ABOUT ME

-

Today
-
Yesterday
-
Total
-
  • [Wireshark] 클라우드 서버 원격 패킷 캡쳐(Remote Packet Capture)
    # 웹해킹 공부중 2020. 8. 10. 11:42

    클라우드 서버를 이용하면서 서버로 들어오는 요청이나 응답을 로컬에서 분석할 때 유용하게 사용할 수 있다. 본인의 환경은 로컬-Windows 서버-Ubuntu 환경이지만 대부분의 경우에서 SSH 통신만 된다면 사용가능한 것 같다. 서버에는 tcpdump를 설치해두어야 한다.

    wireshark install

    설치할 때, Sshdump에 체크를 하고 설치를 해줘야 해당 기능을 사용할 수 있다. 

    wireshark interface

    wireshark를 켜고 아래 네트워크 인터페이스 부분을 보면 SSH remote capture 라고 만들어져있다. 왼쪽 톱니를 눌러서 SSH 설정을 위한 설정값들을 입력해주면 된다. 

    setting-1

    패킷 캡쳐를 원하는 서버의 IP주소와 포트(ssh포트) 번호를 입력해준다.

    setting-2

    "Authentication" 에서 서버의 계정명과 계정 인증을 위한 정보들을 입력한다.

    setting-3

    "Capture" 에서 원격지(서버)에서 캡쳐를 원하는 네트워크 인터페이스를 넣고, 원하는 캡쳐 명령어를 넣어준다. 와이어샤크는 해당 명령어를 리눅스에서 실행시키고 실행 결과를 SSH 로 받아와서 사용자에게 출력시켜준다. 

    /usr/sbin/tcpdump -w -

    "capture command"의 경우 위와같이만 해줘도 무난하게 된다. 인터페이스는 바로 위 설정값에서 입력을 하기 때문에 따로 옵션에서 지정해줄 필요는 없다. 

    그리고 아래에 "capture filter"의 경우 캡쳐를 원하는 포트 혹은 제외할 포트를 입력하면 된다. 보통 SSH 통신에 사용되는 포트는 제외하고 필터링을 한다. 

    port 12345 : 12345번 포트만 캡쳐
    
    not port 22 : 22번 포트만 제외하고 캡쳐

    capture

    Start 버튼을 누르면 위 그림과 같이 원격지 서버에서 발생하는 패킷들을 로컬에서 실시간으로 캡쳐할 수 있다. 

    만약 패킷캡쳐가 원활하게 되지 않는다면 SSH 설정이 잘못되었거나 접속한 계정의 권한 문제일 수 있고, 강제로 네트워크 패킷을 발생시켜 보는 것도 방법이다. 

    댓글 0

Designed by Tistory.