728x90
반응형

※ 하단 글은 2009년에 작성된 글이며, Windows에서 Linux를 원격으로 연결하는 방법은 아래 링크가 더 유용합니다.


http://j2doll.tistory.com/532  Wireshark와 Putty로 원격 Linux 패킷 캡춰하기



[글/2009년]


Packet Sniffing 등의 용도로 사용되는 ethereal의 후예인 Wireshark는 무료로 제공되기 때문에 더더욱(?) 유용하면서 많이 사용되는 프로그램이다. 그리고, GTK를 지원하므로 윈도우즈 이외에도 리눅스, 맥 등에서 사용가능하다. 자세한 Wireshark 사용 방법은 다른 글을 참조하고, 이 글은 Wireshark를 사용할 줄 아는 이가 원격 타겟의 패킷 정보를 알고 싶은 경우만을 기술한다.

 일단 대상은 다음을 대상으로 한다.

-       Linux : x86, 32bit

-       Winpcap 4.0

-       Wireshark 0.99

 

 * 원격 Wireshark 연결 *

 

 1> 테스트 파일은 x86(i386) 32bit Linux 만 지원

 

 2> 타겟 linux에서 rpcapd 실행

 

   # ./rpcapd -n

 

    -n : 사용자 계정없이 연결

    -h : 도움말 출력

    -4 : ipV4만 지원 (ipv6는 지원하지 않는다.)

   : 윈도우즈 Wireshark일 경우, 
     C:\Program Files\WinPcap\rpcapd.exe 를 실행하면, 인자는 동일하다.

 

  3> 실행후, 데몬인 rpcapd는 포트 2002 tcp서버로 작동한다.

     ( -p 옵션을 주면 포트를 조정할 수 있다.)

 

  4> 원격지에 wireshark-setup-0.99.8.exe 를 설치한다.

     (wireshark 버전 주의)

 

  5> capture options / capture / interface

    

     rpcap://192.168.0.38/eth0

 

    의 형식으로 입력한다.

    (192.168.0.38 ip주소이고, eth0는 타겟의 이더넷 카드 정보이다.)
    물론, 존재하지 않는 이더넷인 경우 접속이 실패한다.



 

  6> 연결이 성공하면, wireshark capture상태가 된다.

     (필요하면, capture filter를 설정하여 정보를 걸러서 보도록 한다.)

    

     not host 192.168.50.25

     (위의 Wireshark 필터는 192.168.50.25와 통신하는 내용은 캡춰하지 않음)

 

 

RemoteWireshark.7z.001

RemoteWireshark.7z.002

RemoteWireshark.7z.003

 


rpcapd.gz

 


 


728x90
반응형

+ Recent posts