정보보안(구버전)/Web Scan 2019. 3. 6. 13:22
Web Scan - 14. NetworkMiner
수업용으로 진행하기 때문에 오픈 소스를 사용합니다. 실제 환경에서는 오픈 소스도 사용하지만, 라이센스를 사용하는 고성능/고품질/멋진 GUI 기반의 분석도구를 사용하는 것을 권장합니다.
- Windows에서 간편하게 사용할 수 있는 네트워크 포렌식 분석 툴이다. (와이어샤크와 목적을 동일함)
- OS, 세션, 호스트, 포트 등을 검색하기 위해서 수동으로 네트워크 스니핑/패켓 캡처 도구로 사용할 수 있다.
- 분할된 데이터들을 다시 재조립하여 보여주기 때문에 패켓을 분석할때 용이하며, 스트리밍되는 미디어 파일을
추출 및 저장이 가능하다.
- 다운로드 사이트 : https://www.netresec.com/?page=NetworkMiner
NetworkMiner_2-4.zip
1. 다운로드 및 실행
2. 첨부된 'pcap' 파일 열기
2015-08-31-traffic-analysis-exercise.pcap
파일을 오픈하면 용량에 따라서 로딩 시간이 다르다.
'2015-08-31-traffic-analysis-exercise.pcap' 파일 로딩 완료
3. NetworkMiner 메뉴 및 기능
Sguil로 탐지한 '2015-08-31-traffic-analysis-exercise.pcap' 파일 내용
시스템 및 IP 주소
|
시스템 |
IP 주소 |
|
클라이언트 |
192.168.137.239 |
|
웹-서버 |
64.20.39.203 |
|
리다이렉션 시스템(악의적인 사이트) |
46.108.156.181 |
|
CnC 서버 |
72.55.148.19 |
1) Host
IP 주소, MAC 주소, NIC을 통하여 캡처된 Host의 정보를 출력한다. 만약, 캡처된 패켓 중에 정보가 없거나, 암호호된
패켓이라면 'Unknown으로 출력한다.
클라이언트 '192.168.137.239' 클릭 -> Host 상세 정보 확인
웹-서버 '64.20.39.203' 클릭 -> Host 상세 정보 확인
리다이렉션 시스템 '46.108.156.181' 클릭 -> Host 상세 정보 확인
CnC '72.55.148.19' 클릭 -> Host 상세 정보 확인
2) Files
캡처된 파일들을 다시 재구성하여 원본 파일로 복원한 것을 출력한다.
'Files' 클릭
'ncsi.txt' 우클릭 -> 'Open folder' 클릭
NetworkMiner 기본 폴더에 저장됨 -> 저장된 파일 내용 확인
3) Images
이미지 파일을 재구성하여 복원된 내용을 출력한다.
'Images' 클릭
4) Credentials
호스트와 서버간에 사용된 쿠키 정보, 패스워드/패스워드, 로그인 날짜 정보를 출력한다.
'Credentials' 클릭
5) Sessions
호스트와 호스트 간에 연결된 소켓 상태 내용을 출력한다.
'Sessions' 클릭
6) DNS
클라이언트가 DNS 서버로 요청한 내용을 출력한다.
'DNS' 클릭
7) Parameters
클라이언트와 서버간에 요청/응답시 사용된 파라메터 값들이 출력되며, 키워드 검색으로도 해당 파라메터만 확인이 가
능하다.
'Parameters' 클릭
4. 로컬 시스템 패켓 캡처 실시
패켓을 캡처할 인터페이스 선택
'Start' 시작 -> 패켓 캡처 -> 'Stop' 중지
[유튜브] 동영상 강의 링크 (구독! 좋아요!!!)
Web Scan - 14. NetworkMiner 사용 방법 https://youtu.be/yHr5_Qrl1KA
'정보보안(구버전) > Web Scan' 카테고리의 다른 글
| Web Scan - 16. Squert 사용 방법 (0) | 2019.03.07 |
|---|---|
| Web Scan - 15. Xplico 사용 방법 (0) | 2019.03.06 |
| Web Scan - 13. Sguil - 와이어샤크 파일 사용 방법 (0) | 2019.03.06 |
| Web Scan - 12. Sguil - Suricata (0) | 2019.03.06 |
| Web Scan - 11. Sguil - Snort (0) | 2019.03.06 |
