유선 환경에서의 패킷 캡쳐
Download
Report
Transcript 유선 환경에서의 패킷 캡쳐
Network Security
- Wired Sniffing 실습
경희대학교
조응준
[email protected]
NETWORKING LAB.
Outline
• Network
– Network 구조
– Source-to-Destination간 packet 전달 과정
• Packet Capturing
– Packet Capture의 원리
– Data Link Layer의 동작
• Wired LAN Environment
– Dummy HUB
– Switch
• Sniffing Tool 소개
• Sniffing Tool 실습
End-to-End delivery(1/2)
End-to-End delivery (2/2)
Source
Destination
Applications
Applications
Applications
TCP
TCP
TCP
IP
IP
IP
LAN Technologies:
Ethernet, FDDI, etc
LAN Technologies:
Ethernet, FDDI, etc
LAN Technologies:
Ethernet, FDDI, etc
Packet Capture
Source
Destination
Applications
Applications
Applications
TCP
TCP
TCP
IP
IP
IP
LAN Technologies:
Ethernet, FDDI, etc
LAN Technologies:
Ethernet, FDDI, etc
LAN Technologies:
Ethernet, FDDI, etc
Data Link Layer Procedure
• Promiscuous mode와 Non-promiscuous mode
Upper Layer
MAC address 일치
Data Link Layer
MAC address 불일치
Physical Layer
Data Link Layer에서의 동작
Wired LAN Environment (1/2)
Internet
Gateway
Router
Dummy HUB
PC A
PC D
PC B
PC C
Wired LAN Environment (2/2)
Internet
Gateway
Router
Switch
PC A
PC D
PC B
PC C
Sniffer Tools Introduction
Tools Introduction(1/2)
• WinPCAP(Windows Packet CAPture
library)
– Win32 platform용 packet capture tool
– Network analyzing library
– 오픈 소스
– libPCAP(UNIX library)의 windows 버전
– http://www.winpcap.org
Tools Introduction(2/2)
• Wireshark(Ethereal)
–
–
–
–
–
가장 대표적인 Network Analyzer
오픈 소스
강력한 필터 기능이 특징
WinPCAP library와 driver 이용
http://www.ethereal.com
• SuperScan
– 간단한 포트 스캐너
– SYN attack으로 포트 검색
– http://www.snapfiles.com/get/superscan.html
SuperScan Overview
-Main View
자신의
interface
Scan할
port설정
Scan 대상
Scan
시작/중지
결과 창
SuperScan 둘러보기
- Scan Port Configuration
Scan할
Port 설정
SuperScan 사용법 (1/2)
1. Scan할 범위를 지정한다
2. ‘Start’버튼으로 scan을 시작한다
SuperScan 사용법 (2/2)
• Scan된 port를 보여준다
Ethereal 둘러보기
- Main View(1/2)
<실행화면>
Ethereal 둘러보기
- Main View(2/2)
Capture된
Packet의 list
Packet의
분석 내용
Packet의
실제 데이터
Ethereal 둘러보기
- Menu(1/2)
• File
– Capture 파일들을 open/merge, Capture 파일들의 전체나
일부를 save/print/export, Ethereal 종료하는 아이템들을
포함한다
• Edit
– Find packet하고 Time Reference, 한 개나 그 이상의
packet에 대한 Mark Reference, 당신의 선택을 Set
preference하는 아이템들을 포함한다
• View
– Packets의 capture된 데이터의 표시를 제어한다. 이것은 색
깔과 폰트 크기 조절, 개별 윈도우에서 packet을 보여주는
것, packet 상세정보상에서 트리들이 늘어나고 줄어드는
것을 포함한다
Ethereal 둘러보기
- Menu(2/2)
• Go
– 이 메뉴는 특정 packet으로 이동하는 아이템들을 포함한다.
• Capture
– 당신이 capture를 시작/종료하는 것과 capture filter를 수정하는
것을 허락한다
• Analyze
– 표시 필터들을 다루고, 프로토콜들의 정밀한 분석을 가능하게 하
거나 불가능하게 하고, 사용자 정의 디코드를 설정하고, TCP 흐
름을 따르는 아이템을 포함한다
• Statistics
– 이 메뉴는 다양한 통계 윈도우들을 표시하기 위한 메뉴 아이템
들을 포함한다. 이것은 captured packets에 대한 요약, 프로토콜
계층 통계를 표시 등을 포함한다
Ethereal 둘러보기
- Tool bar
: Capture관련 icons
: Capture가능한 interface list를 보여준다
: Capture option
: Capture 시작/중지/재시도
Packet filter
: 환경 설정
Ethereal 둘러보기
-Preferences
Packet Capture(1/3)
• Tool bar에서 Capture list icon(
한다
)을 클릭
• NIC을 고르고 Prepare로 capture에 관한
설정 후 Capture로 Packet Capture를 시도
한다
Packet Capture(2/3)
Interface 관련 설정
Capture시 적용 filter
Capture를 저장할 파일
Capture 종료 컨디션
<Capture Options 설정화면>
Packet Capture(3/3)
<Capture된 화면>
Filter(1/2)
• 적용할 filter condition을 직접 쓰거나
Expression에서 골라 Apply한다
Filter(2/2)
<Filter 적용 예시 –Source IP Address가 163.180.16.53인 Packet>
Analyze(1/3)
Analyze(2/3)
Analyze(3/3)
Statistics(1/5)
Statistics(2/5)
Statistics(3/5)
Statistics(4/5)
Statistics(5/5)
실습
•
옆자리에 앉은 사람이 '보안접속'을 통하지 않은 로그
인을 추적하여 ID/Password를 찾아내보자
1. ‘보안접속’을 통한 로그인을 추적하여 ID/Password가
어떻게 보호되어 있는지 추론해보자
2. 옆자리에 앉은 사람과 서로 port scan을 행하여 이에
대한 이상 traffic을 탐지해보자
3. 5분여 정도 subnetwork의 packet을 capture해보고
protocol 별로 traffic 양을 통계내보자