패킷 스니핑(PACKET SNIFFING) 기초

 

 

패킷 스니핑 이란?

네트워크를 통해 전송된 패킷을 가로채고 분석하는 기술이다.

• 유선의 경우 : 프로미스큐어스 모드를 활성화하여, 네트워크 인터페이스 카드 자신에게 직접적으로 
  주소가 지정되지 않은 모든 패킷을 캡쳐한다.
• 무선의 경우 : 모니터모드를 활성화하여, 네트워크 인터페이스 카드가 범위의 모든 패킷을 캡쳐한다.

현재 무선 랜카드 사용중이기 때문에 후자를 기준으로 한다.

 

 

---

 

예시

airodump-ng [interface name] 을 사용해 캡쳐를 시작한다.

이와 같은  화면을 볼 수 있다

• ESSID : 주변 네트워크의 이름을 보여준다. (ex. KT-GIGA2.4G-1234)
• BSSID : 주변 네트워크의 Mac주소를 보여준다.
• PWR : 네트워크의 신호 강도나 세기를 의미한다.
• Beacons : 네트워크가 존재를 알리기 위해 Broadcast 하는 프레임이다.
• #Data : 데이터의 패킷 또는 데이터 프레임의 수
• #/s : 지난 10초 동안 수집한 패킷의 수를 보여준다.
• CH : 네트워크가 작동하는 채널을 나타낸다.
• MB : 네트워크가 지원하는 최대 속도를 나타낸다.
• ENC : 사용된 암호화를 나타낸다.
• CIPHER : 네트워크 내에서 사용되는 암호화이다.
• AUTH : 해당 네트워크에서 사용하는 인증이다. PSK의 경우 미리 공유한 키가 있다는 뜻이다 
• STATION : 연결된 기기의 Mac 주

 

위의 값들을 이용해서

airodump-ng --bssid [Mac address]  --channel 149 --write dump wlan0

이처럼 특정 네트워크를 캡쳐할 수 있다.

--write dump 까지 사용하여 파일로 저장도 가능하다.

dump 저장

 

 

 

---

 

 

 

주파수(2.4Ghz & 5Ghz)

airodump-ng는 기본값으로 2.4Ghz 까지만 캡쳐를 한다. 만약 5Gh까지 캡쳐 해야 한다면,

airodump-ng --band abg wlan0 이런식으로 --band abg 를 붙여주면 5Ghz까지 볼 수 있다.

 

 

---

 

 

간단한 분석

예시로 다음과 같이 특정 네트워크에 대해 저장을 하고 Wireshark를 통해 확인하면

다음과 같이 BSSID와 Mac주소가 동일한 것을 보면 지금 라우터는 Allradio 라는 업체의 것이라는 것을 볼 수 있다