2007~2011/Tools2008. 7. 1. 01:28

Network Monitor (Netmon)는 네트워크 프로토콜 트래픽 분석 유틸리티입니다. Network Monitor 3.1 을 사용해서 네트워크 프로토콜을 수집하는 몇 가지 방법을 정리하였습니다.

Netmon 2.x와 3.x의 가장 큰 변화는 캡쳐 필터링이라고 생각합니다. 캡쳐 필터링 옵션 변화에 따른 패킷 수집 방법을 사례 별로 아주 기본적인 테스트를 해 봅니다. 
일반적으로 Netmon 트래픽을 수집하기 위해서는 Client와 Server 측에서 함께 로그 수집을 해야 문제 해결을 위한 보다 정확한 데이터를 얻을 수 있습니다.

아래 그림은 Netmon 3.1 인터페이스입니다. Catpure Filter 제어, Frame Summary, Frame Details, Hex Details 값을 바로 확인할 수 있습니다.

Capture Filter 에 Filter 구문을 작성한 뒤 반드시 Verify, Apply 하여 체크 및 필터를 적용해야 합니다.

사용자 삽입 이미지



[환경]
Server : 192.168.0.100
Client : 192.168.0.133


Case 1. 특정 Source IP Address(192.168.0.133) 에서 유입되는 Packet 확인

IPv4.SourceAddress == 192.168.0.133


Client 에서 Server 로 터미널 서비스 접속을 시도 하였습니다.

사용자 삽입 이미지




Case 2. TCP Source Port 가 3389인 frame 확인

Tcp.Port == 3389


Client 에서 Server 로 터미널 서비스 접속을 시도 하였습니다.

사용자 삽입 이미지




Case 3. 3389 port Packet은 캡쳐하지 않음

Tcp.Port != 3389


터미널 서비스 3389 포트 커넥션을 시도 하였으나 아래 그림과 같이 캡쳐되지 않습니다.

사용자 삽입 이미지





Case 4. ARP Packet 찾기

ARP


사용자 삽입 이미지




Case 5. Source Port 1096, Destination Port 3389 과 일치하는 Packet

Tcp.SrcPort == 1096 AND Tcp.DstPort == 3389


사용자 삽입 이미지





Case 6. Command 명령을 이용한 Packet 수집

C:\Program Files\Microsoft Network Monitor 3\> nmcap /network * /capture /File client.cap:10M


모든 패킷을 수집하는 명령입니다. 수집이 완료되면 Ctrl + C 를 입력하여 수집을 중지합니다.

사용자 삽입 이미지


자, 수집을 하셨으니 이제 분석을 해야겠죠? 누가하죠? 어떻게?.... What?
약은 약사에게 패킷 분석은 전문 분석 엔지니어에게 ^^;


[참고자료]
Microsoft Network Monitor 3.3
http://www.microsoft.com/downloads/details.aspx?FamilyID=983b941d-06cb-4658-b7f6-3088333d062f&displaylang=en

The Basics of Reading TCP/IP Traces
http://support.microsoft.com/kb/169292/en-us

Explanation of the Three-Way Handshake via TCP/IP
http://support.microsoft.com/kb/172983/en-us

Into to Filtering with Network Monitor 3.0
http://blogs.technet.com/netmon/archive/2006/10/17/into-to-filtering-with-network-monitor-3-0.aspx



작성자 : Lai Go / 작성일자 : 2008.07.01 / 업데이트 : 2010.02.04

Posted by 사용자 Lai Go

댓글을 달아 주세요

  1. 홍길동

    성민씨~ 아..결국엔 어제 작업을 다 하셨군요^^ 대단합니다...
    성민씨~ 곧 출판합시다 !!!

    좋은 자료 항상 감사해요.. 나도 따라갈게~~~~~

    2008.07.01 13:23 [ ADDR : EDIT/ DEL : REPLY ]
  2. 1박 2일도 아니고... 2박 3일 잘 다녀오세요~!
    무사귀환을 빕니다. ㅋㅋㅋ

    2008.07.01 14:32 신고 [ ADDR : EDIT/ DEL : REPLY ]
  3. 한글친구

    좋은 글이네... 나도 블로그를 enable해야 겄다... 그런데... 내가 누구게??

    2008.07.09 15:24 [ ADDR : EDIT/ DEL : REPLY ]
  4. 조책임님, 반갑습니다. ^^;
    얼른~ enable 해 주세요~!

    2008.07.10 00:39 신고 [ ADDR : EDIT/ DEL : REPLY ]
  5. 링크 주소가 바뀌어서 커맨트로 달아놓습니다. 3.3버전입니다. 이름을 클릭하면 이동합니다.(마이크로 소프트)

    2010.02.04 10:05 [ ADDR : EDIT/ DEL : REPLY ]
    • 고맙습니다. *^^* 3.3 버전으로 업데이트 링크 변경했습니다.
      아~ 다음 버전 나오면 또 업데이트 해야겠군요... ㅋㅋ

      2010.02.04 13:02 신고 [ ADDR : EDIT/ DEL ]
  6. jkmoon

    형님 좋은 내용 확인하고, 갑니다. 오늘은 넷몬으로, 포스팅...

    2011.12.27 14:22 [ ADDR : EDIT/ DEL : REPLY ]