패킷 캡쳐 서버 구축 (wirshark, tshark)

카테고리 없음

by Keunwoo.LEE 2023. 5. 26. 16:55

Linux 서버에 패킷 캡처 전용서버를 구축하여 24시간 항상 패킷을 저장하고 있고, 이슈 발생시 해당 패킷 파일을 PC로 불러와서 Wireshark를 이용하여 분석할 수 있는 환경을 구성한다.

Wireshark(tshark)를 이용하여 디스크 용량이 허용하는 범위 내에서 24시간 항상 패킷을 저장하는 패킷 캡처 전용 서버 구축
SAMBA를 이용하여 저장한 패킷을 Windows PC에서 분석할 수 있도록 구성

패킷 캡처 서버 구축 (Centos 7.9)

1. Wireshark 설치 (tshark 함께 설치됨)

> yum install wireshark

2. tshark 실행

-i : interface
-b : Capture Ring buffer options
> filesize : 저장할 파일 사이즈
> files : 저장할 파일 갯수
-w : 저장할 파일 위치 및 이름
-f : Filter 옵션
> 잡고자 하는 트래픽을 명시
> 필자의 경우 전체 트래픽을 잡는데 그중 불필요한 트래픽만 제거하는 방식을 주로 이용한다.

예제 설명

-i eth1 : eth1 인터페이스에서 실행
-b filesize:60000 -b files:1350 : 60 MB 크기의 파일을 1350개를 보관하는 링 버퍼 (1350개가 넘어가면 가장 오래된 파일부터 순서대로 삭제된다)
-w ~/cap/cap.cap : 홈디렉토리 아래의 "/cap/cap_순서번호_날짜시간.cap" 형태로 보관
-f not net 10.21.1.0/24 and not net 10.21.2.0/24 and not net 10.31.1.0/24 and not net 10.31.2.0/24 and not host 10.31.3.11 and not host 10.31.3.62 :
> 10.21.1.0/24, 10.21.2.0/24, 10.31.1.0/24, 10.31.2.0/24 네트워크는 잡지 않는다.
> 10.31.3.11, 10.31.3.62 IP를 잡지 않는다.
> 필터는 반드시 " " (쌍따옴표) 로 묶어준다.

> mkdir ~/cap
> tshark -i eth1 -b filesize:60000 -b files:1350 -w ~/cap/cap.cap -f "not net 10.21.1.0/24 and not net 10.21.2.0/24 and not net 10.31.1.0/24 and not net 10.31.2.0/24 and not host 10.31.3.11 and not host 10.31.3.62"

# 목표했던것처럼 tshark을 프로세서로(백그라운드) 실행시키고자 할때는 제일 뒤에 -q & 를 입력하면 된다.

참고 : tshark를 일반 계정에서 실행하고 싶으면 일반 계정을 wireshark 그룹에 넣어주면 된다.

# kwlee 유저를 wireshark 그룹에 추가한다.
# 그룹 추가 후 재접속.
# 과거에는 setcap 등을 이용하여 권한을 부여해야 했었는데 최근에는 wireshark 그룹에만 넣어주면 된다.
> sudo usermod -a -G wireshark kwlee

Samba 구성

1. Samba 설치

> yum install samba

> systemctl start smb

2. Samba User 추가

> smbpasswd -a kwlee
New SMB password:
Retype new SMB password:
Added user kwlee.

3. Samba를 이용하여 공유하고자 하는 디렉토리 설정

- 필자의 경우 본인 계정의 홈디렉토리 아래에 저장을 하기 때문에 별도의 공유디렉토리 설정이 필요 없지만, 홈디렉토리가 아닌곳에 저장하고 공유하려면 아래와 같이 공유디렉토리 설정이 필요하다.

> vi /etc/samba/smb.conf

[tshark_cap]
comment = cap
path = /tshark/cap
read only = yes

> systemctl restart smb

4. PC에서 확인

"Windows Key + R" 단축키 입력 or "시작 -> 실행" 클릭
아래 화면처럼 IP 입력 후 공유한 디렉토리로 이동

탐색기에 아래 화면과 같이 저장된 파일이 보인다. PC로 가져와서 wireshark로 열어서 보면 된다.

저작자표시 비영리 변경금지

내 블로그 - 관리자 홈 전환	`Q` `Q`
새 글 쓰기	`W` `W`

글 수정 (권한 있는 경우)	`E` `E`
댓글 영역으로 이동	`C` `C`

이 페이지의 URL 복사	`S` `S`
맨 위로 이동	`T` `T`
티스토리 홈 이동	`H` `H`
단축키 안내	`Shift` + `/` `⇧` + `/`

KW

고정 헤더 영역

메뉴 레이어

메뉴 리스트

검색 레이어

검색 영역

상세 컨텐츠

본문 제목

본문

패킷 캡처 서버 구축 (Centos 7.9)

Samba 구성

댓글 영역

추가 정보

인기글

최신글

티스토리툴바

개인정보

단축키

내 블로그

블로그 게시글

모든 영역