레이블이 NET-Packet Sniffer인 게시물을 표시합니다. 모든 게시물 표시
레이블이 NET-Packet Sniffer인 게시물을 표시합니다. 모든 게시물 표시

8/26/2018

Packetyzer

Wireshark(이전 Ethereal)을 주욱 사용해오다가, 한번 다른 윈도우 스니퍼 프로그램 발견하여 이를 설치해보고 테스트를 해보는 중이지만,
아쉽게도 나의 Window WIFI Network Adapter를 인식못하지만 유선랜과 나의 Virtual Box Network 부분은 인식한다.

추후 이 부분을 다시 테스트 할 기회가 있다면 해보도록 하자.


Packetyzer
  https://sourceforge.net/projects/packetyzer/files/


아직 밑에 있는 프로그램은 설치를 해보지 못했다.

  • NetworkMiner packet analyzer

  https://sourceforge.net/projects/networkminer/
댓글 없음 :
Tags:

4/10/2016

Wireshark로 RTSP 와 H.264 분석

1. 개발 분석 환경 

RTSP Protocol을 인식하지 못한다면, Port문제 일수 있으니, IP Address와 Port를 찾아 이 관련 Packet을 RTSP로 Decode 시키면 자동으로 RTP도 전부 인식이 된다.

  • Network 분석환경 
  1. TEST Device: IP Camera  ( Target Device)
  2. TEST Program:  VLC Player ( Host Device)

  • Host의 VLC Player 환경설정 
  1. VLC의 네트워크 스트림 열기-> 네트워크 설정
  2. rtsp://192.168.1.168:8557/PSIA/Streaming/channels/2?videoCodecType=H.264

WIFI CaptureSetup
  https://wiki.wireshark.org/CaptureSetup/WLAN
  https://www.acrylicwifi.com/en/blog/how-to-capture-wifi-traffic-using-wireshark-on-windows/

2. Wireshark 설치

  • Wireshark Download
  https://www.wireshark.org/download.html


3. Wireshark 분석 및 설정 

Wireshark의 사용법은 간단하며, Capture 를 진행한 후 분석하거나, 다른 Capture된 파일을 분석을 하면된다. 

3.1 Wireshark의 기본 Filter 사용법

필터는 말그대로 전체 패킷 중에서 본인 원하는 패킷을 필터링하여 보고 싶은 것만 보는 것이다. 
간단히 예를 들면 

       ip.addr eq 192.168.1.168  : ip 주소가 source or destistion 검색 

필터에 관련된 내용을 외울 필요는 없으며, 개별 패킷에서 본인이 필터링 하고자 하는부분
or 관련부분 
즉 예를 들면 TCP의 Port 부분에 적용하고 싶다면 그곳에서 우측마우스를 눌러 Apply as Filter 기능으로 선택하면된다. 

하지만 빠른 사용을 위해서 본인이 간단히 and 와 or 연산을 조합하여 정교한 필터를 만들자.

3.2 H.264 분석 

Wireshark에서 H.264의 NAL를 분석에 대해 알고 싶어 이부분을 찾았다. 
  1. Capture를 한 후 RTP 분석에서 Payload Type을 확인한다. 
  2. Edit->Preferences->Protocols->H264  (H264 dynamic payload type 설정) 
  3. RTP Payload Type 설정을 해준다. 

  • RTP Packet에서 Payload Type 확인  


  • H264 dynamic payload type: 96 


  • 아래와 같이 H.264 기본분석 가능 
H.264의 FU부분만 나오고 더 이상은 Decode 되지않아 문제가 발생 이 부분은 추후 다시 한번 TEST



  • H.264 Fragmentation Units(FU)

  https://tools.ietf.org/html/rfc3984#page-27


3.3 Statistics 기능 사용

Statistic에서는 다양한 기능을 제공하는 데, 이를 이용하여 Protocol의 Flow 와 사용빈도 와 구조도 를 세부 분석이 가능하다

  • Statistics->Protocol Hierarchy 
프로토콜 구조도라는데, 사용빈도도 확인할 수 있고, 전체 구조를 확인 가능하다.




  • Statistics->IO Graphs
필터에 본인이 원하는 필터를 넣어 증가 추세를 확인 및 추적이 가능하며 각 Line을 본인이 직접설정이 가능하다.



  • Statistics->Flow Graph  
Protocol의 전체분석이 쉬어지고, 보기도 너무 쉽다.



  http://stackoverflow.com/questions/26164442/decoding-rtp-payload-as-h264-using-wireshark
  https://ask.wireshark.org/questions/35544/how-i-know-it-is-h264-packet-capture
  https://www.wireshark.org/lists/wireshark-users/201007/msg00162.html
  https://www.wireshark.org/docs/dfref/h/h264.html
댓글 없음 :
Tags: ,

9/08/2015

TCPDUMP 사용법

1. TCPDUMP 란?

wireshark(ethereal)에서 window에서 winpcap기능이라고 생각하면 되겠다.
ethernet에서 들어온 packet을 libpcap을 이용하여 capture를 한다.
tcpdump는 이를 필터링하여 보여주는 프로그램이다. (option으로 필터링이 가능)

