1. 스니핑
2. 프러미스큐어스(Promiscuous mode) 모드
3. 패킷 스니핑 도구
4. TCPdump
1) 개념
2) tcpdump사용
5. 실습
1. 스니핑
- 네트워크상에서 자신을 목적으로 하지않는 패킷을 탐지하는 행위
- 랜카드가 자신이 목적지가 아닌 패킷을 상위 레이어로 전송하는 모드
- 고가용성 패킷 스니핑 장비는 네트워크 감시와 분석을 위해서 사용됨
2. 프러미스큐어스(Promiscuous mode) 모드
ifconfig [장치명] [+/-] promisc : 장치의 프러미스큐어스 모드를 활성화[+] 하거나 비활성화[-] 한다. default는 활성화이다.
3. 패킷 스니핑 도구
- 와이어샤크, TCPDUMP등 다양한 스니핑 프로그램이 있다.
- GUI 인터페이스의 손쉬운 운영이 가능하다.
- 캡쳐를 위한 필수 라이브러리는 Pcap, WinPcap가 있고, 스니핑 프로그램은 라이브러리를 공용한다. 라이브러리는 프러미스큐어스 모드(Promiscuous mode)에서 패킷에 대한 캡처를 진행한다. windows의 경우 OS레벨에서 프러미스큐어스 모드를 지원하지 않지만 linux의 경우에서는 OS레벨에서 프러미스큐어스 모드를 지원한다.
- 필터링 기능으로 다양한 조건의 패킷을 스니핑 할 수 있다.
4. TCPdump
1) 개념
- TCPdump는 관리를 위한 툴로 Snort의 기반이 된다. 탐지에 관련된 Ebox와 관계가 깊다.
- 이더넷의 모든 패킷을 다양한 형식으로 캡쳐한다.
- 시스템들 사이에 송수신 되는 패킷 헤더 혹은 패킷 전체 캡쳐
- 특정 포트번호 (혹은, 특정 서비스)로 송수신 되는 패킷 헤더 혹은 패킷 전 체를 캡쳐
- 캡쳐된 내용을 특정 파일에 저장할 수 있다.
- 설치 확인
# rpm -qa | grep tcpdump tcpdump-3.XXX
# yum list tcpdump*
2) tcpdump사용
- 명령 # tcpdump -[옵션 값], …
- 옵션
- i [장치명]
- tcp port [포트번호]
- [host|dest|src] [ip] : dest는 목적지 주소가 IP인 패킷만 확인한다. src는 발신지 주소가 IP인 패킷만 확인한다. host는 목적지 주소, 발신지 주소가 IP인 패킷을 확인한다.
- xX : 패킷의 내용전체 캡쳐
- w : 내용을 파일로 저장 (r : 읽기)
ex> # tcpdump -xX -i eth0 tcp and host 192.168.10.1
# tcpdump -xX -i eth0 arp and dst host 192.168.10.3
# tcpdump -xX -i eth0 tcp port 23 and src host 192.168.10.3
# tcpdump -xX -i eth0 -w dump.cap
5. 실습
| IP | 역할 |
| 192.168.111.29 | Client |
| 192.168.111.26 | 공격자 |
| 192.168.111.152 | Telnet Server |
tcpdump결과이다.
'교육 > Security' 카테고리의 다른 글
| Day 71 (icmp redirect) (0) | 2020.03.09 |
|---|---|
| Day 71 (ARP Spoofing) (0) | 2020.03.09 |
| Day 70 (Scan) (0) | 2020.03.06 |
| Day 69 (John The Ripper) (0) | 2020.02.28 |
| Day 69 (파라미터설정_20200228) (0) | 2020.02.28 |
