2010년 2월 23일 화요일

PCAP 파일을 파헤쳐 보자 - 그 두번째 이야기


PCAP 파일 포맷 구조는 복잡한 부분이 크게 없다. 물론, 직접 바이너리 파일을 들여다 볼 일도 드물다. 단순히 패킷 파일을 분석하는 분석가 입장이라면, 와이어샤크 같은 분석기를 통해서 보면 되기 때문에 어려운 부분은 없다. 하지만, 패킷 분석 전문가를 꿈꾸는 당신이라는 PCAP 파일 포맷 정도는 익혀야 하지 않을까?

그렇다면 pcap 파일 포맷을 좀더 쉽게 볼 수 있는 방법은 없을까? 010 에디터(http://www.010editor.com)
의 기능중 템플리트 기능을 사용하면 바이너리 데이터를 템플리트 형식에 맞게 파싱해 준다.

사용하기 위해서는 다음의 사이트에서 PCAP 템플리트를 받아서 프로그램에 등록하자.

그리고 PCAP 데이터를 읽어들이면 아래 그림과 같이 PCAP 헤더 정보와 다수의 레코드를 볼 수 있다.
와이어샤크와 같이 각 패킷 정보를 세부적으로 보여주는 것이 아니라 PCAP 파일 포맷의 관점에서
보여주는 것이므로 포맷 형태를 이해하는데 참고하면 될 것이다.


워낙 포맷 자체가 간단하기 때문에, 이러한 구조로 만들어져 있고 한번 경험 삼아서 살펴보면 될 것이다.

댓글 4개: