네트워크 보안관제에 있어서 와이어샤크 사용법은 필수임. 보안장비에서 패킷덤프를 가지고 DDoS 관제 시에 DDoS 봇넷의 IP 정보 산출에 있어서 유용한 정보일 듯 함. 최신 버전인 와이어샤크 2.2.3 에서 테스트하였으며 먼저 위치정보 필드를 삽입하여 와이어샤크 패킷에 국가 등 정보가 출력되도록 설정한 후 위치정보 맵을 통해 한 눈에 볼 수 있도록 활용함.
( 1 ) 위치정보 필드 삽입 설정 |
1. GeoIP 데이터베이스 다운로드함.
http://dev.maxmind.com/geoip/legacy/geolite/
위 사이트에서 6개 항목을 다 다운로드함.
2. 6개의 압축된 파일을 풀어서 특정 폴더(ex. C:\GeoIP)에 복사한 후 위치시킴
자세한 사항
텔넷 서비스 시작
systemctl start/stop/restart/stauts 서비스이름
# systemctl start telnet.socket
서비스 상태 확인(23 포트 확인)
# systemctl status telnet.socket
서비스 자동 시작
# systemctl enable telnet.socket
23번 포트 개방
# firewall-cmd --add-port=23/tcp --permanent
# firewall-cmd --reload
ip 주소 확인
# ifconfig
윈도우에서 putty로 접속 ( 포트 :23, 접속방법 : telnet )
설정파일 이동
# mv /etc/securetty /etc/securetty.bak
설정파일 복구
# mv /etc/securetty.bak /etc/securetty
centos20_wireshark를 이용한 패킷 분석(telnet과 SSH 비교)
텔넷 서비스 시작
systemctl start/stop/restart/stauts 서비스이름
# systemctl start telnet.socket
서비스 상태 확인(23 포트 확인)
# systemctl status telnet.socket
서비스 자동 시작
# systemctl enable telnet.socket
23번 포트 개방
# firewall-cmd --add-port=23/tcp --permanent
# firewall-cmd --reload
ip 주소 확인
# ifconfig
윈도우에서 putty로 접속 ( 포트 :23, 접속방법 : telnet )
설정파일 이동
# mv /etc/securetty /etc/securetty.bak
설정파일 복구
# mv /etc/securetty.bak /etc/securetty
wireshark
리눅스 ifconfig 의 주소와 윈도우의 ipconfig 의 주소
확인 후 wireshark 시작시 선택
ex) 리눅스 VMnet8 선택
wireshar 창에
필터에 입력
tcp && ip.addr ==192.168.126.128
=> tcp 프로토콜 and ip 주소가 192.168.126.128인 패킷들을 표시
ip.addr : 출발지 or 도착지의 ip 주소
tcp && ip.addr == 192.168.126.128
범위를 줄이기 위해 도착지 만 찾는다
다음과 같이 필터에 입력
ip.dst_host :도착지의 ip 주소
tcp && ip.dst_host == 192.168.126.128
이것도 범위가 넓다
다음과 같이 변경
telnet && ip.dst_host == 192.168.126.128
ssh && ip.dst_host == 192.168.126.128
리눅스에서 tomcat 구동
# /home/centos/tomcat9/bin/startup.sh
윈도우에서 접속
http://리눅스아이피:8080/spring02
와이어샤크에서 필터 입력
http && ip.dst_host == 192.168.23.129
댓글 ( 4)
댓글 남기기