본문 바로가기
정보보안 지망이!/Windows 심화

Windows2_ ARP와 ICMP with Wireshark

by Edes Kim 2020. 6. 17.

Wireshark : 유선 또는 무선상의 네트워크 통신 데이터를 수집 분석하는 툴

 

+ 용도

1. 침해대응 분석 (모니터링)

: IPS/IDS 패킷 샘플

2. 모의 해킹 (PC -> 서버)

: 어플리케이션 패킷 분석

3. 포랜식 분석

 

* winpcap : 패킷 드라이브

같은 pc, 같은 대역대에서 발생하는 패킷들을 모니터링 모드로 보고 분석하는 프로그램

 

 

필터링 : 통신 데이터 상의 발생하는 패킷들을 모두 다 보는 것은 무리이기에 일부 정보를 이용하여 패킷을 구분하는 것을 말한다.

- 화면 필터링 : 실행후에 필터링을 거치게 한다

- 캡쳐 필터링 : 캡쳐 전에 미리 필터링을 함으로서 필요한 종류만 화면에 출력 (대용량 패킷을 수집할때 사용)

* 화면 필터에 쓰이는 명령어와 캡쳐 필터에 쓰이는건 약간의 문법 차이가 있을수 있다.

캡쳐 필터

ip.addr == 10.0.91.0/24

ip.src == 10.0.91.130                     

(출발지 ip를 지정하여 그 정보만 출력)

ip.dst == 10.0.91.150

 

tcp.port (지정된 tcp.port번호에 대한 패킷을 출력)

udp.port

eth.addr (지정된 MAC주소를 가지고 있는 패킷을 출력)

 

[프로토콜을 이용한 필터링]

http, tcp, udp, dns, tls, arp, icmp, dhcp(bootp), ...

 

[논리 연산자]

and (=&&) : 양쪽 조건이 모두 참인 경우에만 참

or (=||) : 양쪽중 하나라도 참이면 참
not (!) : 입력한 대상 외의 정보들을 출력

ip.addr==10.0.91.130 라고 하면 그 아이피 주소와의 정보만 출력

<ARP>

: Address Resolution Protocol

네트워크 내에 통신을 위한 MAC주소를 알아오는 역할

IPv4에서 주요 핵심동작을 담당하는 프로토콜

해당 물리적 장비가 존재하는지 아닌지도 확인가능

 

APR request : 통신하고자 하는 대상의 MAC주소를 알아오기 위해서 전송하는 ARP 패킷.

                   통신 형태는 Broadcast 방식 ( MAC주소 ff:ff:ff:ff:ff:ff )

                    동일 네트워크에 있는 모든 장비에세 데이터를 전송할때 사용하는 주소 

 

ARP reply : ARP request에 대한 응답으로 대상 장비가 자신의 물리적 주소를 가지고 응답하면서 주소를 알려주게 됨.                    통신 방식은 Unicast

request

Hardware type : 통신환경 ( tocken ring, ...)

opcode : request / reply

Target IP : 정해지지 않다는것은 브로트케스트 라는 것

reply

arp -a

: 테이블 확인 명령어

* 실제 통신할때 가장 중요한 주소는 가변적인 IP가 아닌 MAC주소이다.

ARP의 주소학습 결과는 "ARP cache Table"에 저장되고, 형식은 물리적 주소와 논리적 주소 맵핑결과를 저장한다.

arp -d 는 이 테이블 자료를 지우는 명령어로, 후에 통신을 통해 정보가 업로드 될수 있다.
MAC주소를 통해 정보의 출처를 알수 있다.

< ICMP >

: Internet Control Messasge Protocol

IP나 UDP와 같은 비연결 지향형 프로토콜을 지원하고,

네트워크 환경에 따른 다양한 문제점을 처리하기 위해서 생긴 프로토콜

목적지에 도달하지 못한 그 이유를 설명해준다.

 

* ICMP type (opcode로 표기)

type 8 : echo request

type 0 : echo reply

-> ping

Internet Comtrol Message Protocol 이하가 ICMP이다.
ICMP type 8번으로 요청하면 0번으로 응답

type 5 : redirect ( = 경로 정보 수정 )

           게이트웨이 이중화 작업을 했을 경우 최적 경로를 라우터가 알려주어 경로 정보를 수정하는 ICMP.

 

type 11 : time-to-live exceed (=시간초과) TTL값 만료

 + TTL : 데이타 패킷이 네트워크 상에 생존하는 시간을 의미함.

           TTL 값은 3계층 이상(라우팅하는) 장비들을 지날때 마다  -1씩 증가. ( 크기 : 0 ~255 )

-> tracert(Windows), traceroute(Linux, Unix)

저작자표시

'정보보안 지망이! > Windows 심화' 카테고리의 다른 글

Windows2_ DNS Server 구축  (0) 2020.06.23
Windows2_ 전달자와 조건부 전달자  (0) 2020.06.22
Windows2_ NAT와 DNS (cache 지우기)  (0) 2020.06.19
Windows2_ Routing와 tracert 명령어  (0) 2020.06.17
Windows2_ 윈도우 설치  (0) 2020.06.15

관련글

티스토리툴바