유선 환경에서의 패킷 캡쳐
Download
Report
Transcript 유선 환경에서의 패킷 캡쳐
Network Security
- Wired Sniffing 실습
경희대학교
조응준
[email protected]
NETWORKING LAB.
Outline
• Network
– Network 구조
– Source-to-Destination간 packet 전달 과정
• Packet Capturing
– Packet Capture의 원리
– Data Link Layer의 동작
• Wired LAN Environment
– Dummy HUB
– Switch
• Sniffing Tool 소개
• Sniffing Tool 실습
End-to-End delivery(1/2)
End-to-End delivery (2/2)
Source
Destination
Applications
Applications
Applications
TCP
TCP
TCP
IP
IP
IP
LAN Technologies:
Ethernet, FDDI, etc
LAN Technologies:
Ethernet, FDDI, etc
LAN Technologies:
Ethernet, FDDI, etc
Packet Capture
Source
Destination
Applications
Applications
Applications
TCP
TCP
TCP
IP
IP
IP
LAN Technologies:
Ethernet, FDDI, etc
LAN Technologies:
Ethernet, FDDI, etc
LAN Technologies:
Ethernet, FDDI, etc
Data Link Layer Procedure
• Promiscuous mode와 Non-promiscuous mode
Upper Layer
MAC address 일치
Data Link Layer
MAC address 불일치
Physical Layer
Data Link Layer에서의 동작
Wired LAN Environment (1/2)
Internet
Gateway
Router
Dummy HUB
PC A
PC D
PC B
PC C
Wired LAN Environment (2/2)
Internet
Gateway
Router
Switch
PC A
PC D
PC B
PC C
Tools Introduction(1/2)
• WinPCAP(Windows Packet CAPture
library)
– Win32 platform용 packet capture tool
– Network analyzing library
– 오픈 소스
– libPCAP(UNIX library)의 windows 버전
– http://www.winpcap.org
Tools Introduction(2/2)
• Wireshark(Ethereal)
– 가장 대표적인 Network Analyzer
– 오픈 소스
– 강력한 필터 기능이 특징
– WinPCAP library와 driver 이용
– http://www.wireshark.org/
• SuperScan
– 간단한 포트 스캐너
– SYN attack으로 포트 검색
– http://www.snapfiles.com/get/superscan.html
SuperScan Overview
-Main View
자신의
interface
Scan할
port설정
Scan 대상
Scan
시작/중지
결과 창
SuperScan 둘러보기
- Scan Port Configuration
Scan할
Port 설정
SuperScan 사용법 (1/2)
1. Scan할 범위를 지정한다
2. ‘Start’버튼으로 scan을 시작한다
SuperScan 사용법 (2/2)
• Scan된 port를 보여준다
WireShark 둘러보기
- Main View(1/2)
<실행화면>
WireShark 둘러보기
- Main View(2/2)
Capture된
Packet의 list
Packet의
분석 내용
Packet의
실제 데이터
WireShark 둘러보기
- Menu(1/2)
• File
– Capture 파일들을 open/merge, Capture 파일들의 전체나
일부를 save/print/export, Ethereal 종료하는 아이템들을
포함한다
• Edit
– Find packet하고 Time Reference, 한 개나 그 이상의
packet에 대한 Mark Reference, 당신의 선택을 Set
preference하는 아이템들을 포함한다
• View
– Packets의 capture된 데이터의 표시를 제어한다. 이것은 색
깔과 폰트 크기 조절, 개별 윈도우에서 packet을 보여주는
것, packet 상세정보상에서 트리들이 늘어나고 줄어드는
것을 포함한다
WireShark 둘러보기
- Menu(2/2)
• Go
– 이 메뉴는 특정 packet으로 이동하는 아이템들을 포함한다.
• Capture
– 당신이 capture를 시작/종료하는 것과 capture filter를 수정하는
것을 허락한다
• Analyze
– 표시 필터들을 다루고, 프로토콜들의 정밀한 분석을 가능하게 하
거나 불가능하게 하고, 사용자 정의 디코드를 설정하고, TCP 흐
름을 따르는 아이템을 포함한다
• Statistics
– 이 메뉴는 다양한 통계 윈도우들을 표시하기 위한 메뉴 아이템
들을 포함한다. 이것은 captured packets에 대한 요약, 프로토콜
계층 통계를 표시 등을 포함한다
WireShark 둘러보기
- Tool bar
: Capture관련 icons
: Capture가능한 interface list를 보여준다
: Capture option
: Capture 시작/중지/재시도
Packet filter
: 환경 설정
WireShark 둘러보기
-Preferences
Packet Capture(1/3)
• Tool bar에서 Capture list icon(
한다
)을 클릭
• NIC을 고르고 Prepare로 capture에 관한
설정 후 Capture로 Packet Capture를 시도
한다
Packet Capture(2/3)
Interface 관련 설정
Capture시 적용 filter
Capture를 저장할 파일
Capture 종료 컨디션
<Capture Options 설정화면>
Packet Capture(3/3)
<Capture된 화면>
Filter(1/2)
• 적용할 filter condition을 직접 쓰거나
Expression에서 골라 Apply한다
Filter(2/2)
<Filter 적용 예시 –Source IP Address가 163.180.16.53인 Packet>
Analyze(1/3)
Analyze(2/3)
Analyze(3/3)
Statistics(1/5)
Statistics(2/5)
Statistics(3/5)
Statistics(4/5)
Statistics(5/5)
실습
1. 자신의 자리에서 네이트 온을 로그인하여 자신의 대화목
록 상대들의 메일주소와 전화번호 정보가 있는 패킷을
찾고 해당 화면을 저장
–
적절한 필터링을 사용하여 검색시간을 단축
2. 친구와 메신저로 대화를 한 후 대화 내용이 암호화가 되
는지 확인
–
–
네이트온의 일반 대화하기와 쪽지 기능을 사용하여 암호화 여부
확인
암호화가 되지 않은 내용이 있다면 해당 내용을 캡쳐
3. 실습을 한 결과화면을 문서화 하여 레포트 양식으로 제출
4. 제출 : [email protected]
–
–
실습 시간내에 제출
메일 제목은 네트워크보안_실습_학번.* (doc, docx, hwp)