본문 바로가기

Tool

네트워크 모니터링 툴(Network-Monitoring Tool)

네트워크 모니터링 툴(Network-Monitoring Tool) :

프로그램들이 외부와 어떤 통신을 하고 있는지 확인하는 용도로 사용한다.

대표적인 툴로 와이어샤크(wireshark)가 있다. (참조 : http://www.wireshark.org/)
무료로 사용할 수 있고 패킷(packet) 캡처 툴로 다양한 프로토콜(protocol)로 전송되는 것드을 분석해서 보여준다.


와이어샤크는 WinPcap 네트워크 제어 라이브러리를 사용하고 있다. 따라서 설치중에 같이 설치된다. 실행후 네트워크 카드를 선택해주고, 필터링할 옵션만 넣어주면 바로 네트워크 패킷들을 캡처한다.


툴바의 첫 번째 버튼을 클릭하면 네트워크 인터페이스를 선택하는 화면이 나타나는데 자신이 사용하는 인터페이스의 start 버튼을 누르면 모든 네트워크상의 패킷들을 보여준다.(자신이 사용하는 인터페이스를 모를경우 패킷의 숫자가 증가되는 것을 선택하면 된다)

양이 많거나 원하는 프로토콜이 있을 경우 필터링 기능을 이용한다.
Capture -> Option -> Capture Filter


단일 프로토콜만 선택 가능하며 선택하지 않으면 전체 프로토콜을 캡처한다.
프로토콜을 골라주면 자동으로 Filter strings 가 채워진다.
설정 후 Start 를 하면 된다.

(1. 소스 IP, PORT      2. 원격 IP, PORT)

위모습은 www.google.com 에 접속한 후이다. HTTP 프로토콜에 맞춰서 보기 좋게 하단에 표시된다.
분석을 해보면 웹서버에 접속한 후 GET 명령을 최상위 위치인 /에 요청하고, 프로토콜은 HTTP/1.1로 했다. 그러자 웹서버로부터 HTTP/1.1 200 OK 라는 메시지를 받았다.
이렇듯 편리하게 주고 받는 패킷들을 파싱하여 보기좋게 정리해서 보여준다.
또한 TCP 스트림만 뽑아서 보려면 패킷에서 우클릭->Follow TCP Stream 을 선택하면 된다.


주고 받은 메시지를 보기 좋게 보여 준다. 캡처된 내용은 cap 파일로 저장되며 다시 불러들여 분석할 수 있다.

(tip : 분석시 패킷이 너무 많을때는 상단의 필터 기능을 이용하여 http로 검색한다. 그러면 의미 있는 데이터만 나타나기 때문에 빨리 찾을수 있다. 또 TCP Stream을 사용하여 그 안에서 검색 기능으로 빠르게 찾을 수 있다)



URL Snooper : http://www.donationcoder.com/Software/Mouser/urlsnooper/index.html


패킷을 캡처할 때에 멀티미디어 관련 내용이 있는지를 자동으로 찾아준다.


심플 모드로 실행되면 옵션도 특별히 없고, 그냥 프로토콜에 따라서 분류시켜주고, URL을 캡처해준다.
고급 설정 모드에서는 프로토콜 필터에서 멀티미디어 관련 패킷만 볼 것인지 키워드 검색을 할 것인지 등의 옵션을 정한다. 하단에는 패킷의 내용이 나타난다.

이 툴은 멀티미디와 관련된 패킷 분석에 특화되있다.
(웹에 게시된 동영상의 URL을 얻을수도 있다)

'Tool' 카테고리의 다른 글

Portable S/W 제작  (1) 2010.02.05
헥스에디터(Hex-Editors)  (2) 2010.01.03
바이너리 분석  (1) 2009.11.07
메모리 패치(Memory Patch)  (1) 2009.11.07
디컴파일러(Decompliers)  (0) 2009.11.07