와이어샤크 패킷 분석 pdf - waieosyakeu paekis bunseog pdf

안녕하세요, 열공하는 멍짱입니다.

목차 Show

1. 와이어샤크(Wireshark) 다운로드
2. HTTP, TCP 재조립 설정
3. 파일 추출
4. 프레임, 패킷 검색
5. 정리하면서...

최근 와이어샤크(Wireshark) 강의를 듣고 왔는데 그 중에서 정말정말 요점만 하나 적어봅니다.

와이어샤크는 정보보안 하시는 분이면 누구나 아실텐데 '통신에서 발생한 패킷을 수집, 분석'해주는 기능을 갖고 있습니다.

이를 응용하면 디지털 포렌식(이 녀석이 인터넷으로 뭘 검색하고 다운 받았는지), 해킹공격 분석(ARP Spoofing 등)을 할 수 있는데... 복잡한 부분은 서적 구입해서 공부하는게 좋은 것 같고 오늘 포스팅에서는 '추출과 검색' 이것만 알아보려 합니다.

1. 와이어샤크(Wireshark) 다운로드

Wireshark 다운로드(공식) : https://2.na.dl.wireshark.org/win64/Wireshark-win64-3.2.5.exe

다운로드 후에 설치 중 PCAP파일 실행기까지 설치해주고요.

2. HTTP, TCP 재조립 설정

[Edit > Preference > Protocol > HTTP], 그리고 [TCP] 항목을 확인합니다.

- [HTTP] : Reassemble HTTP headers/bodies spanning multiple TCP segments 항목 체크

- [TCP] : Allow subdissector to reassemble TCP streams 항목 체크

이 설정이 중요한 이유는 와이어샤크는 기본 설정으로 모든 패킷을 다 쪼개서 볼 수있게 되어 있는데 세부적인 분석을 할 수 있어서 좋지만 행위자가 다운로드 받은 파일까지도 쪼개진다는 문제가 있습니다.

위에 사진처럼 동일한 파일인데도 여러개로 분리된게 보이고, 이것을 추출(Save)하여 실행시키면 정상적으로 열리지 않는 것을 확인할 수 있습니다.

결론적으로 파일이 온전할 수 있게 패킷을 모두 재조립(Reassemble) 해줘야 합니다.

교육 받으면서 정석으로는 Hex Editor 등을 사용하고 파일 시그니처까지 분리해주는 단계로 파일 복구해주는 과정 등이 있었지만 정석은 정석이고... 와이어샤크에서 패킷 재조립 해주는 좋은 기능이 있으니 위에서처럼 세팅을 해줬습니다.

3. 파일 추출

[File > Export Objects > HTTP] 또는 필요한 프로토콜을 클릭합니다.

이렇게하면 위에서 설정하지 않았을 때와 다르게 같은 이름의 파일이 여러개가 아닌 1개씩만 재조립되어 나옵니다. 각 파일을 클릭하여 Save 또는 Save All을 눌러서 파일을 추출하면 정상적으로 파일이 추출됩니다.

Save All로 모든 파일을 추출해서 폴더에 저장했습니다. 중간에 깨진 것 같은 파일도 여럿 보입니다만 깨진게 아니라 text/javasrcipt, text/html 등의 기타 파일들입니다. 주고받은 통신 행위를 완벽하게는 알 수 없어도 검색, 다운로드 같은 행위 등은 육안으로 쉽게 체크할 수 있습니다.

4. 프레임, 패킷 검색

수업 듣고나니 검색 방법이 많다는 것을 다시 알았는데요. 요리하는데 주걱, 국자, 뒤집개 등 각자 기능이 있듯이 검색옵션도 각자 쓰임새가 다 있습니다. 검색 조건을 어떻게 지정하여 수많은 패킷을 내가 필요한 수준까지 최소화 시키게 하는지가 와이어샤크의 핵심인데요. 하지만 복잡한 것은 책으로 따로 공부하고 기본은 이것만 알아도 될 것 같습니다.

왼쪽(contains) / 오른쪽(matches)

1) Frame contains "검색어"

- 검색어와 정확히 일치하는 것만 가볍게 검색

2) Frame matches "검색어"

- 대소문자 구분없이 더 넓은 범위로 검색

- 정규식을 통한 구체적인 검색 가능

그외에 http.request.method 어쩌고저쩌고 등... 검색옵션이 다양하지만 패스하구요, 어떤 문제에서 특정 힌트나 검색어 등을 받게될텐데 맨땅에 헤딩하는 것보다는 힌트를 이용하여 프레임을 검색해보면 일단 뭐라도 손에 잡힙니다.