TCPDump로 네트워크 트래픽 캡춰하려고 합니다.

글쓴이: mandugukbap / 작성시간: 목, 2010/03/04 - 8:48오후

안녕하세요.

TCPDump로 제 홈 네트워크내의 컴퓨터들이 인터넷으로 주고 받는 트래픽을 수집하려고 합니다.

+ 스위치: 인터넷 DSL모뎀겸 스위치 (192.168.10.1)
|
+ --- 컴퓨터1: WindowsXP SP3, Kaspersky IS 2009 설치, 100M Wired LAN (192.168.10.10)
|
|
+ --- 컴퓨터2: 모니터링 컴퓨터, Fedora12, 100M Wired LAN (192.168.10.11)

1. 컴퓨터2의 인터페이스(eth0)를 PROMISC. 모드로 바꾼 후 (ifconfig으로 PROMISC 플래그 확인 했습니다.)
2. tcpdump -i eth0
3. tcpdump -i eth0 host 192.168.10.10
등등

해 보았는데 컴퓨터1의 패킷이 전혀 모니터링되지 않습니다 (브로드 캐스팅 되는 패킷은 모니터링 됩니다.). Internet Security 때문인가 싶어 Kaspersky를 종료해 보기도 하고 안전모드에서 인터넷을 사용해 보기도 했는데 마찬가지로 아무런 패킷도 모니터링하지 못 합니다.

혹시 모니터링이 안되는 원인을 아시는 분 계실까요?

Forums:

설치 및 활용 QnA

댓글 달기

위치가

글쓴이: younglong / 작성시간: 금, 2010/03/05 - 9:35오전

문제네요.
그림을 제가 제대로 이해했다면,
컴1과 모뎀 사이에 컴2를 두고 브릿지 구성 또는 포워딩 프락시를 구성해야
패킷이 모니터링 되지 않을까요?

답글

네 원래 그렇게

글쓴이: mandugukbap / 작성시간: 금, 2010/03/05 - 7:52오후

네 원래 그렇게 구성을 하는게 맞는거 같습니다. 그냥 집에서 쓰는 컴퓨터 환경을 크게 바꾸지 않으려다 보니 엉뚱한 생각을 하게 되었던거 같네요.

답변 감사 드립니다.

답글

음.... 스니핑에 대한

글쓴이: ggeagle / 작성시간: 금, 2010/03/05 - 12:22오후

음.... 스니핑에 대한 질문이시군요

자주 질문되었던 내용이고 원리를 알고나면 더 이상 스니핑에 대해 신경쓰지 않게 되는데
비가 자주와서 노가다도 못하고 피시방와서 심심해서 그림하나 그려봅니다.
지금 막 다운받은 프로그램이라 이거 뭐 그릴줄을 모르겠네요
그림참고로 다음 글을.........

A에서 생성한 전기신호는 더미허브에서 증폭되어 B,가,나 시스템의 모든 디바이스의 코일에 전자기유도를 일으킴
C에서 생성한 전기신호는 스위칭허브의 메모리로 복사되어 ARP 캐시,보안정책 등을 보는 프로세서를 거쳐 리턴된
터미널과 연결된 접점의 코일을 자극하여 단일 연결전송을 한다.

즉
**중계장비 (스위칭기반의 모든 장비-현대 시스템은 모두) 를 건너는 어떠한 전기신호든 모두 소스를 기반으로
복사 재생성된 것이므로 원본을 보는 것은 오직 장비내에서만 가능합니다.**

직관적으로 역발상을 하면 허브 떼버리고 리눅스에 랜카드 4장 붙인 뒤 보면 보입니다.
리눅스가 장착되었든 뭐든 현대 시스템은 모두 스위칭기반이고 당연히 모든 트래픽은 시스템의 주 메모리에 복사
되어 재생성과정을 거쳐 출력되므로 TCPDUMP 와 같은 유틸을 통해 메모리 훔쳐보기가 됩니다.

스위칭 장비나 라우터 등에서는 주로 스니퍼할 수 있는 별도의 모듈이 장착되는데 주로 방화벽모듈이며 이런 모듈이
장착된 성능좋은 대형라우터조차 바쁜 시간에는 패킷 모니터링에 신중을 기해야 합니다.
액세스리스트에 의한 일부만을 관찰하는 용도로 쓸 수 있지 모든 넷트웍 패킷을 무작위로 다 보겠다....그러면 아마
누울걸요.눕진 않아도 적어도 하부의 고객들이 왜케 느리냐는 항의전화가 바로 올겁니다.

브릿지 또는 IEEE 802.1Q 인가 뭔가 버전 잘 기억안나지만 하여튼 이더넷 헤더단계에서의 가상랜 구성표준이 있습니다만
그런 경우를 제외하고 말씀드리는 겁니다.
이런거 저런거 고려하면 아마 PDF 파일 300 페이지는 될겁니다.
QoS 든 뭐든 정책은 최대한 작고 단순할수록 고객도 좋고 관리자도 편하고 이 세상에도 이익이 되는 겁니다.
(뭔 이야기?)

여기 kldp 에 제가 한 다른 답변을 좀 참고하셔도........
http://kldp.org/node/112768
http://kldp.org/node/112160

종합한 글
http://blog.naver.com/ggeagle/101175048

=========================

매일막걸리 한 병 = 상태메롱

댓글 첨부 파일:

첨부	파일 크기
HUB.JPG	69.64 KB

=========================

매일막걸리 한 병 = 상태메롱

답글

그림까지 자세하게

글쓴이: mandugukbap / 작성시간: 금, 2010/03/05 - 8:01오후

그림까지 자세하게 그려 주셔서 감사 드립니다.

스위치는 스마트한 장비라서 패킷을 무조건 모든 단말에 발송하지 않는다는 것으로 이해하였습니다.

제가 쓰는 스위치에 모니터링 단말을 설치할 수 있게 하는 기능이 있어서 활성화를 시키면 바로 모니터용 컴퓨터로 사용할 수 있는 줄 알았는데 뭔가 이해를 다르게 한 듯 하네요.

자세한 설명 많은 도움이 되었습니다.

답글

스위치 IOS

글쓴이: monovision / 작성시간: 화, 2010/03/09 - 2:53오전

스위치 IOS 커맨드중에 스위칭 기능을 끄는 옵션이 있을 겁니다.
그리고, 제대로 된 스위치라면 미러링 기능도 있을 꺼구요.

더미 허브 형태로 설정을 바꾸시거나 미러링으로 캡쳐하셔도 상관이 없을 것 같구요.
제일 좋은건 브리지 형태로 ㄲㄲ

답글

댓글 달기

이름

제목

댓글 *

텍스트 포맷에 대한 자세한 정보

텍스트 양식

Filtered HTML

텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
You can use Textile markup to format text.
사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
Quick Tips:
- Two or more spaces at a line's end = Line break
- Double returns = Paragraph
- *Single asterisks* or _single underscores_ = Emphasis
- **Double** or __double__ = Strong
- This is [a link](http://the.link.example.com "The optional title text")
For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

HTML 태그를 사용할 수 없습니다.
web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
줄과 단락은 자동으로 분리됩니다.

CAPTCHA

이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.

부 메뉴

TCPDump로 네트워크 트래픽 캡춰하려고 합니다.