제목과 같이, 여러분들은 패킷 분석을 하다 필요한 정보를 어디서 얻고 있나요? 많은 경우는 검색엔진을 통해 우선 검색을 해 보지 않을까 생각한다. 분석하다 막히는 경우를 보면,
- 접해보지 않은 프로토콜
예를들어, 필자는 HSRP 라는 것을 알고 있는데, 이것을 아는 사람은 얼마나 될까?
- 통신에서 이용된 포트번호
- 알수 없는 Payload
Payload 의 특정 부분 (구분이 갈 만한 문자열) 또는 HEX 값으로 검색
위의 형태등이 있는데. 이때 검색엔진을 통해 위와 같은 내용을 검색해 보면 해당 패킷에 대한 단서를 찾을 수 있다. 사용된 포트번호를 검색해 본다든지, Payload 에 포함된 문구를 검색하다 보면 문제의 실마리를 알 수 있는 경우가 꽤 된다. 이외에 분석도구의 사용방법 및 분석에 필요한 정보를 얻을 수 있는 방법을 몇 가지 정리해 보았더니 다음과 같다.
- 구글의 북 서비스를 이용 (http://book.google.com)
아래 이미지와 같이 관련된 책을 무료로 볼 수 있다. 물론, 제한된 페이지 수가 있지만 그래도 꽤 유용하다.
- 검색엔진의 활용. 구글의 방대한 데이터베이스는 정보를 빠르게 얻게 해 줄 것이다.
포트번호,Payload 등을 검색 키워드로 사용해 본다.
- PacketInside.com 의 검색 활용
패킷 인사이드의 블로그 내용을 우선 검색해 보면 참고할 만한 글이 많을 것이다.
- 각종 분석도구의 도움말 파일 참고
분석도구의 MAN 페이지 또는 도움말 파일은 정리가 잘 되어 있다. 참고로 와이어샤크의 도움말 파일은
도움이 많이 될 것이다.
- 분석 관련 다양한 Case 사례 습득
- 인터넷에 공개된 패킷 파일 예제를 통합 분석 Skill 함양
구글에서 filetype:pcap 으로 검색
자, 이제 패킷 분석의 세계로 Go!Go!
댓글 없음:
댓글 쓰기