Network Packet Analysis[1]


        본 포스팅에서는 네트워크 패킷 분석에 대해서 다룹니다.

        (도구설치와 같은 기초 지식은 본 포스팅에서 다루지 않습니다.)







이번 포스팅에서는 네트워크 패킷 분석을 위한 도구사용법에 대해서 간략히 알아 보도록 하겠습니다.

네트워크 구간에서 일어나는 통신의 패킷을 분석하기위한 도구로는 크게2 가지를 많이 사용합니다. 첫번째로는 와이어샤크이며, 그다음 많이 쓰이는 도구로는 네트워크마이너입니다, 우리는 이번 포스팅에서 두 도구의 간단한 사용법에 대해서 알아 볼 것입니다. 도구의 더 많은 기능을 알고 싶으신 분이라면 해당 도구의 배포 사이트에서 메뉴얼을 받아 확인 하기 바랍니다.






1.WireShark

무료로 공개되는 패킷 분석 도구입니다. 또한 오픈 도구이면서 패킷분석에 있어서 많은 기능을 제공 하고있습니다.

네트워크상에서 일어나는 모든 프로토콜에 대하여 분석을 지원하며, 빠른 분석을 위한 필터링 기능과, 패킷 덤프를 위한 덤프기능도 제공하고있습니다.


  1)메인화면

[그림-1 WireShark 실행화면]


[그림-1]과 같이 WireShark 실행하면, 메인 화면을 확인 할 수 있습니다.(본 포스팅에서는 WireShark Version 1.12로 작성되었습니다.) 직관적으로 확인이 가능하게 인터페이스가 명확하게 보입니다.


빨간박스의 부분을 통해서 간단하게 네트워크 패킷 덤프가 가능합니다.




  2) 패킷분석 화면

[그림-2 WireShark 패킷 분석 화면]


[그림-2]는 실제 덤프된 패킷 분석을 위해 도구를 통해 불러온 화면입니다.

WireShark는 크게 5가지 영역으로 나눌 수 있습니다.

1.상단부분의 노란박스 영역은 메뉴가 있는 영역입니다.

2.두번째로 빨간박스 영역은 패킷을 빠르게 분석 하기위한 필터링을 적용할 수 있는 영역입니다.

3.세번째로 파란박스 영역은 실제 통신간 일어난 패킷의 데이터 영역입니다. 출발지,목적지 정보와 간단한 정보를 확인 가능합니다.

4.네번째로 형광박스 영역은 클릭한 패킷에 대한 세부정보를 볼 수 있는 영역입니다. 패킷에 대한 IP정보,Port정보, MAC정보, Flag정보 등을 확인 가능합니다.

5.마지막으로 남색박스 영역은  해당 패킷에 대한 헥스값을 통해 데이터를 확인 가능합니다.





  3)패킷 분석(1)

[그림-3 WireShark 패킷분석 - HTTP Objects]


[그림-3]과 같이 [File] > export Objects > [HTTP]를 메뉴를 이용하면 분석대상이 되는 패킷에 대하여 빠르게 분석이 가능합니다.


[그림-4 HTTP Objects]


[그림-4]와 같이 URL,Content Type, Filename등을 확인 가능합니다. 특히 Content Type을 통해 파일 카빙시 찾아야 하는 파일을 쉽게 찾을 수 있습니다.



  4)패킷분석(2)

[그림-5 WireShark 패킷분석 - Conversations]



[그림-5]와 같이 [Statistics] > [Conversations]메뉴를 누르면 해당 패킷에 저장되어 있는 세션들을 모두 확인이 가능합니다.



[그림-6 Conversations 확인]]





  5)유용한 기능


[그림-6 TCP Stream and Find Packet]

[그림-6]의 좌측 화면은 패킷의 목록중 하나를 클릭 후 마우스 우클릭을 누르면 나오는 메뉴입니다. 이중 Follow TCP Stream기능은 세션간의 패킷들을 모아 일정한 데이터 구조로 사용자가 보기 좋게 출력 해줍니다.


[그림-7 Follow TCP Stream]




[그림-6]의 우측 화면은 단축키 [Ctrl] + F 를 누르면 나오는 메뉴입니다. 사용자가[분석자] 원하는 내용을 패킷안에서 찾을시 빠르게 찾기위한 기능입니다.




2. NetworkMiner

네트워크 마이너는 유료/무료 버전으로 나뉩니다. 하지만 무료 버전만 해도 기능이 훌륭하게 제공 되며, 네트워크 마이너는 와이어샤크와 다르게 자동으로 분석을 해준다는 장점이 있습니다. 대표적인 기능으로는 메시지 복호화, 파일 카빙 기능이 있습니다.


[그림-8 Network Miner 실행화면]


[그림-8]과 같이 네트워크 마이너를 실행하면 여러 메뉴를 확인 가능합니다. 하지만 네트워크 마이를 쓰는 가장 이유중 하나가 자동으로 파일 카빙기능과, 메시지 복호화 때문에 서브 도구로써 많이 쓰이고 있습니다. 

지원되는 기능으로는 세션분석, 파일카빙, 메시지복호화, 파라미터 분석등의 기능을 제공하고 있습니다.




[그림-9 Network Miner 파일 카빙]


[그림-9]는 네트워크 마이너를 통해 패킷속에서 카빙이 가능한 파일의 리스트를 출력한 화면입니다.










지금까지 네트워크 패킷 포렌식에서 많이 쓰이는 와이어샤크와 네트워크 마이너에서 살펴 보았으며, 다음 포스팅에는 위 도구를 통해 네트워크상 기본이 되는 프로토콜 분석에 대해서 알아보겠습니다.



'Digital Forensic > Network-Forensic' 카테고리의 다른 글

Network Packet Analysis[6]  (0) 2018.03.02
Network Packet Analysis[5]  (0) 2018.02.26
Network Packet Analysis[4]  (0) 2018.02.26
Network Packet Analysis[3]  (0) 2018.02.26
Netwotk Packet Analysis[2]  (1) 2018.02.13

이 글을 공유하기

댓글