패킷 분석기에서는 패킷 단위로 정보를 보여주다 보니,해당 정보에 나타나는 정보만을 가지고 빠르게 판단하기에는 한계가 있다. 예를 들어, A 와 B 사이의 통신과정을 ASCII 문자열로 한눈에 쉽게 볼 수 있으면 어떨까? 초기 분석 접근때 빠르게 분석이 가능할 것이다. 와이어샤크에서 제공하는 기능 중 하나인 Follow TCP Stream 기능을 이용하면 A와 B 사이의 통신과정을 한눈에 빠르게 파악할 수 있다.
다음 그림을 보면 HTTP 통신인걸 볼 수 있고, wireshark.org 에 GET 요청을 하고 있다. 빨간색 부분이 클라이언트에서 서버로 요청한 부분이고 그 아래 이어지는 파란색 부분이 서버에서 응답한 부분이다. 서버는 아파치 웹 서버를 사용하고 있음을 알수 있고 출력되는 HTML 문을 볼 수 있다.
패킷 캡쳐된 리스트 화면에서 다음과 같이 오른쪽 클릭을 하여 Follow TCP Stream 을 선택하면 된다. Find 기능을 이용해 문자열을 찾거나 내용을 저장 또는 프린트를 할 수도 있다. 기본적으로는 전체 대화 내용이 출력되며 리스트 박스를 클릭하면 A->B or B->A 로 통신 과정을 따로 떼어서 볼 수 있다. 출력형식은 아스키 형태 또는 HEX 값으로도 볼수 있고 C 배열 형태로도 데이터를 만들어 준다. 각 출력 기능은 분석 형태에 따라서 유용하게 사용될 수 있고, 추후 C Array 를 이용한 활용방법도 언급해 보도록 하겠다.
출력되는 데이터의 대화 내용을 보면 ASCII 로 쉽게 알아 볼 수 있는 것도 있지만, 그렇지 않은 이미지 파일등도 있다. 하나의 통신과정에는 HTML, CSS, 스크립트, 이미지 파일등이 모두 포함된 것이어서 웹 페이지 하나가 요청이 큰 경우에는 출력되는 내용이 많다.
댓글 없음:
댓글 쓰기