host host, host host, ether dst ehost, ether src ehost, src net net, net net, net net mask netmask, dst port port, src port port, less length, greater length, ip proto protocol, ip6 proto protocol, ip6 protochain protocol, ip protochain protocol, ip broadcast, ether multicast, ip multicast, ip6 multicast, ether proto protocol, decnet src host, decnet dst host, decnet host host  등 다양한 키워드 존재

 

1) 프로토콜에 의한 필터링

프로토콜에 의한 필터링은 기본식 사용

프로토콜이 기본식이 아니면 그 프로토콜에 의해 사용되는 고유의 필드 값을 기반으로 필터를 만들거나 오프셋과 바이트 값을 기반으로 하는 필터를 사용해야 함

일반적인 프로토콜 필터 : tcp, udp, ip, arp, icmp, ip

 

2) MAC/IP 주소 캡처 필터

애플리케이션으로 생성되는 트래픽을 식별하기 위해 IP 주소가 아닌 MAC 주소를 기반으로 한 필터 사용. ARP 트래픽처럼 IP 헤더를 가지지 않는 패킷을 포함한 물리 주소로부터 송수신되는 모든 트래픽 얻을 수 있게 보장. 

배제 필터 : 캡처된 패킷을 배제, 이 경우 'Not my MAC'필터 생성 가능

 

3) 애플리케이션 트래픽 캡처

애플리케이션이 사용하는 포트 번호에 대해 기본식을 사용해 애플리케이션 필터링 수행

포트 번호를 통해 UDP나 TCP를 통한 애플리케이션 트래픽을 검색하기 위한 캡처 필터 만들 수 있음

 

4) 캡처 필터 조합을 위한 연산자

부정(not)

연결(and) : and 연산자를 사용할 때 패킷은 필터를 통과하기 위한 양쪽 모두와 일치해야 함

교대(or) : or 연산자를 사용하면 모든 패킷이 필터를 통과하기 위해 연산자 양쪽의 조건 중 하나와만 일치하면 됨

 

5) 바이트 값을 찾기 위한 캡처 필터

패킷 속의 특정 오프셋의 특정 값을 찾기 위해 캡처 필터 생성할 필요 있음

바이트 오프셋 캡처 필터를 위한 구문:proto(ether, fddi, tr, ip, arp, rarp, tcp, udp, icmp, ip6 중 하나)