네트워크 분석

eunsiver·2022년 12월 10일

정보보안

목록 보기
1/11

🧩네트워크 분석 툴

  • 프로토콜
  • 디버깅
  • 포렌식

🧩네트워크 패킷

: 컴퓨터 네트워크가 전달하는 데이터의 정형화된 블록

"전송이 용이하도록 잘라서 보낼 수 있는 데이터 전송 단위"

🧩네트워크 Layer(OSI 7계층)

  • Application
  • Presentation
  • Session
  • Transport
  • Network
  • Data-Link
  • Physical

🧩Encapsulation

데이터들이 아래 계층 내려오면서 데이터의 전송을 손쉽게 하기 위한 여러가지 정보들이 추가로 붙게 됨
--> 정보들이 추가로 붙는 과정 : Encapsulation

PC 하나에서 다른 PC로 데이터들을 전송할 때 데이터들을 패키지화 하는 과정


패킷을 분석하면서 실제 동작 방식/내용을 직접 볼 수 있음
-> 프로토콜 이해 도움

🧩Packet Sniffer

  • 메시지의 교환을 볼 수 있음
  • 수동적으로 송신되는 메시지와 수신되는 메시지를 복사해서 보여주는 역할
    -> Header 내용을 보여줌

WireShark : 패킷 스니핑 툴

  • 네트워크 프로토콜 분석 / 수집 / 검사 기능
  • 특정 프로토콜 디자인 / 분석 -> 직접 분석, 새로운 프로토콜 추가 분석
  • 윈도우즈, 리눅스, 유닉스, 맥 버전 등 다양한 운영체제에서 돌아갈 수 있는 버전들이 존재하여 많이 사용됨
  • 네트워크 분석가, 정보보호 엔지니어 사용 多

TCP Dump

  • 네트워크 관찰 및 관제에도 사용되는 상당히 일반적인 네트워크 스니핑 툴
  • 특히! 법원에서도 툴
  • 디지털 포렌식같이 TCP Dump를 사용해서 수집된 자료 같은 경우 법적인 효력이 있어 많이 사용되는 툴
  • 위조나 변조가 상당히 쉽고, 진위를 알아내기 어려움

Microsoft Network Monitor

  • 네트워크 트래픽을 수집 / 조회
  • Microsoft 전용 프로토콜 지원
  • 트래픽을 동시에 수집할 수 있고, 무선으로 모니터링을 할 수 있는 그러한 기능들

Nagios

  • 중요한 시스템, 어플리케이션 그 다음에 서비스의 작동상태를 안전하게 유지할 수 있는 네트워크 모니터링 툴
  • 여러 가지 이벤트, 경고, 보고 기능 포함
  • 메트릭 모니터링 기능
  • 이러한 데이터를 분석해서 실제 관리자가 보기 좋게 해주는 데이터 시각화, 그패프, 트래픽에 대한 분산, MySql 데이터베이스 등의 추가적인 기능도 모니터링 가능

이러한 네트워크 분석 툴 어디에서 사용될 수 있는가?
스니핑

🧩Sniffing 스니핑

  • IP 필터링과 MAC 주소 필터링을 하지 않고 랜 카드로 들어오는 전기적인 신호를 읽어 다른 이의 패킷들을 관찰 할 수 있게 하는 공격
  • 수동적인, passive한 공격
  • 스니핑 공격은 중간에 공격자가 위치해서 가만히 있으면서 하나씩 집어서 데이터들을 보고 여러가지 정보를 습득
  • 수동적으로 가만히 있으면서 여러가 가지 정보 습득
    -> 네트워크 분석 툴을 활용-> 개인정보 습득

🧩WireShark

  • WinPcap이라는 패킷 캡처 라이브러리를 기반으로 자유 및 오픈 패킷 분석 프로그램
  • PC에 설치되어 있는 Network Interface Card를 통해서 송수신되는 모든 패킷을 분석하는데 상당히 유용
  • 가장 많이 쓰이는 네트워크 프로토콜 분석기
  • TcpDump와 유사
  • GUI라는 강력한 기능 제공
  • 많은 산업 / 교육기관의 표준으로 사용

WrieShark의 용도

  • 네트워크 트러블 슈팅: 네트워크 관련 문제 분석/파악
  • 보안 문제 관찰: 네트워크 패킷 분석 및 관찰
  • 프로토콜 구현 디버깅: 프로토콜이 제대로 동작하는지 확인
  • 네트워크 프로토콜 internals 학습

WireShark 캡쳐

  • 패킷 List
  • 패킷 Details
  • 패킷 Bytes

WireShark 기능

  • 특정 IP Address 패킷 검색
    ex) Ip.addr==128.1.1.1
  • TCP 포트 100-150번 사이 사용 패킷
    ex) TCP>100 and TCP<150
  • Statistics-IO Graphs 기능
    시간이 지남에 따라 패킷의 흐름을 보여주기 때문에 디도스 공격을 탐지하는데 상당히 유용하게 활용

🧩Domain Name Service(DNS)

  • 사용하고자 하는 도메인 네임과 그 도메인 네임에 해당하는 IP Addresss에 대한 정보들, 매칭되는 정보들에 대한 내용사용자 ----- 쿼리 ------> DNS 사용자 <---- 응답 ------- DNS
    UDP + 53번 포트 --> UDP port=53

DNS 패킷 검색 방식

  • 목표 프로토콜 패킷: DNS를 하는 패킷
    DNS의 IP Addss를 알고 있다고 하면, 필터에 넣어 캡쳐

Well-kown 포트들

많이 사용되는 네트워크 서비스마다 별도의 유니크한 네트워크 포드들이 사용
DNS 사용 포트 :53번 포트

패킷 필터 기능

Ip.addr=x.x.x.x: IP 주소가 x.x.x.x인 패킷
Ip.src==x.x.x.x: 송신자가 x.x.x.x인 패킷
Id.dst==x.x.x.x: 수신자가 x.x.x.x인 패킷
http: HTTP 포트를 통한 통신
TCP> x and TCP< y: TCP 포트 x-y 사이 패킷

nslookup

도메인 이름과 IP 주소를 확인하는 기능을 가진 네트워크 관리 명령어

profile
eunsiver
Let's study!
다음 포스트

TCP 세션 하이재킹

0개의 댓글