네트워크 트래픽 분석 도구 - CapTipper
CapTipper는 HTTP 악성 트래픽을 분석, 탐색 및 부활시키는 파이썬 도구입니다. CapTipper는 PCAP 파일의 서버와 정확히 같은 역할을 하는 웹 서버를 설정하고 발견된 호스트, 개체 및 대화의 분석 및 검사를 위한 강력한 대화형 콘솔과 함께 내부 도구를 포함합니다.
CapTipper는 github를 참조하여 간단하게 다운로드를 할 수 있다. 패킷 분석을 위해 준비한 Pcap을 CapTipper를 실행 할 때 참조하여 불러오면 Pcap 파일 내 URI, 파일들을 추출해 악성 여부를 자동으로 판단해 준다.
- CapTipper 명령어 요약
| 명령어 | 설명 |
| hosts [ID] | 패킷 캡쳐 파일 내의 호스트 별 통신을 한눈에 정리 |
| info [ID] | 오브젝트 ID 별 정보 출력 |
| head [ID] | 오브젝트 별 통신 프로토콜 헤더 출력 |
| body [ID] | 오브젝트 별 통신 내용 출력 |
| ungzip [ID] | 통신 내용이 압축파일일 때 압축 해제 |
| iframes [ID] | 오브젝트 별 통신 내용 중 iframe 태그 검색하여 출력 |
| convs [ID] | 패킷 캡쳐 파일 흐름 전체 출력 |
| hexdump [ID] | 오브젝트 별 통신 내용을 hex 값으로 출력 |
| Dump [ID | all] <Full Path> | 패킷 캡쳐 파일 내의 파일 로컬 저장 |
CapTipper 명령어를 사용하여 패킷 캡처 파일 흐름 및 호스트별 송수신 정보를 확인할 수 있으며 이를 활용하여 악성 경유지를 접속하여 실제 다운로드된 파일 위치를 파악할 수 있다.
참고 사이트
https://github.com/omriher/CapTipper
'Network' 카테고리의 다른 글
| [Network] OSI 7 계층이란?, 개념 및 역활 (0) | 2022.09.03 |
|---|---|
| [Network] 프로토콜 분석기 도구 - NetworkMiner (0) | 2021.07.21 |
| [Network] 네트워크 포렌식 도구 Xplico (0) | 2021.07.19 |
| [Network] Wireshark 통계 분석 (0) | 2021.07.18 |
| [Wireshark] Wireshark display filters 기능 (0) | 2021.07.16 |
