본문 바로가기

Security/Network

[2장] 네트워크 패킷 분석 - 툴 설명(Network Miner, CapTipper)

안녕하세요.

칸입니다.


저번 장에서는 Wireshark의 주요 기능들을 알아보았습니다. 이번에는 Network Miner와 CapTipper의 사용법에 대해 알아보도록 하겠습니다.


링크 

OSI 7 Layer : http://aaasssddd25.tistory.com/15?category=617816

TCP/IP      : http://aaasssddd25.tistory.com/16?category=617816

TCP 분석   : http://aaasssddd25.tistory.com/17?category=617816

HTTP 분석  : http://aaasssddd25.tistory.com/18?category=617816


[1장]       : http://aaasssddd25.tistory.com/57?category=617816




※ Network Miner



01 설치


Network Miner는 네트워크 포렌식 도구입니다. 패킷 캡처 기능을 통해서 열려있는 포트나 운영체제, 호스트 이름등 다양한 정보를 얻을 수 있습니다. 다운로드는 밑에 공식 페이지에서 받을 수 있습니다.


링크 : http://www.netresec.com/?page=NetworkMiner





02 실행



다운로드를 받은 후 실행을 하면 위와 같은 화면이 나옵니다.





상단의 [File] - [Open]으로 분석하고 싶은 파일을 넣으면 위 사진과 같이 해당 파일과 관련된 다양한 정보들이 나오게됩니다.






03 주요 기능



03-1 Files 탭




Extension을 보면 복구된 데이터들의 확장자를 확인할 수 있습니다.

확인하고 싶은 Frame을 클릭한 뒤 마우스 우클릭을 하게 되면, Open File과 Open Folder가 있습니다.




Open File을 누르게 되면 복구된 파일을 확인할 수 있습니다.



Open Folder를 누르게 되면 해당 확장자의 복구된 파일들을 확인할 수 있습니다.

 





03-2 Images 탭




Images 탭을 누르면 사용자가 봤던 이미지 파일들을 확인할 수 있습니다. (캐시 파일에 대한 이미지임)






03-3 Parameters 탭





패킷에서 오고간 데이터들(쿠기 정보, 히든 필드(와이어샤크에 탐지가 안되는))을 확인할 수 있습니다.

그렇지만 양이 너무 많아서 일일이 분석하려면 시간이 많이 걸립니다.






03-4 Messages 탭



Messages에서는 오고간 메세지들을 확인할 수 있습니다.


From과 To를 통해 누가 누구에게, 밑에 정보를 통해 어떤 내용을 보냈는지 알 수 있습니다.






※ CapTipper



01 설치


CapTipper는 Python 기반의 악성 트래픽 분석 도구입니다. 트래픽 내에서 파일을 추출할 수 있고, 흐름 분석이 가능합니다.

이외에도, log 명령으로 페이지 탐색 모니터링이 가능하며, --report 옵션을 통해 분석 보고서 생성 기능을 제공합니다.


링크 : https://github.com/omriher/CapTipper






02 실행


 

CapTipper는 Python 기반이기때문에 Python이 기본적으로 깔려 있어야 합니다.


실행을 위해서 Captipper가 깔린 폴더의 주소를 복사한 후




cmd창에서 해당 위치로 이동합니다.





명령어 : CapTipper.py -h


위의 명령어를 입력하여 어떤 기능들이 있는지 확인할 수 있습니다.




분석할 파일을 CapTipper가 설치된 폴더에 넣어주면 분석준비는 끝입니다.






03 사용법





명령어 : CapTipper.py [분석할 파일 명.pcap] -p 4444


해당 명령어를 통해 분석할 파일의 정보를 얻습니다.


 


이처럼 CT>가 생기면 분석이 끝난 것입니다.





명령어 : help


help를 입력하면 분석시에 사용할 기능을 확인할 수 있습니다.




위의 command와 분석시에 맨 왼쪽에 숫자를 기억해뒀다가




명령어 : [command] [파일 넘버]


위 예시처럼, 커맨드 + 파일 넘버 조합을 통해서 분석이 가능합니다.







이번장에서는 Network Miner와 CapTipper의 주요기능에 대해서 알아보았습니다. 

제가 언급한 기능들이 전부는 아니므로 더 궁금하거나 필요한 기능들은 구글에서 검색해보시길 바랍니다!