1. Sniffing
1.1. 정의
sniffing = 네트워크 트래픽 도청하는 과정
sniffer = 도청 프로그램
wireshark = 패킷 수집 + 패킷 분석 ⇒ wireshark 결과물은 스니핑 침해 증거물로써 법적으로 보호받는다.
1.2. 환경구성
패킷수집과 패킷분석 툴
| LINUX | MS-Window | |
|---|---|---|
| 패킷수집 | TCPdump | TShark |
| 패킷분석 | Wireshark | Wireshark |
1.3. Sniffing 방법
스니핑 방법은 크게 두 가지로 나뉜다.
- 허브 환경에서 스니핑 방법
- 스위치 환경에서 스니핑 방법
1) 포트미러링
- 관제범위를 늘리는 방법 중 가장 쉬운 방법
- 스위치 담당자에게 요청해야 한다.
- 관제사와 스위치가 같은 포트에 물려있을 필요는 없다.
2) 허빙 아웃(Hubbing Out)
- 허브를 추가해 관제범위를 늘리는 방법
- 스위치 담당자에게 미리 말해야 한다.
- 일반적으로 사용되는 방법은 아니다.
3) 탭 사용 (Tapping)
4) Aggregared Tap
- 스위치 담당자와 의논 X
- 허브처럼 Blocking될 위험 X
- 휴대용 탭을 이용해 관제하는 경우 있음
- 허브 같은 탭을 이용해 관제하기도 한다(=Network Tap)
2. 무차별모드
2.1. 정의
- 데이터 링크 계층과 네트워크 계층의 주소 필터링을 해제한 모드
- 주소 지정에 관계없이 호스트의 프로세서에 모든 패킷을 전달
LAN카드는 일반모드와 무차별모드 로 나뉜다. 일반적으로 LAN카드는 일반모드로 설정되어 있기 때문에 스니핑에 성공한다고 하더라도 바로 패킷을 받아들이는게 아니기 때문에 LAN카드를 무차별모드 로 변경해야한다.
2.2. 무차별모드로 전환 방법
무차별모드로 전환하려면 Npcap 설치가 필요하다.
Npcap은 Wireshark 설치 시 함께 설치할 수 있다.
공부 기록