안녕하세요.
칸입니다.
저번 장에서는 Wireshark의 주요 기능들을 알아보았습니다. 이번에는 Network Miner와 CapTipper의 사용법에 대해 알아보도록 하겠습니다.
링크
OSI 7 Layer : http://aaasssddd25.tistory.com/15?category=617816
TCP/IP : http://aaasssddd25.tistory.com/16?category=617816
TCP 분석 : http://aaasssddd25.tistory.com/17?category=617816
HTTP 분석 : http://aaasssddd25.tistory.com/18?category=617816
[1장] : http://aaasssddd25.tistory.com/57?category=617816
※ Network Miner
01 설치
Network Miner는 네트워크 포렌식 도구입니다. 패킷 캡처 기능을 통해서 열려있는 포트나 운영체제, 호스트 이름등 다양한 정보를 얻을 수 있습니다. 다운로드는 밑에 공식 페이지에서 받을 수 있습니다.
링크 : http://www.netresec.com/?page=NetworkMiner
02 실행
다운로드를 받은 후 실행을 하면 위와 같은 화면이 나옵니다.
상단의 [File] - [Open]으로 분석하고 싶은 파일을 넣으면 위 사진과 같이 해당 파일과 관련된 다양한 정보들이 나오게됩니다.
03 주요 기능
03-1 Files 탭
Extension을 보면 복구된 데이터들의 확장자를 확인할 수 있습니다.
확인하고 싶은 Frame을 클릭한 뒤 마우스 우클릭을 하게 되면, Open File과 Open Folder가 있습니다.
Open File을 누르게 되면 복구된 파일을 확인할 수 있습니다.
Open Folder를 누르게 되면 해당 확장자의 복구된 파일들을 확인할 수 있습니다.
03-2 Images 탭
Images 탭을 누르면 사용자가 봤던 이미지 파일들을 확인할 수 있습니다. (캐시 파일에 대한 이미지임)
03-3 Parameters 탭
패킷에서 오고간 데이터들(쿠기 정보, 히든 필드(와이어샤크에 탐지가 안되는))을 확인할 수 있습니다.
그렇지만 양이 너무 많아서 일일이 분석하려면 시간이 많이 걸립니다.
03-4 Messages 탭
Messages에서는 오고간 메세지들을 확인할 수 있습니다.
From과 To를 통해 누가 누구에게, 밑에 정보를 통해 어떤 내용을 보냈는지 알 수 있습니다.
※ CapTipper
01 설치
CapTipper는 Python 기반의 악성 트래픽 분석 도구입니다. 트래픽 내에서 파일을 추출할 수 있고, 흐름 분석이 가능합니다.
이외에도, log 명령으로 페이지 탐색 모니터링이 가능하며, --report 옵션을 통해 분석 보고서 생성 기능을 제공합니다.
링크 : https://github.com/omriher/CapTipper
02 실행
CapTipper는 Python 기반이기때문에 Python이 기본적으로 깔려 있어야 합니다.
실행을 위해서 Captipper가 깔린 폴더의 주소를 복사한 후
cmd창에서 해당 위치로 이동합니다.
명령어 : CapTipper.py -h
위의 명령어를 입력하여 어떤 기능들이 있는지 확인할 수 있습니다.
분석할 파일을 CapTipper가 설치된 폴더에 넣어주면 분석준비는 끝입니다.
03 사용법
명령어 : CapTipper.py [분석할 파일 명.pcap] -p 4444
해당 명령어를 통해 분석할 파일의 정보를 얻습니다.
이처럼 CT>가 생기면 분석이 끝난 것입니다.
명령어 : help
help를 입력하면 분석시에 사용할 기능을 확인할 수 있습니다.
위의 command와 분석시에 맨 왼쪽에 숫자를 기억해뒀다가
명령어 : [command] [파일 넘버]
위 예시처럼, 커맨드 + 파일 넘버 조합을 통해서 분석이 가능합니다.
이번장에서는 Network Miner와 CapTipper의 주요기능에 대해서 알아보았습니다.
제가 언급한 기능들이 전부는 아니므로 더 궁금하거나 필요한 기능들은 구글에서 검색해보시길 바랍니다!
'Security > Network' 카테고리의 다른 글
[3장] 네트워크 패킷 분석 - 실습(HackThePacket) (2) | 2018.03.17 |
---|---|
[1장] 네트워크 패킷 분석 - 툴 설명(Wireshark) (3) | 2018.03.16 |
[4주차] 네트워크보안_프로토콜 분석 II (0) | 2018.03.05 |
[3주차] 네트워크보안_프로토콜 분석 I (0) | 2018.03.05 |
[2주차] 네트워크보안_TCP/IP (0) | 2018.03.05 |