패킷 분석을 처음 접하는 사용자들이, 패킷 파일을 열어 보고는 으레 어려움을 호소한다.
다양한 프로토콜로 많은 내용들이 달려 있으니, 이걸 어떻게 해야 하나 생각이 든다.
패킷 분석의 시작은 일단 불 필요한 패킷 데이터의 제거부터 시작한다. 네트워크 환경에서 발생되는
일반적인 트래픽 정보를 제외하여야 한다는 것이다. 또는 내부에서 사용하는 특정 트래픽이 있다면
그것또한 대상이 될 것이다. 사실 분석의 범위와 대상에 따라 접근 방법이 달라진다.
내가 전혀 모르는 다른 회사 네트워크의 패킷 파일을 받아들인다면 사전 정보가 없기 때문에
일반적으로 발생되는 트래픽 정보를 제외하면서 시작하는 것이 빠를 것이다. 일반적인 트래픽이라
하면 다음과 같은 것들이 해당된다.
- ARP
- Broadcasting
- Multicast
- IPX 및 Netbios
- 스위치간의 통신 프로토콜
- 라우터간의 통신 프로토콜 (HSRP 등)
하지만, 내가 분석하고자 하는 트래픽이 대상이 명확하다면 해당 부분만 필터링 하여
살펴보면 되기 때문에 접근방식은 달라지게 된다. 패킷 분석의 어려움은 내가 그 분석하고자
하는 대상의 네트워크 환경을 정확히 모른다는데에 있다. 그 대상에서 사용하는 특정
프로토콜이 있는지, 어떤 Application 이 동작하여 특정 포트를 사용한다든지, 네트워크 장비 및
구성은 어떤지.. 이 모든 사전 정보가 있어야 보다 정확한 분석을 수행할 수 있다.
어찌되었든, 패킷 분석 시작시 겁 먹지 말고, 필터를 통해 불필요한 패킷 데이터를 제거해 가면서
시작해 보자. 보다 접근이 쉬워질 것이다.
/Rigel
비밀 댓글 입니다.
답글삭제@Anonymous - 2010/08/01 17:08
답글삭제not broadcast and not multicast 와 같은 형태는 와이어샤크에서 캡쳐시 캡쳐필터로 사용할 수 있습니다. 단, 출력필터에서는 문법이 다릅니다. 딱히 broadcast 로 지정한 것이 없기 때문에, 분석하는 형태에 따라서 eth.dst == ff:ff:ff:ff:ff:ff 와 같은 형태로 써야 합니다. 사용하는 분석도구에 따라 맞추서 사용하시면 됩니다. 하지만 때로는 broadcating 같은 것이 문제의 원인이 될 수도 있기 때문에, 처음에는 분석대상과 그 범위를 정확히 하고 불필요한 패킷을 처음 부터 제거하고 시작할지 생각하셔야 합니다.