  • TCPDUMP 사용 옵션
        tcpdump [ -AbdDefhHIJKlLnNOpqStuUvxX# ] [ -B buffer_size ]
               [ -c count ]
               [ -C file_size ] [ -G rotate_seconds ] [ -F file ]
               [ -i interface ] [ -j tstamp_type ] [ -m module ] [ -M secret ]
               [ --number ] [ -Q in|out|inout ]
               [ -r file ] [ -V file ] [ -s snaplen ] [ -T type ] [ -w file ]
               [ -W filecount ]
               [ -E spi@ipaddr algo:secret,...  ]
               [ -y datalinktype ] [ -z postrotate-command ] [ -Z user ]
               [ --time-stamp-precision=tstamp_precision ]
               [ --immediate-mode ] [ --version ]
               [ expression ]


  https://linux.die.net/man/8/tcpdump

  • TCPDUMP 사용법 
tcpdump와 각 network interface 정의한 후 ssh server가 지원이 가능하다면, scp or sftp로 쉽게 가져오자

// Target Device
$ tcpdump -i eth0 -w data.pcap  // wireshark로 보기위해 저장 scp or sftp로 전송 
// Host Device 
$ scp or sftp로 data.pcap를 가져와서 wireshark로 분석

상위에는 모든 Packet을 잡지만, Filter를 적용하여 원하는 packet만 capture 진행

  • Capture 시 필터 사용방법 
$ tcpdump -i eth0 port 80 -w data.pcap  // Filter 적용하여 저장 
$ tcpdump -i eth0 tcp port 8080   //  tcp port 8080만 필터 
$ tcpdump -i eth0 udp port 4433   //  udp port 4433만 필터 
$ tcpdump -i eth0 src port 1080   //  src port 1080만 필터  
$ tcpdump -i eth0 src 192.168.0.11 and dst 192.168.0.22     
$ tcpdump -i eth0 tcp          
$ tcpdump -i eth0 udp  

$ tcpdump -l | tee data.pcap  // 동일하게 data.pcap 저장  
$ tcpdump -l > dat & tail -f dat


  • Capture 된 Packet 분석 
$ tcpdum -r data.pcap  // 저장된 Packet 분석  
$ tcpdum -Xqnr data.pcap  // ASCII 값으로 분석


  • 자세한 사용법
    http://wiki.pchero21.com/wiki/Tcpdump
    http://itnews.tistory.com/218
    https://www.tcpdump.org/manpages/tcpdump.1.html

  • How to build TCPDUMP on ARM  
    wireshark 처럼 libpcap은 필수 이며, tcpdump를 설치해야함
    http://dark2pee.tistory.com/entry/DM368-tcpdump-compile


1.1 SCP 사용방법 


  • Window 7/10  SCP Batch File 작성 Example

@ECHO OFF
TITLE WINDOW SCP EXAMPLE
ECHO ------------------------------------------------------------------------------------------------------
ECHO ---------------------------      Download         ---------------------------------------------------
ECHO ------------------------------------------------------------------------------------------------------
scp jhlee@192.168.1.10:/home/jhlee/test  .
PAUSE

상위와 같이 Linux SSH Linux Server 로 접속하여 Window에서 가져오기
or
Window 의 경우  SSH Terminal Program SCP/SFTP를 지원을 해주는 프로그램사용
xshell,teraterm

  https://www.howtogeek.com/66776/how-to-remotely-copy-files-over-ssh-without-entering-your-password/


2. TCPDUMP의 Wireshark 분석

위 설명처럼 *.data를 download를 받아 wireshark를 이용하여 분석하자

아래의 링크예는 -s를 주어 packet의 양을 설정하는데, 귀찮아서 ctrl+c가 편함
   https://www.wireshark.org/docs/wsug_html_chunked/AppToolstcpdump.html


  •    linux에서 tcpdump로 잡은 dhcpd.cap 분석




댓글 없음 :
Tags: , ,

3/07/2015

Android 의 TCPDUMP 설치 및 Linux Tool 설치(bash)

1. TCPDUMP

network packet을 dump하는 tool로 ethereal or wireshark와도 호환이 가능하며 세부옵션을 보면 wireshark 처럼 필터를 사용도 가능하다.
모든 tool이 그렇지만, 너무 많은 data는 grep으로 줄이자.

 1.1 TCPDUMP Bin Download 

아래의 사이트에서 binary file을 제공해주고 있으며, Download하여 설치만 진행
  http://searchme.tistory.com/44

1.2 TCPDUMP 사용법 

이전에도 많이 사용했던 TCPDUMP를 Android에서 아래와 같이 tcpdump를 설치를 해서 패킷을 캡쳐하고, 이를 wireshark로 분석하자

$ tcpdump -i wlan0  -w wlan0.pcap    //  eth0.pcap  저장 후 이를 Wireshark에서 분석 
$ tcpdump -i eth0  -w eth0.pcap    //  eth0.pcap  저장 후 이를 Wireshark에서 분석 




$ tcpdump -i eth0 tcp port 8080   //  tcp port 8080만 필터 
$ tcpdump -i eth0 src port 8080   //  src port 8080만 필터  
$ tcpdump -i eth0 src 192.168.0.1   
$ tcpdump -i eth0 tcp 
$ tcpdump -i eth0 udp


  http://www.tcpdump.org/tcpdump_man.html
  http://iniciel.blogspot.kr/2009/07/tcpdump-%EC%82%AC%EC%9A%A9%EB%B2%95.html

2. Android Perl 설치

Android에서 Perl를 설치하여 사용법
아직 필요하지 않아 사용을 해보지는 못하고 아래와 같이 링크만연결
  http://searchme.tistory.com/45

 3. bash 파일 Download 및 설정

Android에서 bash를 설치하여 설정
   http://searchme.tistory.com/36


4. Android 관련기사

  • USB 키보드,마우스 연결을  블루투스 접속하여 사용 
       http://it.donga.com/19944/

댓글 없음 :
Tags: ,
피드 구독하기: 글 ( Atom )