2007~2011/Tools2008. 7. 1. 01:28

Network Monitor (Netmon)는 네트워크 프로토콜 트래픽 분석 유틸리티입니다. Network Monitor 3.1 을 사용해서 네트워크 프로토콜을 수집하는 몇 가지 방법을 정리하였습니다.

Netmon 2.x와 3.x의 가장 큰 변화는 캡쳐 필터링이라고 생각합니다. 캡쳐 필터링 옵션 변화에 따른 패킷 수집 방법을 사례 별로 아주 기본적인 테스트를 해 봅니다. 
일반적으로 Netmon 트래픽을 수집하기 위해서는 Client와 Server 측에서 함께 로그 수집을 해야 문제 해결을 위한 보다 정확한 데이터를 얻을 수 있습니다.

아래 그림은 Netmon 3.1 인터페이스입니다. Catpure Filter 제어, Frame Summary, Frame Details, Hex Details 값을 바로 확인할 수 있습니다.

Capture Filter 에 Filter 구문을 작성한 뒤 반드시 Verify, Apply 하여 체크 및 필터를 적용해야 합니다.

사용자 삽입 이미지



[환경]
Server : 192.168.0.100
Client : 192.168.0.133


Case 1. 특정 Source IP Address(192.168.0.133) 에서 유입되는 Packet 확인

IPv4.SourceAddress == 192.168.0.133


Client 에서 Server 로 터미널 서비스 접속을 시도 하였습니다.

사용자 삽입 이미지




Case 2. TCP Source Port 가 3389인 frame 확인

Tcp.Port == 3389


Client 에서 Server 로 터미널 서비스 접속을 시도 하였습니다.

사용자 삽입 이미지




Case 3. 3389 port Packet은 캡쳐하지 않음

Tcp.Port != 3389


터미널 서비스 3389 포트 커넥션을 시도 하였으나 아래 그림과 같이 캡쳐되지 않습니다.

사용자 삽입 이미지





Case 4. ARP Packet 찾기

ARP


사용자 삽입 이미지




Case 5. Source Port 1096, Destination Port 3389 과 일치하는 Packet

Tcp.SrcPort == 1096 AND Tcp.DstPort == 3389


사용자 삽입 이미지





Case 6. Command 명령을 이용한 Packet 수집

C:\Program Files\Microsoft Network Monitor 3\> nmcap /network * /capture /File client.cap:10M


모든 패킷을 수집하는 명령입니다. 수집이 완료되면 Ctrl + C 를 입력하여 수집을 중지합니다.

사용자 삽입 이미지


자, 수집을 하셨으니 이제 분석을 해야겠죠? 누가하죠? 어떻게?.... What?
약은 약사에게 패킷 분석은 전문 분석 엔지니어에게 ^^;


[참고자료]
Microsoft Network Monitor 3.3
http://www.microsoft.com/downloads/details.aspx?FamilyID=983b941d-06cb-4658-b7f6-3088333d062f&displaylang=en

The Basics of Reading TCP/IP Traces
http://support.microsoft.com/kb/169292/en-us

Explanation of the Three-Way Handshake via TCP/IP
http://support.microsoft.com/kb/172983/en-us

Into to Filtering with Network Monitor 3.0
http://blogs.technet.com/netmon/archive/2006/10/17/into-to-filtering-with-network-monitor-3-0.aspx



작성자 : Lai Go / 작성일자 : 2008.07.01 / 업데이트 : 2010.02.04

Posted by Lai Go