커맨드라인의 패킷덤프 프로그램으로는 tcpdump 를 많이 사용하는 편이다. 윈도우에는 이와 유사한 Windump 라는 것이 있다. tcpdump 와 같은 형태로 윈도우에서 실행가능한 커맨드라인의 패킷 스니퍼이다. 와이어샤크와 같은 GUI 에 익숙해져 있다면, 커맨드라인의 출력되는 화면은 보잘것 없어 보인다.
어느 블로그에 Windump 와 관련한 괜챦은 스크립트 소개를 보았다. 윈덤프의 출력에 컬러를 입혀 보여주는 것으로 그나마 컬러를 입혀서 보면 보기에는 더욱 좋을 것이다. 방법은 윈도우의 파워셀(PowerShell)을 이용하는 것으로 이것이 설치되어 있어야 한다. 윈도우 7 의 경우는 기본적으로 포함되어 있고 그렇지 않은 경우라면 사이트에서 다운받아 설치하면 된다.
일단 파워쉘 스크립트인 Sniff.ps1 을 다음의 경로에서 다운로드 받는다:
http://blogs.sans.org/windows-security/files/Sniff.zip
압축을 풀고 실행해 보자
.\Sniff.ps1
이걸 그냥 도스창에서 실행하면 실행되지가 않는다. 파워쉘로 실행되어야 하므로 도스창에서 powershell 이라고 치면 파워쉘로 들어간다. 나의 경우는 파워쉘을 관리자 권한으로 실행시켰다. 실행 정책 때문에 관리자 권한이 필요하기 때문이다.
일단 아래와 같이 실행해 보니 권한이 부족하다고 나온다.
현재 실행 정책을 살펴보니 '제한적' 이다.
그래서 임시적으로 실행하기 위해 아래와 같이 제한을 풀었다.
실행정책을 변경한 다음에는 Sniff.ps1 을 정상적으로 실행할 수 있게 된다.
사용할 네트워크 어뎁터를 묻는 명령을 실행할 경우는 아래와 같이 실행하면, 네트워크 카드를 선택한 후 패킷 덤프를 할 수 있다.
* 참고로, Windump.exe 가 설치되어 있어야 한다. Windump 는 윈도우 패스에 잡혀 있으면 실행하는데 전혀 문제 없다. Windump 는 아래 참고 URL 에서 구할 수 있다.
다음 이미지는 아래와 같은 명령을 통해 실행한 화면으로 tcp 트래픽 중 80 번 포트를 덤프하도록 지정한 것이다.
[참고]
1. 윈덤프 컬러 사용 관련 블로그 글
http://blogs.sans.org/windows-security/2009/10/22/windump-color-highlighting/
2. 윈덤프 다운로드
http://www.winpcap.org/windump/
3. 마이크로소프트 윈도우 파워쉘
http://technet.microsoft.com/en-us/powershell
어느 블로그에 Windump 와 관련한 괜챦은 스크립트 소개를 보았다. 윈덤프의 출력에 컬러를 입혀 보여주는 것으로 그나마 컬러를 입혀서 보면 보기에는 더욱 좋을 것이다. 방법은 윈도우의 파워셀(PowerShell)을 이용하는 것으로 이것이 설치되어 있어야 한다. 윈도우 7 의 경우는 기본적으로 포함되어 있고 그렇지 않은 경우라면 사이트에서 다운받아 설치하면 된다.
일단 파워쉘 스크립트인 Sniff.ps1 을 다음의 경로에서 다운로드 받는다:
http://blogs.sans.org/windows-security/files/Sniff.zip
압축을 풀고 실행해 보자
.\Sniff.ps1
이걸 그냥 도스창에서 실행하면 실행되지가 않는다. 파워쉘로 실행되어야 하므로 도스창에서 powershell 이라고 치면 파워쉘로 들어간다. 나의 경우는 파워쉘을 관리자 권한으로 실행시켰다. 실행 정책 때문에 관리자 권한이 필요하기 때문이다.
일단 아래와 같이 실행해 보니 권한이 부족하다고 나온다.
