본문 바로가기

Network

(8)
[Network] OSI 7계층 & TCP/IP 4 프로토콜 OSI 7계층 & TCP/IP 4계층 비교 TCP/IP 프로토콜에서 네트워크 통신을 위해, 각종 기능을 계층화하고 복수의 프로토콜을 조합하여 실현시킨 것이 TCP/IP 4계층 모델이다. TCP/IP 응용 프로그램 계층 프로토콜을 사용하는 명령을 사용자가 실행하면 일련의 이벤트가 시작됩니다. 사용자의 명령 또는 메시지는 로컬 시스템의 TCP/IP 프로토콜 스택을 통해 전달됩니다. OSI 7계층 PDU TCP/IP Stack Protocol L7 Application Layer DATA Application Layer Telnet, SSH, FTP, SMTP, HTTP, DNS, SNMP… etc L6 Presentation Layer L5 Session Layer L4 Transport Layer Segm..
[Network] OSI 7 계층이란?, 개념 및 역활 OSI 7 계층이란?, 개념 및 역활 OSI 7 계층 이란? 이기종 시스템간의 네트워크 상호호환을 위해 필요한 표준 아키텍처를 정의한 참조모델로서 각 계층별로 표준화를 함으로써 상·하위 계층 간에 인터페이스만 충족시켜주면 다양한 제조사들에 의한 독자적인 계층별 프로토콜의 구현 및 발전을 이룰 수 있다. 주요 용어 정리 개방형시스템(OS) 인터페이스와 프로토콜이 표준화 되어 서로 다른(이기종) 시스템과 상호 연동이 가능한 시스템을 말하며, 이와는 반대로 폐쇄형 시스템(CS)는 독자적인 인터페이스와 프로토콜을 사용하여 이기종 시스템과 호환되지 않는 시스템을 말합니다. 노드(Node) 네트워크에 연결된 장치를 의미한다. 네트워크에 연결된 컴퓨터를 포함하여 네트워크 프린터와 같으 주변기기, 라우터, 스위치, 허..
[Network] 프로토콜 분석기 도구 - NetworkMiner 프로토콜 분석기 도구 - NetworkMiner NetworkMiner는 Windows용 오픈 소스 NFAT(Network Forensic Analysis Tool)입니다( Linux / Mac OS X / FreeBSD 에서도 작동 ). NetworkMiner는 네트워크에 트래픽을 발생시키지 않고 운영 체제, 세션, 호스트 이름, 열린 포트 등을 감지하기 위해 수동 네트워크 스니퍼/패킷 캡처 도구로 사용할 수 있습니다. NetworkMiner는 또한 오프라인 분석을 위해 PCAP 파일을 구문 분석하고 PCAP 파일에서 전송된 파일과 인증서를 재생성/재조립할 수 있습니다. 사용 예시 Youtube와 같은 웹 사이트에서 네트워크를 통해 스트리밍되는 미디어 파일을 추출하고 저장하는데 사용된다. 파일 추출 지..
[Network] 네트워크 트래픽 분석 도구 - CapTipper 네트워크 트래픽 분석 도구 - CapTipper CapTipper는 HTTP 악성 트래픽을 분석, 탐색 및 부활시키는 파이썬 도구입니다. CapTipper는 PCAP 파일의 서버와 정확히 같은 역할을 하는 웹 서버를 설정하고 발견된 호스트, 개체 및 대화의 분석 및 검사를 위한 강력한 대화형 콘솔과 함께 내부 도구를 포함합니다. CapTipper는 github를 참조하여 간단하게 다운로드를 할 수 있다. 패킷 분석을 위해 준비한 Pcap을 CapTipper를 실행 할 때 참조하여 불러오면 Pcap 파일 내 URI, 파일들을 추출해 악성 여부를 자동으로 판단해 준다. - CapTipper 명령어 요약 명령어 설명 hosts [ID] 패킷 캡쳐 파일 내의 호스트 별 통신을 한눈에 정리 info [ID] 오브..
