언제나 휴일

패킷 스니핑 소스캡쳐할 수 있는 인터페이스 찾기char * pcap_lookupdev(char *ebuf);캡쳐 핸들 열기pcap_t *pcap_open_live(char *dev,int csize,int promisc, int msec,char *ebuf);캡쳐하기const u_char *pcap_next(pcap_t handle, struct pcap_pkthdr *header);캡쳐 핸들 닫기void pcap_close(pcap_t *handle); /*pc_sniff.c*/#include void dump(const u_char *packet,int len);int main(){ struct pcap_pkthdr header; const u_char *packet; char errbuf[PCAP_..

자신의 Network IP와 Mask값 확인하기 소스 int pcap_lookupnet(const char *devname, bpf_u_int32 *pnet, bpf_u_int32 *pmask, char *ebuf); //pc_lookup.c#include int main() { char *dev; char errbuf[PCAP_ERRBUF_SIZE]; bpf_u_int32 net_ip; bpf_u_int32 mask; struct in_addr net_addr, mask_addr; if(!(dev = pcap_lookupdev(errbuf))) { printf("%s\n",errbuf); return 1; }//if if(pcap_lookupnet(dev, &net_ip, &mask, errbuf) <..

패키지 전체 업데이트 및 설치공개키 설치root로 계정 변환 후$ wget http://ftp.kreonet.re.kr/pub/Linux/fedora/core/3/i386/os/RPM-GPG-KEY$ wget http://ftp.kreonet.re.kr/pub/Linux/fedora/core/3/i386/os/RPM-GPG-KEY-fedora$ rpm –import RPM-GPG-KEY$ rpm –import RPM-GPG-KEY-fedora$ yum –y update$ vi /etc/ld.so.conf (다음을 추가)/usr/local/lib/usr/lib$ sudo ldconfig libpcap 테스트//test.c : pcap 라이브러를 이용하여 디폴트 인터페이스 장치를 찾는 테스트 코드#inclu..

2.2 ethernet 트래픽 분석이 책에서는 미리 수집한 추적 파일을 이용하여 트래픽 분석을 통해 TCP/IP 프로토콜을 분석합니다. 이를 위해 와이어 샤크에서 제공하는 추적 파일을 다운로드 합시다. 와이어 샤크를 실행한 후에 초기 화면에서 Sample Captures를 선택하세요. 선택하면 와이어 샤크 Sample Captures 웹 페이지가 뜹니다. [그림 3] Sample Captures 선택 [그림 4] 와이어 샤크 Sample Captures 웹 페이지 웹 페이지를 드래그하여 tcp-ethereal-file1.trace 선택하여 추적 파일을 다운로드 하세요. 언제나 휴일 블로그 (www.ehclub.net)의 추적 파일 카테고리에서 다운로드 할 수도 있습니다. (차후에 추가할 카테고리입니다. ..

2.1 ethernet 프로토콜 스택[그림 1] ethernet 프로토콜 스택 ethernet 프로토콜 스택은 목적지 mac 주소, 발신지 mac 주소와 L3 타입 정보로 구성합니다. ethernet의 mac 주소는 6바이트이며 표기할 때는 12:34:56:78:9a:bc 처럼 1바이트씩 16진수로 나타내고 사이에 콜론(:)을 붙여 나타냅니다. L3타입은 통신에 사용하는 네트워크 계층 프로토콜을 나타내며 IPv4는 0x0800이며 ARP는 0x806입니다. 다음은 네트워크 계층 프로토콜에 따른 L3 타입의 값입니다. @ 0000-05DC IEEE802.3 Length Field (0.:1500.) + 0101-01FF Experimental 0200 Xerox PUP (conflicts with 802...

2. Ethernet 프로토콜ethernet은 OSI 모델을 기준에서 데이터 링크 계층을 담당합니다. ethernet은 물리 계층과 데이터 링크 계층의 통신 회선의 접근 제어를 정의하는 IEEE 표준으로 IEEE 802.3 규약이 대표적입니다. ethernet은 빛의 매질로 생각했던 에테리(Ether)에서 유래하였고 근거리 통신망(LAN)에 사용하기 위해 개발한 기술입니다. 지금은 IEEE 802.3 규약으로 표준화하였고 WAN과 LAN에서 모두 활용하고 있습니다. ethernet은 네트워크 장치마다 부여하는 mac 주소를 가지고 실제 물리 회선을 통해 주고 프레임을 주고 받는 것을 담당합니다. CSMA/CD(Carrier Sense Multiple Access with Collision Detectio..

