728x90

윈도우즈에서 와이어샤크를 이용한 원격 패킷 캡춰

https://github.com/JayTwoLab/wireshark-remote-command-win

개념

다음과 같은 환경에서 패킷을 캡춰하는 명령입니다.

리눅스에 GUI가 없다면, 패킷 분석은 어렵습니다.
이 명령 파일을 사용하면 Windows에서 분석을 수행 할 수 있습니다.

윈도우즈 (내 PC, 호스트 운영체제)

프로그램 설치하는 방법
Wireshark
- https://www.wireshark.org/download.html 에서 프로그램 다운로드
- 윈도우즈 종류(32bit/64bit)를 선택한 후, 와이어샤크를 설치한다. (주의: 종류를 혼동하시면 안됩니다!)
- NOTICE : wireshark 2.4.6를 사용하세요.
  - https://www.wireshark.org/download/win64/all-versions/
putty
- https://www.chiark.greenend.org.uk/~sgtatham/putty/ 에서 프로그램 다운로드
- 윈도우즈 종류(32bit/64bit)를 선택한 후, 푸티를 설치한다. (주의: 종류를 혼동하시면 안됩니다!)
- NOTICE : 구형 putty 를 사용하세요!
  - https://the.earth.li/~sgtatham/putty/0.68/w32/putty-0.68-installer.msi
  - https://the.earth.li/~sgtatham/putty/0.68/w64/putty-64bit-0.68-installer.msi

리눅스 (원격 시스템, 대상 운용체제)

프로그램 설치하는 방법
tcpdump
- sudo yum install tupcump (Fedora, CentOS, Redhat)
- sudo apt-get install tcpdump (Ubuntu, Debian)
- 또는 소스코드를 이용하여 설치도 가능합니다. http://www.tcpdump.org/
pcap
- 대부분의 경우 tcpdump를 설치하면 함께 설치 됩니다.
- sudo yum install libpcap (Fedora, CentOS, Redhat)
- sudo apt-get install libpcap (Ubuntu, Debian)
ssh
- OpenSSH 서버 설치하기
  - sudo apt-get install openssh-server (Ubuntu)
    - sudo service ssh status (openssh 서버 상태 점검)
    - sudo service ssh restart (openssh 서버 재구동)
  - sudo dnf install openssh-server (Fedora. yum install openssh-server 로 설치할 수도 있음)
    - sudo systemctl start sshd.service (openssh 서버 구동)
    - sudo systemctl enable sshd.service (openssh 서버 사용 가능)

윈도우즈에서 명령 제작

다음과 같은 명령 파일(*.cmd)을 작성합니다:

cmd

@REM ----------------------------------------------------
@REM remotecap.cmd
@REM   Example command for captruing eremote network packet
@REM  using wireshark and tcpdump.
@REM   First written by j2doll. September 10th 2016.
@REM   https://github.com/j2doll/wireshark-remote-command-win
@REM   http://j2doll.tistory.com
@REM ----------------------------------------------------
@REM install putty and wireshark on your windows pc.
@SET PLINK_PATH="C:\Program Files\PuTTY\plink.exe"
@SET WIRESHARK_PATH="C:\Program Files\Wireshark\Wireshark.exe"
@SET REMOTE_SERVER=192.168.0.10
@SET REMOTE_ACCOUNT=root
@SET REMOTE_PASSWORD=password1234
@SET REMOTE_INTERFACE=eth0
@REM execute command
%PLINK_PATH% -ssh -pw %REMOTE_PASSWORD% %REMOTE_ACCOUNT%@%REMOTE_SERVER% "tcpdump -s0 -U -w - -i %REMOTE_INTERFACE% not port 22" | %WIRESHARK_PATH% -i - -k

환경 변수를 환경에 맞추어 변경할 수 있습니다.
- 리눅스
  - REMOTE_SERVER : 리눅스 ip (192.168.137.18 등)
  - REMOTE_ACCOUNT : 리눅스 계정 (root 계정을 사용하세요. (또는 슈퍼유저))
  - REMOTE_PASSWORD : 리눅스 계정의 암호
  - REMOTE_INTERFACE : 리눅스 이더넷 인터페이스 (eth0, wlan0 등)
    - 만약 이것이 무엇인지 모르시면 'ifconfig' 명령을 리눅스에서 입력해 보세요.
- 윈도우즈
  - WIRESHARK_PATH : 설치된 와이어샤크 실행 파일이 있는 경로 (wireshark.exe).
  - PLINK_PATH : 설치된 와이어샤크 plink 파일이 있는 경로 (plink.exe).

