지금까지 소개한 패킷분석 프로그램은 대부분 텍스트 형태였다. 만약 HTML 형태로 나오면 어떨까?
분석대상에 따라서 달라지겠지만, 때로는 간단하게 텍스트 형태가 편할 수도 있고, 데이터 내용이 많으면
좀더 쉽게 정리되어 볼 수 있는 HTML 형태가 편할수도 있을 것이다. 이것은 분석가의 판단에 따라서
상황에 맞는 것을 선택하면 된다.
일단, 지금 소개하고자 하는 것은 'pcapline' 이라는 것으로 패킷을 분석해 HTML 형태로 만들어주며
세션별로도 구분해준다. pcapline 은 파이썬으로 작성되어 있으며, 다음 경로에서 받을 수 있다.
실행은 분석할 PCAP 파일을 지정해 주는 것으로 끝난다.
# ./pcapline.py test.pcap
[*] Pcapline v0.9
[*] Processing pcap
[*] Generating report
분석이 완료되고 리포트가 생성되면 해당 폴더(실행한 파일이름의 output )에 아래와 같이 서브디렉토리가 존재하고 index.html 이 있다.
# ls -l
total 120
drwxr-xr-x 2 rigel rigel 4096 2010-07-28 23:37 0001
drwxr-xr-x 2 rigel rigel 4096 2010-07-28 23:37 0002
drwxr-xr-x 2 rigel rigel 4096 2010-07-28 23:37 0003
drwxr-xr-x 2 rigel rigel 4096 2010-07-28 23:37 0004
drwxr-xr-x 2 rigel rigel 4096 2010-07-28 23:37 0005
drwxr-xr-x 2 rigel rigel 4096 2010-07-28 23:37 0006
drwxr-xr-x 2 rigel rigel 4096 2010-07-28 23:37 0007
drwxr-xr-x 2 rigel rigel 4096 2010-07-28 23:37 0008
drwxr-xr-x 2 rigel rigel 4096 2010-07-28 23:37 0009
drwxr-xr-x 2 rigel rigel 4096 2010-07-28 23:37 0010
drwxr-xr-x 2 rigel rigel 4096 2010-07-28 23:37 0011
drwxr-xr-x 2 rigel rigel 4096 2010-07-28 23:37 0012
drwxr-xr-x 2 rigel rigel 4096 2010-07-28 23:37 0013
drwxr-xr-x 2 rigel rigel 4096 2010-07-28 23:37 0014
drwxr-xr-x 2 rigel rigel 4096 2010-07-28 23:37 0015
drwxr-xr-x 2 rigel rigel 4096 2010-07-28 23:37 0016
drwxr-xr-x 2 rigel rigel 4096 2010-07-28 23:37 0017
drwxr-xr-x 2 rigel rigel 4096 2010-07-28 23:37 0018
drwxr-xr-x 2 rigel rigel 4096 2010-07-28 23:37 0019
drwxr-xr-x 2 rigel rigel 4096 2010-07-28 23:37 0020
drwxr-xr-x 2 rigel rigel 4096 2010-07-28 23:37 0021
drwxr-xr-x 2 rigel rigel 4096 2010-07-28 23:37 0022
drwxr-xr-x 2 rigel rigel 4096 2010-07-28 23:37 0023
drwxr-xr-x 2 rigel rigel 4096 2010-07-28 23:37 0024
drwxr-xr-x 2 rigel rigel 4096 2010-07-28 23:37 0025
drwxr-xr-x 2 rigel rigel 4096 2010-07-28 23:37 0026
drwxr-xr-x 2 rigel rigel 4096 2010-07-28 23:37 0027
drwxr-xr-x 2 rigel rigel 4096 2010-07-28 23:37 0028
-rw-r--r-- 1 rigel rigel 8010 2010-07-28 23:37 index.html
index.html 을 브라우저에서 읽어들이면 아래와 같은 분석 보고서를 볼 수 있다. 호스트별로 구분되어 있고, 전송된 데이타량 그리고 해당 패킷이 어떤것인지 나타난다. 여기서 이제 각 Flow 를 선택하게 되면 세부적인 정보를 더 볼 수 있게 된다. (참고로, 여기서 사용된 것은 랜덤하게 IP 를 변경한 것이다)
세부 정보를 선택했더니, 더 자세한 내용들이 나타난다. 스트링 데이터도 볼 수 있고, HEX 값도 볼 수 있다.
각 요약 정보는 굳이 설명하지 않더라도 어떤 내용인지 쉽게 이해가 될 것이다.
HTML 형태의 보고서로 만들어 주므로 웹 브라우저 등이 있어야 하는 불편함은 있지만, 어떤 면에서는 더욱 쉽게 내용을 확인할 수 있는 방법을 제공해 준다. 파이썬이 설치되어 있다면 한번 사용해 보는 것도 괜챦다.
혹시 프로그램이 제대로 실행되지 않는다면, 설치된 파이썬 버전은 어떻게 되는지 확인해 보자. 파이썬 2.5 버전을 사용하는 경우에는 실행시 오류가 발생된다. 최신 버전인 2.7 을 사용하면 문제 없을 것이다. (2.6 도 OK)
비밀 댓글 입니다.
답글삭제@Anonymous - 2010/08/22 14:35
답글삭제scapy 모듈은 설치되어 있으시죠? 혹시 어떤 버전을 사용하시나요?
scapy 가 설치되었는데 인식못한다면,
from scapy import *
로 해 보세요. 말씀하신 에러는 아마 나지 않을것 같습니다. 또 파이썬 버전은 어떤걸 사용하시나요? 저도 처음 설치시에 사용한 버전이 2.5 였는데, 같은 에러가 나왔습니다. 위와 같이 하여 해당 오류는 해결할 수 있지만 마음 편하게 2.6 이상 버전으로 사용하시는게 좋을것 같습니다 :-)
비밀 댓글 입니다.
답글삭제@Anonymous - 2010/08/24 07:28
답글삭제pcapline.py 은 이 자체가 파이썬으로 만들어진 간단한 스크립트 형태라서 따로설치를 말씀해 드릴것이 크게 없습니다. 이게 필요로 하는 것은
- 파이썬 2.6 이상
- Scapy 2.1.0
- 'file' - *NIX 의 파일 명령어
입니다. 이것만 제대로 설치되어 있으면 실행에 큰 문제가 없습니다. 제가 처음에 실행하면서 겪은 내용을 공유해 드리자면,
파이썬이 2.5 여서 실행하면 오류가 뜹니다. 이걸 수동으로 고치기에는 귀챦아서 겸사겸사 파이썬 2.7 로 업그레이드 하였습니다.
그리고, 블로그 글에도 있는 중간에 잘린 PCAP 파일을 가지고 하면 제대로 된 결과가 안 나옵니다. 패킷대회를 위해서 만들어 놓은 것이라, Exception 등 퍼펙트 하지가 않습니다. 즉, 필요(사용용도)에 따라서 적절한 수정도 필요할것 같습니다.
제작자가 그 당시 만들고 기술한 URL 은 다음 사이트로 방문하시면 됩니다.
http://forensicscontest.com/contest06/Finalists/Wesley_McGrew/narrative.txt
컴파일을 거치고 되는 형태가 아니다 보니 세부적으로 설치라고 설명드릴게 별로 없네요. 파이썬과 Scapy 만 설치되어 있으면 실행에 큰 이슈가 없습니다.