Wireshark란?
네트워크 패킷을 캡처, 트래픽 정보를 수집 하고 분석하는 오픈소스 도구
host1과 host2는 이메일 또는 메신저를 이용해 대화를 주고받음
host3은 이 둘사이의 네트워크로 돌아다니는 패킷을 수신하여 저장함(PCAP 파일 포맷으로)
PCAP(packet capture)는 네트워크 트래픽을 캡쳐하는 API구성임
자체 프로그램으로 네트워크 트래픽을 캡쳐하는 것이 아니고 운영체제에서 지원하는 캡처 라이브러리 이용
UNIX 계열: libpcap
윈도우 계열: winPcap
WireShark 네트워크 이해
스니핑: 상대방 몰래 네트워크를 도청하는 행위
TCP/IP 통신 프로토콜은 데이터 전송의 신뢰성을 보장한다. 데이터 전송 중 일부가 손실되더라도 다시 받고 검증함. 그러나 텍스트 등이 평문으로 전송되기에 스니핑 등의 공격에 매우 취약함
-> 암호화 전송으로 보완(스니핑 해도 어떤 내용인지 알 수 없음)
네트워크 카드 동작
normal 모드
pc1은 pc2에게 데이터를 전송하고자 허브를 통해 연결된 pc들에게 pc2를 알려달라고 요청함 -> 브로드캐스트
pc2는 자신임을 확인하고 pc1에게 자신의 ip를 보냄, 관계없는 pc3는 해당신호들 무시
promiscous 모드
pc3이 자신이 받아야 할 데이터는 아니지만 의도적으로 수신함
1: 두 호스트 간에 주고받은 패킷을 쭉 나열
2: 주고받은 패킷의 내부 헤더 정보(이 패킷들을 어떤 규칙이나 전송 기준으로 주고받았는지)
3: 실제 주고받은 내용을 16진수로 보여줌
Follow TCP stream
tcp나 http로 이루어진 데이터 송수신을 확인한다. 좀 더 이해하기 쉬움
'칼리\메타스플로잇 > 모의침투' 카테고리의 다른 글
| 메타스플로잇 이해 (0) | 2021.05.17 |
|---|---|
| [KISA]주요정보통신기반시설 취약점 상세 가이드 (0) | 2021.03.18 |
| (수정중)[vulnhub]chanakya (0) | 2021.03.16 |
| XSS 취약점 이해 (0) | 2021.02.05 |
| 칼리리눅스 파이썬 버전 변경 (0) | 2021.02.03 |