FORENSICS 시작하기 - 패킷 분석 도구 :: Wireshark, NetworkMiner

1. Wireshark

 

: 오픈 소스 패킷 분석 프로그램

(다운로드는 여기서 할 수 있다. -> www.wireshark.org/download.html)

 

(참고) 처음 배포되었을 때에는 이름이 Ethereal(이더리얼) 이었으나 상어가 패킷을 잡아먹는 것과 유사하다고 하여 이름을 바꾸게 되었다.

 

pcap 네트워크 라이브러리를 이용하여 패킷을 잡아낸다.

무차별 모드(promiscuous mode) 를 지원하여 브로드캐스트나 멀티캐스트 트래픽도 얻을 수 있다.(100%는 아님)

 

 

1.1 Wireshark 사용법

 

wireshark 를 실행시키면 이런 화면이 나온다.

 

 

 

원하는 네트워크를 눌러서 패킷 캡처를 시작할 수 있다.

 

 

상단 메뉴

File	캡처 데이터를 열거나 저장
Edit	패킷 찾거나 표시, 프로그램 속성 설정
View	wireshark 설정
Go	캡처된 데이터를 특정 위치로 이동
Capture	캡처 필터 옵션을 설정하고 캡처 시작
Analyze	분석 옵션 설정
Statistics	wireshark 통계 데이터 확인
Help	도움말 보기

 

패킷이 캡처되면 저 창에서 패킷에 대한 정보들을 볼 수 있는데, 각각이 무엇을 의미하는 지 알아보자.

 

No.	패킷이 수집된 순서
Time	패킷이 수집된 시간
Source	출발지 주소
Destination	도착지 주소
Protocol	프로토콜 type
Length	패킷 길이
Info	패킷 정보

 

이렇게 패킷의 정보를 하나하나 확인할 수도 있지만, 패킷 필터링 기능으로 필요한 패킷들만 모아서 볼 수 있다.

 

패킷 필터링에는 다음의 두 가지 방법이 존재한다.

 

① 캡처 필터: 처음부터 원하는 패킷만 필터링해서 캡처 (성능에 영향을 끼칠 수 있음)

상단 메뉴 Capture -> Capture Filters ... 에서 설정 가능

② 디스플레이 필터: 모든 패킷을 캡처한 후, 화면에서 내가 볼 것만 필터링 (권장)

상단 메뉴 Analyze -> Display Filters 에서 설정 가능

 

 

마지막으로 Wireshark 의 기본 기능을 몇 가지 살펴보겠다.

- File-Save: 수집한 패킷 저장

- File-Merge: 여러 파일을 합쳐서 볼 수 있음

- File-Export: 패킷 내보내기 (특정 패킷만 내보낼 수 있음)

- Edit-Find Packet: 특정 패킷 찾기

- Edit-Mark/Unmark Packet: 패킷 파킹

- Edit-Ignore/Unignore Packet: 

- Edit-Preference: 소프트웨어 설정

- View-Colorize Packet List: 패킷 컬러 지정

- Go-Go to packet: 특정 패킷 찾기

- Capture-Options: 캡처 필터링

- Analyze-Follow: 선택한 패킷에 관련된 패킷들만 보여줌

- Statistics-Capture File Properties: 선택한 패킷의 detail

- Telephony: Voip 를 볼 수 있는 기능

- Wireless: 무선 통신 볼 수 있는 기능

- Tools-Firewall ACL Rules: 설정된 패킷으로 방화벽 생성

 

 

+ 단축키

Ctrl + d : 일시적으로 해당 패킷 삭제

Ctrl + m : 해당 패킷 마킹

Ctrl + Alt + c : 해당 패킷에 comment

 

 

2. NetworkMiner

 

Wireshark 처럼 네트워크 포렌식 분석 툴이다.

 

운영체제, 세션, 호스트 이름, 열린 포트 등을 검색하기 위해 수동 네트워크 스니퍼, 패킷 캡처 도구로 사용된다.

각 호스트에 대한 단말의 통합적인 정보를 표현해주므로 분석자가 보기 편리하다.

 

Wireshark 가 전송되어 분할된 파일들을 RawData 로 알려주는 반면, NetworkMiner 은 어떤 파일이 전송되었는지를 재구성하여 보여준다. (즉, 어느 정도의 복원 작업을 제공해준다는 것!)

 

youtube 같은 웹 사이트에서 네트워크를 통해 스트리미잉 되는 미디어 파일을 추출하고 저장하는 데 사용되기도 한다.

파일 추출을 위해 사용되는 프로토콜은 FTP, TFTP, HTTP, SMB 등이 있다.

 

https://aaasssddd25.tistory.com/58

 

 

Ref. 

[1] m.blog.naver.com/PostView.nhn?blogId=stop2y&logNo=221033954685&proxyReferer=https:%2F%2Fwww.google.com%2F

[2] websecurity.tistory.com/132

.