스니핑

* 스니핑

- network상에서 자신을 목적으로 하지않는 패킷을 탐지하는 행위

 

프러미스큐어스 모드(Promiscuous mode)
- 랜카드가 자신이 목적지가 아닌 패킷을 상위 레이어로 전송하는 모드
- 유닉스는 OS 레벨에서 제공한다.
- 고가용성 패킷 스니핑 장비는 네트워크 감시와 분석을 위해서 사용

 

- # ifconfig [장치명] [+/-] promisc
  -> 장치의 프러미스큐어스 모드를 활성화 하거나 비활성화 

 

# ifconfig eth0 promisc

# ifconfig eth0

 

패킷 스니핑 도구

- 다양한 스니핑 프로그램
  -> 와이어샤크, TCPDUMP…
- GUI 인터페이스의 손쉬운 운영 가능
- 캡쳐를 위한 필수 라이브러리 : Pcap, WinPcap
  -> 프러미스큐어스 모드(Promiscuous mode)에서 패킷에 대한 캡쳐를 진행.
  -> windows의 경우 OS레벨에서 프러미스큐어스 모드를 지원하지 않음.

- 필터링 기능으로 다양한 조건의 패킷을 스니핑 할 수 있다

 

* TCP DUMP

- 관리를 위한 툴로 Snort의 기반이 된다.

 

기능
- 이더넷의 모든 패킷을 다양한 형식으로 캡쳐.
  -> 시스템들 사이에 송수신 되는 패킷 헤더 혹은 패킷 전체 캡쳐
  -> 특정 포트번호 (혹은, 특정 서비스)로 송수신 되는 패킷 헤더 혹은 패킷 전체를 캡쳐
  -> 캡쳐된 내용을 특정 파일에 저장할 수 있다.

 

설치 확인
# rpm -qa | grep tcpdump

 

명령
# tcpdump -[옵션 값], …

 

옵션
- i [장치명]
- tcp port [포트번호]
- host [ip]
- xX : 패킷의 내용전체 캡쳐
- w : 내용을 파일로 저장 (r : 읽기)
ex)

# tcpdump -xX -i eth0 tcp and host 192.168.10.1

// 192.168.10.1과 통신하는 tcp 패킷
# tcpdump -xX -i eth0 arp and dst host 192.168.10.3

// 19292.168.10.3번으로 도착하는는 arp 패킷 

# tcpdump -xX -i eth0 tcp port 23 and src host 192.168.10.3

// tcp port23번을 사용하고 192.168.10.3에서 출발하는 패킷
# tcpdump -xX -i eth0 -w dump.cap

// dump.cap로 저장