패킷 캡춰하는 방법

윈도우즈에서 'remotecap.cmd'를 실행 하세요. 윈도우즈가 방화벽 정책을 물어볼 수도 있습니다.

문의

이슈를 남겨 주세요.
- https://github.com/JayTwoLab/wireshark-remote-command-win/issues

728x90

'Wireshark' 카테고리의 다른 글

Mac OS X Snow Leopard 에서 Wireshark 1.2.3 설치 (0)	2009.11.13
원격(Remote)으로 Wireshark 사용하기 (0)	2009.11.10

728x90

1> Wireshark 1.2.3 (SVN Rev 30730) 를 다운받는다.

http://media-2.cacetech.com/wireshark/osx/Wireshark%201.2.3%20Intel.dmg

2> Readme 문서의 설치 절차에 따라 설치한다.

2-1> Wireshark.app 을 Applications 에 드래그앤 드랍

2-2> Utilities / Command Line 경로아래에 있는 것들을 /usr/local/bin 아래로 복사한다.

권한문제가 있기 때문에,

sudo cp * /usr/local/bin 등으로 복사한다.

2-3> ChmodBPF 경로를 StartupItems 로 드래그앤 드랍한다.
(그안의 실행파일을 실행하면 권한 문제를 해결해 준다...)

3> wireshark.app 을 실행한다. 실행시에 X11이 함께 실행된다.

4> 실행하면 다음과 같은 경고 창이 계속 뜬다. (약간 버그...)

The following errors were found while loading the MIBS:
-:0 1 module-not-found failed to locate MIB module `IP-MIB'
-:0 1 module-not-found failed to locate MIB module `IF-MIB'
-:0 1 module-not-found failed to locate MIB module `TCP-MIB'
-:0 1 module-not-found failed to locate MIB module `UDP-MIB'
-:0 1 module-not-found failed to locate MIB module `SNMPv2-MIB'
-:0 1 module-not-found failed to locate MIB module `RFC1213-MIB'
-:0 1 module-not-found failed to locate MIB module `IPV6-ICMP-MIB'
-:0 1 module-not-found failed to locate MIB module `IPV6-MIB'
-:0 1 module-not-found failed to locate MIB module `SNMP-COMMUNITY-MIB'
-:0 1 module-not-found failed to locate MIB module `SNMP-FRAMEWORK-MIB'
-:0 1 module-not-found failed to locate MIB module `SNMP-MPD-MIB'
-:0 1 module-not-found failed to locate MIB module `SNMP-NOTIFICATION-MIB'
-:0 1 module-not-found failed to locate MIB module `SNMP-PROXY-MIB'
-:0 1 module-not-found failed to locate MIB module `SNMP-TARGET-MIB'
-:0 1 module-not-found failed to locate MIB module `SNMP-USER-BASED-SM-MIB'
-:0 1 module-not-found failed to locate MIB module `SNMP-USM-DH-OBJECTS-MIB'
-:0 1 module-not-found failed to locate MIB module `SNMP-VIEW-BASED-ACM-MIB'

5> 그럴 경우는 다음과 같이 처리한다.

• Edit / Preferences 메뉴를 선택 ...
• Wireshark: Preferences / Name Resolution 선택
• SMI (MIB and PIB) paths 에서 Edit 버트 클릭
• SMI Paths 창에서 the New 버튼 클릭
• SMI Paths: New 창의 name 텍스트 박스에서, /usr/share/snmp/mibs/ 를 입력

6> wireshark 를 재시작한다.

7> 성공적인 설치 상태이면, 캡춰 옵션에서 네트워크 카드가 잡힌다. (en0, en1 등)

--------------
...위와 같은 과정으로 해도 문제가 있는 이는
...리플을 달아주십시오...

