Pcap 파일 생성 및 분석 ( 파일 추출 )

Pcap파일을 통해 주고받은 파일을 추출해내는 방법에 대해 알아볼 것이다.

 

 

준비물

 

1. VM (우분투)

2. 호기심

 

먼저 분석할 Pcap파일을 하나 만들어 볼 것이다.

 

 

 

실습 과정

 

와이어 샤크 실행 -- >로컬 ( 윈도우 ) --> FTP로 VM ( 우분투 )에 파일전송 --> 와이어샤크로 Pcap파일 생성 -->

파일 추출

 

 

* pcap 파일 생성 *

먼저 와이어샤크를 켠 후 VM의 패킷을 보기 위해 VMnet8을 스캔한다.

 

 

 

 

 

지금은 아무 통신을 하고 있지 않은 VM ( 우분투 ) 다.

 

한번 핑을 떄려보겠다.

 

 

 

 

 

8.8.8.8로 핑을 때린 것이 보인다.

 

 

 

 

이제 로컬 ( 윈도우 ) 에서 cmd를 실행 시킨후 이 VM ( 우분투 ) 으로 파일을 전송시켜 보겠다.

ftp

 

위 명령어를 통해 ftp를 사용할 수 있도록 한다.

 

 

 

 

open 192.168.159.129

그럼 이제 VM ( 우분투 ) 의 IP를 입력 후 접속해본다.

 

 

사용자 명을 입력하라는 창이 뜨는데 자신이 VM ( 우분투 ) 에서 만들어둔 이름을 입력하면 된다.

 

위 사진과 같이 로그인이 잘 된 걸 볼 수 있다.

 

 

 

 

 

 

나는 저기 캡처. PNG, 네이버를 캡처한 사진을 VM ( 우분투 )에 전송할 것이다.

 

 

 

 

 

저 파일의 경로를 알아둔다.

 

 

 

 

 

 

 

자, 다시 VM ( 우분투 )으로 돌아와서 파일 하나를 생성한다.

이 파일은 FTP로 받을 파일이 저장되는 곳이다.

 

 

 

 

 

sudo chown -R testuser /home/ch/test

그리고 권한을 바꿔준다.

 

 

 

 

 

 

위 경로를 잘 기억한다.

 

 

 

 

 

다시 로컬 ( 윈도우 ) 로 돌아와 아까 만든 test파일 경로로 이동시켜준다.

 

 

 

send

파일경로

저장할 파일 이름

위 명령어를 입력한 뒤 엔터를 누르면 파일 전송 성공이다.

 

 

 

 

 

와이어 샤크로 돌아와서 왼쪽 상단에 정지 아이콘을 눌러 위 사진과 같이 빨간불이 안 들어오게 만들어준다.

 

 

 

 

 

그다음 ctrl + s를 눌러 저장해준다.

 

여기까지 Pcap파일 생성 단계 완료다.

 

 

 

 

 

 

 

 

 

 

 

 

* pcap 파일 분석 *

 

이제 파일 추출을 해볼 것이다.

 

FTP로 무엇을 보내기에 성공했다는 패킷을 볼 수 있다.

 

 

 

 

이제 보낸 파일을 추출하기 위해 왼쪽 상단에 필터 검색창에 ftp-data를 검색해본다.

 

 

 

많은 패킷들이 보인다.

 

 

 

 

 

아무 패킷 위에 마우스를 놓고 위 사진과 같이 TCP Stram을 눌러준다.

 

 

 

 

 

 

 

 

 

그럼 맨 위 PNG라고 확장자 명이 보인다.

내가 보낸 네이버 캡처 사진인지 확인해보자.

 

 

 

위 pcap을 저장하기 앞서 파일 형식을 Raw로 바꿔준다.

 

그 이유는 Raw를 제외한 모든 것은 와이어샤크가 한 번 필터링한 것이기 때문에 파일을 확인할 때 문제가 발생하기 때문이다.

 

 

 

 

 

 

밑에 save를 눌러 저장한다.

 

 

파일 이름은 그냥 test로 하겠다.

 

 

 

 

 

저장한 파일을 PNG로 저장해보자.

 

 

 

그럼 내가 아까 보낸 캡처 파일이 보인다.

 

 

이로써 전송하는 패킷을 통해 파일 추출을 성공했다.