1.2.3 와이어 샤크 수집 화면와이어 샤크를 이용하여 패킷을 수집을 시작하거나 추적 파일을 열면 수집한 패킷들의 정보를 보여주는 수집 화면이 보입니다. 그리고 수집 화면은 타이틀(1), 메뉴(2), 메인 툴바(3), 필터 툴바(4), 패킷 목록(5), 상세 정보(6), 패킷 바이트(7), 상태바(8)로 구성합니다. [그림 11] 수집 화면 타이틀에는 추적 파일 이름과 수집 장치 이름, 와이어 샤크 버전 정보를 보여줍니다. 메인 메뉴 [그림 12] 메인 메뉴 File 메뉴에서는 파일 열기, 저장, 가져오기, 내보내기, 인쇄 등의 작업을 제공합니다.Edit 메뉴에서는 패킷 찾기, 마킹, 무시, 참조 타이머 설정 등의 작업을 제공합니다.View 메뉴에서는 툴바와 창 보이기, Time 컬럼 설정, 색상 설정 ..

1.2.2 와이어 샤크 캡쳐 옵션이번에는 와이어 샤크로 패킷을 수집하기 위해 캡쳐 옵션을 사용하는 것을 알아봅시다. 와이어 샤크를 시작한 후에 첫 화면에서 바로 캡쳐를 시작할 수도 있지만 캡쳐 옵션 툴바 버튼으로 설정할 수도 있습니다. 캡쳐 옵션 툴바 버튼은 메인 툴바의 왼쪽에 있는 다섯 개의 버튼으로 구성하고 있습니다. [그림 7] 캡쳐 옵션 툴바 첫 번째는 인터페이스 목록, 두 번째는 캡쳐 옵션, 세 번째는 캡쳐 시작, 네 번재는 캡쳐 종료, 다섯 번째는 다시 캡쳐 시작입니다. 먼저 캡쳐 옵션을 클릭하세요.(캡쳐 옵션 툴바의 두 번째 버튼 혹은 시작 화면의 캡쳐 옵션) [그림 8] 시작 화면에서 캡쳐 옵션 캡쳐 옵션 창이 뜨면 원하는 캡쳐 옵션을 설정할 수 있습니다. [그림 9] 캡쳐 옵션 창 1. ..

1.2 와이어 샤크 소개통신 프로그램은 표준 프로토콜을 준수하는 소켓 라이브러리를 사용합니다. 실제 통신 프로그램을 작성하는 프로그래머는 소켓 라이브러리가 내부적으로 하는 일을 구체적으로 보기 힘듭니다. 더군다나 전송 계층부터 하위 계층까지는 운영체제나 네트워크 디바이스가 담당하여 제대로 흐름을 확인할 수 없습니다. 하지만 네트워크 보안을 비롯하여 안전하고 효과적인 통신을 위해서는 네트워크 흐름을 파악할 줄 알아야 합니다. 이 책에서는 와이어 샤크를 통해 수집한 패킷을 통해 네트워크 흐름을 파악할 것입니다. 와이어 샤크는 오픈 프로젝트로 전 세계 개발자들의 노력에 의해 만들어졌으며 계속 발전하고 있습니다. www.wireshark.org 에서는 와이어 샤크에 관한 자세한 설명과 개발자 정보 등을 제공합니..

1.1 통신 모델통신 개체 사이에 통신을 효과적으로 진행할 수 있게 표준 기구에서는 역할에 따라 여러 개의 계층으로 나누고 있습니다. 그 중에 대표적인 것이 OSI 모델과 인터넷 프로토콜 스위트, DoD 모델이 있습니다. 1990년 이전에는 개방 시스템 상호 연결 모델인 OSI(Open System Interconnection) 7 계층으로 표준 프로토콜을 정의하였지만 인터넷에서 TCP/IP 프로토콜이 차지하는 비중이 커지면서 OSI 7계층을 모두 구현하지 않았습니다. 이러한 이유로 TCP/IP 프로토콜을 중심으로 인터넷 프로토콜 스위트(Internet Protocol Suite)로 통신 계층을 표현하고 있습니다. 그리고 인터넷 프로토콜 스위트는 TCP/IP 프로토콜 스위트라고도 부릅니다. TCP/IP를..