2009년 12월 17일 목요일

패킷 파일에도 다양한 포맷 타입이 존재한다고!

보통 우리가 흔히 분석에 이용할때 패킷 파일을 CAP 파일 또는 PCAP 이라고들 많이 부른다.
하지만 이것은 하나의 포맷 타입일 뿐 이것말고도 다양한 포맷이 존재한다는 사실. Libpcap 을 이용한
프로그램들이 많아지다 보니 유명세를 탔고, 대표적인 프로그램이 바로 tcpdump, WireShark 다.

아래 목록은 이 글을 작성하는 시점에서 와이어샤크가 지원하는 포맷으로 다양한 것이 있음을
알 수 있다. 패킷 프로그램이 모두다 패킷 데이터를 읽을 수 있는 것은 아니니 이점 유의하도록 하자.
하지만, 대표적으로 libpcap 포맷 형태를 많이 따르고 있으므로, 대중적인 것이라 하면 파일을
읽는데 큰 문제는 없을 것이다.

  • libpcap, tcpdump and various other tools using tcpdump's capture format

  • Sun snoop and atmsnoop

  • Shomiti/Finisar Surveyor captures

  • Novell LANalyzer captures

  • Microsoft Network Monitor captures

  • AIX's iptrace captures

  • Cinco Networks NetXray captures

  • Network Associates Windows-based Sniffer and Sniffer Pro captures

  • Network General/Network Associates DOS-based Sniffer (compressed or uncompressed) captures

  • AG Group/WildPackets EtherPeek/TokenPeek/AiroPeek/EtherHelp/ PacketGrabber captures

  • RADCOM's WAN/LAN Analyzer captures

  • Network Instruments Observer version 9 captures

  • Lucent/Ascend router debug output

  • HP-UX's nettl

  • Toshiba's ISDN routers dump output

  • ISDN4BSD i4btrace utility

  • traces from the EyeSDN USB S0

  • IPLog format from the Cisco Secure Intrusion Detection System

  • pppd logs (pppdump format)

  • the output from VMS's TCPIPtrace/TCPtrace/UCX$TRACE utilities

  • the text output from the DBS Etherwatch VMS utility

  • Visual Networks' Visual UpTime traffic capture

  • the output from CoSine L2 debug

  • the output from Accellent's 5Views LAN agents

  • Endace Measurement Systems' ERF format captures

  • Linux Bluez Bluetooth stack hcidump -w traces

  • Catapult DCT2000 .out files

  • Gammu generated text output from Nokia DCT3 phones in Netmonitor mode

  • IBM Series (OS/400) Comm traces (ASCII & UNICODE)

  • Juniper Netscreen snoop captures

  • Symbian OS btsnoop captures

  • Tamosoft CommView captures

  • Textronix K12xx 32bit .rf5 format captures

  • Textronix K12 text file format captures

  • Wireshark .pcapng captures (Experimental)

  • 댓글 1개: