※ 하단 글은 2009년에 작성된 글이며, Windows에서 Linux를 원격으로 연결하는 방법은 아래 링크가 더 유용합니다.
http://j2doll.tistory.com/532 Wireshark와 Putty로 원격 Linux 패킷 캡춰하기
[글/2009년]
Packet Sniffing 등의 용도로 사용되는 ethereal의 후예인 Wireshark는 무료로 제공되기 때문에 더더욱(?) 유용하면서 많이 사용되는 프로그램이다. 그리고, GTK를 지원하므로 윈도우즈 이외에도 리눅스, 맥 등에서 사용가능하다. 자세한 Wireshark 사용 방법은 다른 글을 참조하고, 이 글은 Wireshark를 사용할 줄 아는 이가 원격 타겟의 패킷 정보를 알고 싶은 경우만을 기술한다.
일단 대상은 다음을 대상으로 한다.
- Linux : x86, 32bit
- Winpcap 4.0
- Wireshark 0.99
* 원격 Wireshark 연결 *
1> 테스트 파일은 x86(i386) 32bit Linux 만 지원
2> 타겟 linux에서 rpcapd 실행
# ./rpcapd -n
-n : 사용자 계정없이 연결
-h : 도움말 출력
-4 : ipV4만 지원 (ipv6는 지원하지 않는다.)
: 윈도우즈 Wireshark일 경우,
C:\Program Files\WinPcap\rpcapd.exe 를 실행하면, 인자는 동일하다.
3> 실행후, 데몬인 rpcapd는 포트 2002인 tcp서버로 작동한다.
( -p 옵션을 주면 포트를 조정할 수 있다.)
4> 원격지에 wireshark-setup-0.99.8.exe 를 설치한다.
(wireshark 버전 주의)
5> capture options / capture / interface 에
rpcap://192.168.0.38/eth0
의 형식으로 입력한다.
(192.168.0.38은 ip주소이고, eth0는 타겟의 이더넷 카드 정보이다.)
물론, 존재하지 않는 이더넷인 경우 접속이 실패한다.
6> 연결이 성공하면, wireshark가 capture상태가 된다.
(필요하면, capture filter를 설정하여 정보를 걸러서 보도록 한다.)
not host 192.168.50.25
(위의 Wireshark 필터는 192.168.50.25와 통신하는 내용은 캡춰하지 않음)
'Wireshark' 카테고리의 다른 글
Wireshark와 Putty로 원격 Linux 패킷 캡춰하기 (0) | 2016.09.12 |
---|---|
Mac OS X Snow Leopard 에서 Wireshark 1.2.3 설치 (0) | 2009.11.13 |