패킷 분석 예제

By August 2, 2019Uncategorized

필터를 적용하는 가장 기본적인 방법은 창 상단의 필터 상자에 입력하고 적용(또는 Enter)을 누르는 것입니다. 예를 들어 “dns”를 입력하면 DNS 패킷만 표시됩니다. 당신이 입력을 시작할 때, Wireshark는 당신이 당신의 필터를 자동으로 완료하는 데 도움이됩니다. NETRESEC는 pcaps를 생성하거나 활용하는 다양한 네트워크 모니터링 및 분석 도구를 만드는 회사입니다. 그들은 다양 한 페이지와 연구 소스에서 다른 pcap 저장소에 대 한 링크의 큰 목록을 함께 넣어 했습니다. TShark는 tcpdump와 와이어 샤크 사이의 매우 유용한 십자가입니다. Tcpdump는 데이터 수집에 탁월하며 원하는 데이터만 외과적으로 추출할 수 있지만 분석에 얼마나 도움이 되는지에 제한이 있습니다. Wireshark는 수집 및 분석 모두에서 훌륭한 작업을 수행하지만 사용자 인터페이스가 많기 때문에 헤드리스 서버에서는 사용할 수 없습니다. 상어를 입력; 캡처하고 분석하지만 명령줄에서 후자를 수행합니다.

이제 BPF 규칙의 기본 을 이해했습니다, 우리는 BPF 내에서 고급 기능 중 일부를 다룰 것입니다. 이전 예제는 프로토콜 및 포트 사용과 관련된 규칙 구문에 대한 기본적인 이해를 제공해야 합니다. 다음 두 예제는 괄호를 사용하여 포트 정의 또는 네트워크 주소와 같은 패킷 엔터티를 캡슐화하는 규칙을 표시합니다. 예제 클리어텍스트 필터는 포트 21 또는 23, 텔넷 및 FTP로 향하는 모든 TCP 트래픽을 각각 기록합니다. 이 규칙은 와이어를 가로질러 이동하는 인증 자격 증명을 기록하는 데 사용할 수 있으므로 드문 일이 아닙니다. 예제 네트워크 필터는 192.168.0.0/16 네트워크로 향하는 10.1.2.0/24 네트워크의 소스로 IP 트래픽을 기록합니다. 패킷 스니퍼는 해커에 의해 사용됩니다. 이러한 도구는 네트워크를 공격하고 문제를 해결하는 데 사용할 수 있습니다. 패킷 스니퍼는 전송 중 데이터를 훔치는 데 도움이 되는 도청으로 사용할 수 있으며 네트워크에서 사용자를 사취하기 위해 전송 중 데이터를 변경하고 트래픽을 전환하는 “중간에 있는 사람” 공격에도 기여할 수 있습니다. 이러한 형태의 무단 액세스로부터 네트워크를 보호하기 위해 침입 감지 시스템에 투자한 다음 트리의 모든 부분을 확장하여 각 패킷의 각 프로토콜에 대한 자세한 정보를 볼 수 있습니다. 트리에서 항목을 클릭하면 바이트 뷰에서 해당 바이트가 강조 표시됩니다. TCP 패킷이 선택된 예는 그림 6.1, “볼 때 선택된 TCP 패킷이 있는 와이어샤크”에 나와 있습니다.