Information Security

- Wired Sniffing 실습 경희대학교 홍충선 [email protected]

NETWORKING LAB.

Outline • • • • • Network – Network 구조 – Source-to-Destination간 packet 전달 과정 Packet Capturing – Packet Capture의 원리 – Data Link Layer의 동작 Wired LAN Environment – Dummy HUB – Switch Sniffing Tool 소개 Sniffing Tool 실습

End-to-End delivery(1/2)

End-to-End delivery (2/2) Source Destination Applications TCP IP LAN Technologies: Ethernet, FDDI, etc Applications TCP IP LAN Technologies: Ethernet, FDDI, etc Applications TCP IP LAN Technologies: Ethernet, FDDI, etc

Source Packet Capture Destination Applications TCP IP LAN Technologies: Ethernet, FDDI, etc Applications TCP IP LAN Technologies: Ethernet, FDDI, etc Applications TCP IP LAN Technologies: Ethernet, FDDI, etc

Data Link Layer Procedure • Promiscuous mode와 Non-promiscuous mode Upper Layer MAC address 일치 Data Link Layer MAC address 불일치 Physical Layer Data Link Layer에서의 동작

Wired LAN Environment (1/2) Internet Gateway Router Dummy HUB PC A PC D PC B PC C

Wired LAN Environment (2/2) Internet Gateway Router Switch PC A PC D PC B PC C

Tools Introduction(1/2) • WinPCAP(Windows Packet CAPture library) – – Win32 platform용 packet capture tool Network analyzing library – – 오픈 소스 libPCAP(UNIX library)의 windows 버전 – http://www.winpcap.org

Tools Introduction(2/2) • • Wireshark(Ethereal) – 가장 대표적인 Network Analyzer – – 오픈 소스 강력한 필터 기능이 특징 – – WinPCAP library와 driver 이용 http://www.wireshark.org/ SuperScan – – 간단한 포트 스캐너 SYN attack으로 포트 검색 – http://www.snapfiles.com/get/superscan.html

자신의 interface Scan 대상 SuperScan Overview -Main View Scan할 port설정 Scan 시작/중지 결과 창

SuperScan 둘러보기 - Scan Port Configuration Scan할 Port 설정

SuperScan 사용법 (1/2) 1. Scan할 범위를 지정한다 2. ‘Start’버튼으로 scan을 시작한다

SuperScan 사용법 (2/2) • Scan된 port를 보여준다

<실행화면> WireShark 둘러보기 - Main View(1/2)

WireShark 둘러보기 - Main View(2/2) Capture된 Packet의 list Packet의 분석 내용 Packet의 실제 데이터

WireShark 둘러보기 - Menu(1/2) • • • File – Capture 파일들을 open/merge, Capture 파일들의 전체나 일부를 save/print/export, Ethereal 종료하는 아이템들을 포함한다 Edit – Find packet하고 Time Reference, 한 개나 그 이상의 packet에 대한 Mark Reference, 당신의 선택을 Set preference하는 아이템들을 포함한다 View – Packets의 capture된 데이터의 표시를 제어한다. 이것은 색 깔과 폰트 크기 조절, 개별 윈도우에서 packet을 보여주는 것, packet 상세정보상에서 트리들이 늘어나고 줄어드는 것을 포함한다

WireShark 둘러보기 - Menu(2/2) • • • • Go – 이 메뉴는 특정 packet으로 이동하는 아이템들을 포함한다.

Capture – 당신이 capture를 시작/종료하는 것과 capture filter를 수정하는 것을 허락한다 Analyze – 표시 필터들을 다루고, 프로토콜들의 정밀한 분석을 가능하게 하 거나 불가능하게 하고, 사용자 정의 디코드를 설정하고, TCP 흐 름을 따르는 아이템을 포함한다 Statistics – 이 메뉴는 다양한 통계 윈도우들을 표시하기 위한 메뉴 아이템 들을 포함한다. 이것은 captured packets에 대한 요약, 프로토콜 계층 통계를 표시 등을 포함한다

WireShark 둘러보기 - Tool bar : Capture관련 icons : Capture가능한 interface list를 보여준다 : Capture option : Capture 시작/중지/재시도 Packet filter : 환경 설정

WireShark 둘러보기 -Preferences

Packet Capture(1/2) Interface List Capture시 적용 filter Capture를 저장할 파일 Capture 종료 컨디션

Packet Capture(2/2)

Filter(1/2) • 적용할 filter condition을 직접 쓰거나 Expression에서 골라 Apply한다

Filter(2/2)

Analyze(1/2)

Analyze(2/2)

Statistics(1/5)

Statistics(2/5)

Statistics(3/5)

Statistics(4/5)

Statistics(5/5)

실습 – – – – – Youtube 사이트에서 하나의 영상(1분)을 선택하여 다 양한 해상도를 영상을 플레이 패킷을 캡쳐 360, 720, 1080P 해상도 별로 패킷을 캡쳐 Youtube 에서 자신의 컴퓨터로 전송되는 데이터 패킷만 선 택하여 해당 트래픽의 시간대별 전송속도 분석 – Wireshark의 IO Graphs 활용 해상도 별 전송 그래프를 비교 분석하여 Youtube에서 데이 터를 전송하는 메커니즘을 역 분석하여 보고서 작성

보고서에 캡쳐한 데이터 패킷의 일부와 그래프를 첨부할 것

– E-mail 제출 : [email protected]

(3월 24일까지)