패킷 분석이라 하면, 처음에는 막막하기 따름이다. 바이너리 패킷 데이터를 도대체 어디서 부터
분석을 시작해야 하는 것일까? 두꺼운 책을 사다놓고 이론부터 시작일까? 일단 익숙해 져야
친숙하게 접근이 가능할 것이다. 패킷 분석도구를 통해 무조건 파일을 열어보고 한번 살펴보자!
그러면 대략 우리가 흔히 말하는 '감' 이라는 것이 잡히지 않겠는가?
여기서는 몇가지 패킷 분석 프로그램을 소개하겠다. 패킷 분석에 익숙한 사용자라면
아래 프로그램은 이미 들어보았거나 사용해 보았을 것이다. 그만큼 대중적이고,
많이 사용되는 것인 만큼 알고 있으면 유용한 도구들이다.
- WireShark (http://www.wireshark.org)
필자가 가장 좋아하는 프로그램이기도 하고, 네트워크 엔지니어들 사이에서는
대중적으로 많이 사용되고 있다. 일전에는 이더리얼(ethereal) 로 많이 알려져 있었다.
지금은 이름이 와이어샤크로 바뀌어 개발이 계속 진행되고 있다. - tcpdump (http://www.tcpdump.org)
유닉스시스템과 같은 콘솔기반에서 많이 이용되어온 패킷 덤프 프로그램이다.
역사가 길고, 강력한 기능을 지원한다. 윈도우용으로 windump 도 있다.
snoop 은 솔라리스 환경에서 사용되던 것으로 tcpdump 와 비슷한 기능을 제공한다. - Ettercap (http://ettercap.sourceforge.net)
- DSniff (http://www.monkey.org/~dugsong/dsniff)FTP, Telnet, HTTP, POP3 의 패스워드등의 정보 스니핑 도구로 잘 알려진 것으로여러 다양한 네트워크 감사 도구들을 포함하고 있다.
- Ngrep, Ntop (ngrep.sourceforge.net, ntop.org)
유닉스의 grep 과 비슷한 기능을 수행하는 것이다. Ngrep 이다. Input 이 네트워크 인터페이스
라는 점이 다르며 특정한 패턴을 걸러내고자 할때 유용하며, NTOP 은 네트워크 트래픽 현황을
관찰하는데 좋다. - Microsoft Network Monitor (http://blogs.technet.com/netmon/)
MS 에서 제공하는 네트워크 분석 도구로 WireShark 만큼의 다양한 기능을 제공한다.
특히, SMB 와 같은 윈도우에서 많이 사용되는 패킷 분석에는 더욱 유용할 수 있다.
SecTools.org 사이트에서 공개하고 있는 TOP 11 패킷 스니핑 프로그램을 참고해도 좋다.
역시나 #1 을 차지하고 있는 와이어샤크다.
[출처] sectools.org
이외 필자가 아직 많이 써 보지는 않았지만, 나름 깔끔한 인터페이스를 제공하는 Packetyzer 도
사용해 볼 분들은 써 보기를 바란다. 과거의 이더리얼을 기반으로 개발되었다.
두번째 방문입니다. 상세하게 잘 설명해놓으셔서 잘 보고 갑니다.:D 감사합니다.
답글삭제@Glo - 2010/10/27 14:15
답글삭제방문해 주셔서 감사합니다 ^.^