트래픽 패킷 데이터 분석은 때로는 어려운 일이다. 특히나 분석 데이터가 아주 많을 경우와, 전달받은
패킷데이터의 네트워크 구조를 모르는 경우에는 더욱 그러하다. 앞서 소개한 포스팅에서 설명한 몇가지 도구들이 있기는 한데, 딱히 성에 차지는 않는다. 하지만, 현재 개발중이며 앞으로 더욱 발전해 나가리라 믿는 몇 가지 분석도구들이 있다. 오늘은 그 중에서도 Xplico 라는 것을 소개하고자 한다.
세부정보는 아래 사이트에서 얻을 수 있으며, 도구 이외에도 유용한 정보들을 얻을 수 있을 것이다.
일단 Xplico 의 목적은 인터넷 트래픽 데이터에서 정보를 추출하는 것이다. 예를 들면, POP3, IMAP, SMTP 와 같은 메일 관련 프로트콜에서 메일 정보를 수집한다든지, HTTP 프로토콜에서 웹 관련 정보를 얻는다거나 VoIP 관련 프로토콜을 통해 음성 데이터 정보를 얻는등 인터넷 트래픽 데이터가 모든 대상이 된다.
다만, 현재 나와있는 모든 프로토콜을 지원하지는 않으나 일반적으로 우리가 이용하는 프로토콜을 지원하므로 사용에는 큰 문제가 없다. 참고로 Xplico 홈페이지에서 보면 Xplico 는 네트워크 프로토콜 분석기라고 하지 않는다. 네트워크 포렌직 분석 도구로 언급하고 있다. 앞으로 나 또한 여러분들에게 지속적으로 소개하고 연구해나가고자 하는 방향도 네트워크 포렌직으로 맞춰질 것이다.
무엇보다 이 도구가 궁금한 분들은 다음 경로에서 스크린샷을 통해 미리 기능을 맛 볼 수 있다.
설치방법은 여기서는 생략하고, VirtualBox 이미지를 이용한 간단한 방법을 소개한다. (가상 이미지만 실행하면 되니 기능을 맛보기에는 얼마나 편한 방법인가 ^^)
(소스코드 또는 패키지, VirtualBox 이미지를 받을 수 있다)
이미지를 받은 경우 실행 후, 유저아이디,패스워드, 루트패스워드는 xplico 이며
쉘에서 /opt/xplico/script/sqlite_demo.sh 를 실행하면 데모 형태로 동작된다.
실행한 창에서는 분석되는 데이터 정보등의 통계를 볼 수 있다.
tcp: running: 0/0, subflow:1/50, tot pkt:7966
udp: running: 0/0, subflow:416/450, tot pkt:8316
http: running: 15/148, subflow:0/0, tot pkt:861
pop: running: 0/0, subflow:0/0, tot pkt:0
로컬컴퓨터에서 TCP/9876 포트로 동작하게 되어
브라우저를 띄우고 http://localhost:9876 으로 접속만 하면 Xplico 화면을 쉽게 볼수 있다.
세션 정보들을 보면 HTTP, FTP, DNS, Undecoded 탭에 정보가 있는 것이 보인다.
왼쪽 옆에는 각 메뉴들이 보이는데, 해당 메뉴를 클릭하면 이용가능한 정보가 나온다.
 |  |
여기 글로서는 표현하는데 한계가 있으므로 직접 경험해 보는 것이 좋을것 같다. 본인이 분석할 대상의
PCAP 파일을 집어놓고 어떤 정보가 분석되어 출력되는지 사용해 보면 과연 이 도구가 나에게 유용할 것인지
판단해 볼 수 있을 것이다. 와이어샤크와 같은 분석도구보다는 형태별로 정보를 나누어 쉽게 볼 수 있도록
해주므로 정보를 빨리 찾아볼 수도 있다. 단, 그렇다고 이 도구만을 믿어서는 안된다. 엄연히 분석하여
찾고자 하는 대상에 따라서 사용될 도구는 달라진다.
패킷분석에 익숙하지 않은 사용자라면 이 도구가 오히려 패킷분석에 쉽게 접근할 수 있는 통로가 될 수도 있을것이다. 이 판단은 여러분에게 맡긴다.
난 단지 앞으로 여러분들에게 많은 것을 소개하고, 분석과정을 계속 만들어나갈 뿐이다.
참고로, 여기서 테스트로 이용된 PCAP 파일은 와이어샤크 샘플페이지의 PCAP 데이터를 사용한 것이다.
From Rigel
댓글 없음:
댓글 쓰기