728x90

저작자표시 비영리 변경금지

'Wireshark' 카테고리의 다른 글

Wireshark와 Putty로 원격 Linux 패킷 캡춰하기 (0)	2016.09.12
원격(Remote)으로 Wireshark 사용하기 (0)	2009.11.10

728x90

※ 하단 글은 2009년에 작성된 글이며, Windows에서 Linux를 원격으로 연결하는 방법은 아래 링크가 더 유용합니다.

http://j2doll.tistory.com/532 Wireshark와 Putty로 원격 Linux 패킷 캡춰하기

[글/2009년]

Packet Sniffing 등의 용도로 사용되는 ethereal의 후예인 Wireshark는 무료로 제공되기 때문에 더더욱(?) 유용하면서 많이 사용되는 프로그램이다. 그리고, GTK를 지원하므로 윈도우즈 이외에도 리눅스, 맥 등에서 사용가능하다. 자세한 Wireshark 사용 방법은 다른 글을 참조하고, 이 글은 Wireshark를 사용할 줄 아는 이가 원격 타겟의 패킷 정보를 알고 싶은 경우만을 기술한다.

일단 대상은 다음을 대상으로 한다.

- Linux : x86, 32bit

- Winpcap 4.0

- Wireshark 0.99

* 원격 Wireshark 연결 *

1> 테스트 파일은 x86(i386) 32bit Linux 만 지원

2> 타겟 linux에서 rpcapd 실행

# ./rpcapd -n

-n : 사용자 계정없이 연결

-h : 도움말 출력

    -4 : ipV4만 지원 (ipv6는 지원하지 않는다.)

   : 윈도우즈 Wireshark일 경우,
     C:\Program Files\WinPcap\rpcapd.exe 를 실행하면, 인자는 동일하다.

3> 실행후, 데몬인 rpcapd는 포트 2002인 tcp서버로 작동한다.

( -p 옵션을 주면 포트를 조정할 수 있다.)

4> 원격지에 wireshark-setup-0.99.8.exe 를 설치한다.

(wireshark 버전 주의)

5> capture options / capture / interface 에

rpcap://192.168.0.38/eth0

의 형식으로 입력한다.

(192.168.0.38은 ip주소이고, eth0는 타겟의 이더넷 카드 정보이다.)
물론, 존재하지 않는 이더넷인 경우 접속이 실패한다.

6> 연결이 성공하면, wireshark가 capture상태가 된다.

(필요하면, capture filter를 설정하여 정보를 걸러서 보도록 한다.)

not host 192.168.50.25

(위의 Wireshark 필터는 192.168.50.25와 통신하는 내용은 캡춰하지 않음)

RemoteWireshark.7z.001

RemoteWireshark.7z.002

RemoteWireshark.7z.003

rpcapd.gz

728x90

저작자표시 비영리 변경금지

'Wireshark' 카테고리의 다른 글

Wireshark와 Putty로 원격 Linux 패킷 캡춰하기 (0)	2016.09.12
Mac OS X Snow Leopard 에서 Wireshark 1.2.3 설치 (0)	2009.11.13

내 블로그 - 관리자 홈 전환	`Q` `Q`
새 글 쓰기	`W` `W`

글 수정 (권한 있는 경우)	`E` `E`
댓글 영역으로 이동	`C` `C`

이 페이지의 URL 복사	`S` `S`
맨 위로 이동	`T` `T`
티스토리 홈 이동	`H` `H`
단축키 안내	`Shift` + `/` `⇧` + `/`

Jay Two's Blog (Korean Blog)

Wireshark

Wireshark와 Putty로 원격 Linux 패킷 캡춰하기

윈도우즈에서 와이어샤크를 이용한 원격 패킷 캡춰

개념

윈도우즈 (내 PC, 호스트 운영체제)

리눅스 (원격 시스템, 대상 운용체제)

윈도우즈에서 명령 제작

패킷 캡춰하는 방법

문의

'Wireshark' 카테고리의 다른 글

Mac OS X Snow Leopard 에서 Wireshark 1.2.3 설치

'Wireshark' 카테고리의 다른 글

원격(Remote)으로 Wireshark 사용하기

'Wireshark' 카테고리의 다른 글

+ Recent posts

티스토리툴바

단축키

내 블로그

블로그 게시글

모든 영역