Wireshark & Networkminer

Wireshark와 Networkminer를 이용한 악성패킷 분석 : 

http://www.parkjonghyuk.net/lecture/2014-1st-lecture/networksecurity/chap7.pdf

1. Wireshark

가. 다운로드 URL : https://www.wireshark.org/download.html

나. 환경설정

  1) Edit > Preferences > User Interface > Columns 에서 필요한 정보만 표시되도록 컬럼 추가/삭제

  2) View > Coloring Rules에서 패킷을 구분하기 쉽도록 컬러링룰 추가

다. 실시간 패킷 분석

Capture > Interfaces 또는 툴바의 인터페이스 캡쳐 버튼 클릭

라. 디스플레이 필터

ip.addr == {my ip address} 를 적용하면 현재 IP로 송수신되는 패킷들만 조회

ip.addr == {my ip address} && http 를 적용하면 프로토콜이 http 인 것만 필터링 됨

2. Networkminer

wireshark에서 수집한 패킷을 .pcap으로 저장하면 Networkminer에서 분석할 수 있다.

가. 다운로드 URL : http://sourceforge.net/projects/networkminer/files/networkminer/

나. 패킷을 열면 다음과 같은 메뉴들이 있다.

주로 사용하는 기능을 소개하면

Files를 통해 전달되는 패킷속에 있는 이미지, html 파일들을 조회할 수 있고,

Parameters를 통해 Http 패킷속에 GET, POST 방식으로 전달되는 파라미터들의 정보를 조회할 수 있고,

Keywords 기능을 통해 왼쪽에 키워드 입력 후 우측 하단의 Reload Case Files를 누르면 키워드가 포함된 패킷들을 리스팅 할 수 있다.

참고 : 

1. http://www.packetinside.com/2010/05/%EB%84%A4%ED%8A%B8%EC%9B%8C%ED%81%AC-%ED%8F%AC%EB%A0%8C%EC%A7%81-%EB%B6%84%EC%84%9D-%EB%8F%84%EA%B5%ACnetworkminer%EB%A5%BC-%EC%9D%B4%EC%9A%A9%ED%95%9C-%ED%8C%A8%ED%82%B7%ED%8C%8C%EC%9D%BC.html