[Network] 네트워크 포렌식 도구 Xplico 네트워크 포렌식 도구 Xplico Xplico 는 NFAT( 네트워크 포렌식 분석 도구)로 패킷 스니퍼 (예: Wireshark , tcpdump , Netsniff-ng )로 수행된 수집 내용을 재구성하는 소프트웨어(오픈 포렌식 분석 도구)입니다 . 프로토콜에 의해 운반되는 데이터의 재구성이 주요 특징이 아닌 프로토콜 분석기(Wireshark) 와 달리 Xplico는 프로토콜의 애플리케이션 데이터를 재구성하는 것을 분명히 목표로서 웹 탐색의 원시 데이터를 갖고 있다고 생각할 수 있는 것을 명확히 하기 위해 모든 웹 페이지와 콘텐츠(쿠키, 이미지, 파일 등등), 프로토콜(IMAP, POP, SMTP 등)과 교환되는 전자메일을 재구성 할 수 있습니다. * 식별가능한 프로토콜(VoIP , MSN , IRC ..
[Network] Wireshark 통계 분석 Wireshark 통계 분석 Wireshark는 캡처한 패킷에 대하여 패킷 파일의 기본적인 통계 정보(시간, 파일 속성, 캡처 OS 정보 등), OSI Layer별 세부적인 데이터, 호스트 사이의 트래픽 통계, 송수신 데이터, 패킷 길이 등을 분석(타입, 정렬 등)하고 출력이 가능하다. 통계 기능 사용 방법 Wireshark 상단 메뉴에서 Statistics 메뉴를 선택하여 사용 가능하다. Properties 기본적인 통계 정보를 알려주는 Properties 기능은 탐지하는 OS의 정보 및 캡처 파일에 시간 등 파일과 필터에 대한 정보를 출력해준다. Protocol Hierarchy OSI layer별 세부적인 데이터를 확인 가능하며 빈도수가 높은 패킷을 찾기 위해 필수적인 기능이다. Conversati..
[Wireshark] Wireshark display filters 기능 Wireshark display filters 기능 Wireshark display filters는 네트워크 영역에서 송수신하는 패킷에 대하여 사용자가 지정한 패턴을 지정하여 확인하고 싶은 패킷만 출력할 수 있다. 이는 수 많은 네트워크 패킷을 정확 명료하게 확인하기 위하여 필수적인 기능이다. 디스플레이 필터는 ip, protocol, port, mac 등 데이터를 간략하게 입력하여 출력하는 방식과 필터 문법에 맞추어 검색하여 출력하는 방식이 있다. 아래는 디스플레이 필터에 대한 문법을 설명한 글이다. Protocol: 사용 가능한 값: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. 프로토콜을 지정하지 않으면 모든 프로토..
[WireShark] Wireshark 정의 및 다운로드 Wireshark 정의 및 다운로드 정의 와이어샤크(Wireshark)는 자유 및 오픈 소스 패킷 분석 프로그램으로 네트워크상에서 캡처한 데이터에 대한 네트워크 상위 레이어 프로토콜의 정보를 제공하고 패킷을 캡처하기 위해 pcap 네트워크 라이브러리를 사용한다. 특징 실시간 네트워크 연결의 유선으로부터 데이터를 포획하고, 이미 포획한 패킷을 기록해둔 파일로부터 데이터를 읽을 수 있다. 실시간 데이터를 이더넷, IEEE 802.11, PPP, 루프백을 포함한 수많은 네트워크로부터 읽을 수 있다. 포획한 네트워크 데이터는 GUI나 터미널 (명령 줄) 버전의 유틸리티 TShark를 통해 탐색할 수 있다. 포획한 파일들은 editcap 프로그램으로의 명령 줄 스위치를 통하여 프로그래밍하듯이 편집하거나 변환할 수..