PS C:\PlayGround\Sniff> .\Sniff.ps1
이 시스템에서 스크립트를 실행할 수 없으므로 C:\PlayGround\Sniff\Sniff.ps1 파일을 로드할 수 없습니다. 자세한 내용은 "get
-help about_signing"을 참조하십시오.
위치 줄:1 문자:12
+ .\Sniff.ps1 <<<<
+ CategoryInfo : NotSpecified: (:) [], PSSecurityException
+ FullyQualifiedErrorId : RuntimeException
이 시스템에서 스크립트를 실행할 수 없으므로 C:\PlayGround\Sniff\Sniff.ps1 파일을 로드할 수 없습니다. 자세한 내용은 "get
-help about_signing"을 참조하십시오.
위치 줄:1 문자:12
+ .\Sniff.ps1 <<<<
+ CategoryInfo : NotSpecified: (:) [], PSSecurityException
+ FullyQualifiedErrorId : RuntimeException
현재 실행 정책을 살펴보니 '제한적' 이다.
PS C:\PlayGround\Sniff> Get-ExecutionPolicy
Restricted
Restricted
그래서 임시적으로 실행하기 위해 아래와 같이 제한을 풀었다.
PS C:\PlayGround\Sniff> Set-ExecutionPolicy unrestricted
실행 규칙 변경
실행 정책은 신뢰하지 않는 스크립트로부터 사용자를 보호해 줍니다. 실행 정책을 변경하면 about_Execution_Policies 도움말
항목에 설명된 보안 위험에 노출될 수 있습니다. 실행 정책을 변경하시겠습니까?
[Y] 예(Y) [N] 아니요(N) [S] 일시 중단(S) [?] 도움말 (기본값은 "Y"임): y
실행 규칙 변경
실행 정책은 신뢰하지 않는 스크립트로부터 사용자를 보호해 줍니다. 실행 정책을 변경하면 about_Execution_Policies 도움말
항목에 설명된 보안 위험에 노출될 수 있습니다. 실행 정책을 변경하시겠습니까?
[Y] 예(Y) [N] 아니요(N) [S] 일시 중단(S) [?] 도움말 (기본값은 "Y"임): y
실행정책을 변경한 다음에는 Sniff.ps1 을 정상적으로 실행할 수 있게 된다.
사용할 네트워크 어뎁터를 묻는 명령을 실행할 경우는 아래와 같이 실행하면, 네트워크 카드를 선택한 후 패킷 덤프를 할 수 있다.
PS C:\PlayGround\Sniff> .\Sniff.ps1 -ask
1.\Device\NPF_{8B751B[삭제]-95BF-F2FB6F703EE6} (3Com EtherLink PCI)
2.\Device\NPF_{E849DA[삭제]-BD12-157CFC55BD8B} (NVIDIA nForce MCP Networking Adapter
3.\Device\NPF_{DE78577C-[삭제]9B-E46B98062A8F} (Sun)
Which adapter number? :
1.\Device\NPF_{8B751B[삭제]-95BF-F2FB6F703EE6} (3Com EtherLink PCI)
2.\Device\NPF_{E849DA[삭제]-BD12-157CFC55BD8B} (NVIDIA nForce MCP Networking Adapter
3.\Device\NPF_{DE78577C-[삭제]9B-E46B98062A8F} (Sun)
Which adapter number? :
* 참고로, Windump.exe 가 설치되어 있어야 한다. Windump 는 윈도우 패스에 잡혀 있으면 실행하는데 전혀 문제 없다. Windump 는 아래 참고 URL 에서 구할 수 있다.
다음 이미지는 아래와 같은 명령을 통해 실행한 화면으로 tcp 트래픽 중 80 번 포트를 덤프하도록 지정한 것이다.
PS C:\PlayGround\Sniff> .\Sniff.ps1 "tcp and port 80" -ask
[참고]
1. 윈덤프 컬러 사용 관련 블로그 글
http://blogs.sans.org/windows-security/2009/10/22/windump-color-highlighting/
2. 윈덤프 다운로드
http://www.winpcap.org/windump/
3. 마이크로소프트 윈도우 파워쉘
http://technet.microsoft.com/en-us/powershell
댓글 없음:
댓글 쓰기