[Network] Sniffing, Wireshark, 무차별모드, Sniffing 방식

공부한 내용 정리하는 공간입니다.

틀린 내용이 있을 수 있습니다.

모든 지적, 첨언 환영합니다.

Sniffing

데이터를 가로채서 보는 것 like 도청

관제사가 하면 모니터링

 

---

Sniffer

스니핑 프로그램

wireshark

 

---

Wireshark

패킷 수집, 분석 프로그램

GUI기반 라인 분석 → 낮은 수집률 → 분석 신뢰도 낮음

    >수집은 다른 프로그램 이용하고 wireshark는 분석용으로 사용

패킷 목록 : 수집된 패킷 목록의 기본 정보 확인

패킷 자세한 정보 : 패킷의 자세한 정보 확인, 1계층은 표시하지 않음

    >[ ] : 메타데이터, wireshark가 분석한 내용으로 오리지널 데이터가 아님

패킷 바이트 : 인코딩된 내용 확인

    >관제에서는 공격 시그니처 체크에 활용

 

---

TCPdump

Linux용 패킷 수집 프로그램

CUI 기반

현업에서 많이 사용

 

---

TShark

Window용 패킷 수집 프로그램

CUI 기반

 

---

무차별모드

데이터 링크 계층(L2)과 네트워크 계층(L3)의 주소 필터링을 해제한 모드

주소 지정에 관계없이 네트워크의 모든 패킷을 전달

유닉스/리눅스 : ifconfig eth0 promisc 로 설정

윈도우 : winpcap(구) / npcap(신) 설치로 설정

 

---

허브 환경에서의 스니핑

허브는 수신한 패킷을 모든 포트로 플러딩 → 허브에 연결된 모든 장비가 동일한 패킷을 수신

별다른 조치 없이 패킷 스니핑 가능

 

---

스위치 환경에서의 스니핑

포워딩(유니캐스트)은 스니핑하기 어려움 → 관제 범위가 좁음

범위를 넓힐 수 있는 합법적인 방법 : 포트 미러링, 허빙 아웃, 탭 사용

 

---

포트 미러링

특정 포트를 미러링(복제)하는 방식

스위치 관리자가 설정

반드시 같은 스위치에 연결되어야 미러링 가능한건 아님, 네트워크 상의 다른 스위치에 연결되어있어도 가능

 

---

허빙 아웃

스니퍼, 타겟, 스위치를 허브로 연결하는 방식

많이 사용하지 않음

 

---

탭 사용

물리적인 장비(TAP)을 사용하는 방식

실제 관제에서 사용