8주차 - 네트워크 패킷 분석

네트워크 패킷

• 컴퓨터 네트워크가 전달하는 정형화된 블록
• 데이터들을 전송하기 용이하도록 데이터를 잘라서 보낼 수 있는 데이터 전송단위
• 예를 들어 OSI 7계층

         

   Application Layer에서 주로 데이터를 생성하고 
이 데이터를 다른 PC로 보내기 위해서 데이터들을 패키지화하는 과정이

 Encapsulation
각 층을 지나면서 필요한 정보를 추가시키고 있다

 

• Packet Sniffer
  
  

  

Application Layer에서 생성된 데이터를  Encapsulation하고
그 데이터가 네트워크를 통해 나가기 전에 프레임을 복사해서 분석한다

네트워크 패킷 분석 툴

• WireShark
• TCP Dump 
• Microsoft Network Monitor
• Nagios

네트워크 패킷 분석 툴 응용

• Sniffing
  • 랜카드로 들어오는 전기적인 신호로 다른 이의 패킷을 관찰하는 공격
  • IP필터링과 mac주소 필터링 하지 않는다
  • 수동적인공격 -> 그냥 송신자랑 수신자 사이에 가만히 잇으면서 데이터를 보면서 정보 습득
    
    

 

---

Wire Shark

정의

WinPcap이라는 페킷 캡처 라이브러리를 통해서 자유 및 오픈소스 패킷 분석 프로그램

Network Interfere Card를 통해서 송수신되는 모든 패킷 분석

TCPdump와 유사 , GUI라는 강력한 기능 제공

 

Wire Shark 용도

네트워크 트러블 슈팅
보안문제
프로토콜 구현 디버깅
네트워크 프로토콜 INTERNALS학습

 

 

 

1. 패킷 List 
   • 패킷 탐지 실행 이후에 경과된 시간과 송신.수신IP, 특정패킷에서 사용되는
     패킷의 크기 등 다양한 정보를 알 수 있다
2. 패킷 Details
   • 동영상 기준 왼쪽 아래에 있다
   • 패킷의 실제 정보들, ip address는 어떻게 되어있고 포트는 무엇이고 페이로드 , 패킷의 실제 내용
3. 패킷의 크기
   • 패킷이 몇 바이트를 사용하는 중인지

 

이중에 원하는 패킷을 찾아야한다

패킷필터

이때 사용 할 수 있는게 IP Address뿐 아니라 Source IP Address, Destination IP Address

특정 포트넘버도 사용 가능

그외 기능

Statistics -IO Graphs -> 시간의 흐름에 따른 패킷의 흐름을 보여줘서 디도스 공격 탐지에 사용

 

---

Wire Shark 실습 ( DNS 실습 )

DNS

우리가 아는 도메인 네임과 IP Address를 matching 시켜준다

이런 DNS는 well - known 포트중에 53번 포트를 사용하고 또한 UDP를 사용한다

이걸 사용하여 필터링 즉 우리가 원하는 패킷만을 얻을 수 있다

 

DNS서버와 연결이 되어있어야 패킷이 생기기 때문에 

nslookup 기능을 사용하여 직접 DNS서버와 소통을 할것이다

 

cmd에서 nslookup command를 사용하여 dns서버와 연결하면

패킷의 정보를 알 수 있다