-
Microsoft Network Monitortip 2011. 4. 3. 23:44
현대에는 거의 모든 정보들이 네트워크 케이블을 타고 움직인다. 그 속에는 "지수야 사랑해~!" 와 같은 민감한 개인정보 에서 부터 국가의 존속에 영향을 주는 어떠한 데이터 까지 담겨 있을 수 있다. 물론 이러한 데이터들은 개인정보보호 차원에서나 국가의 안보를 위해 보호하려는 노력은 끝임없이 이루어지고 있고, 이와는 대조적으로 악의적인 목적으로 이러한 정보를 허가 없이 득하거나 변조하는 사례가 증가되고 있다.
이는 네트워크 구조상 같은 네트워크에 존재할 경우 흘러다니는 모든 데이터들을 가져올 수 있고 시스템을 변조(프로그래밍) 하여 아무런 제재없이 네트워크 정보를 얻을 수 있기 때문이다. 특히,악성코드 중에 스니퍼(Sniffer)와 같은 부류의 악성코드들은 네트워크 인터페이스 속성을 promiscuous mode 로 변경하고 Network Data Link Interface 를 사용하여 네트워크 카드에게서 RAW 데이터를 받을 수 있도록 고안되어진다.
서론이 길었는데, 연구목적에서도 네트워크 데이터를 캡쳐해야할 필요가 충분히 발생할 수 있다. Pcap (packet capture) 라이브러리(http://www.winpcap.org/)는 켈리포니아 대학교에서 여러 OS 마다 서로다른 네트워크 인터페이스를 하나로 통일하여 사용하자는 생각에서 출발하여 만든 것인데, 이 라이브러리의 성능이 좋아 여러 네트워크 패킷 캡쳐 프로그램들에 의해서 사용되고 있다. 예를 들면 Ethereal, Wireshark 이나 tcpdump, Nmap, Snort, ntop 같은 많은 툴들이 있다.
그러나 대부분의 패킷 캡쳐 툴들은 윈도우의 특성을 잘 반영하고 있지 못하다는 단점을 가지고 있는데, 가장 두드러지는 것이 어느 프로세스에 의해서 발생된 트래픽 데이터인지 알기 힘들다는 것이다.
오늘 소개할 Microsoft 의 Network Monitor 라는 툴은 이러한 면에서 현재 실행되고 있는 프로세스가 어떤 패킷을 주고 받고 있는지 GUI 프로그램으로 쉽게 확인할 수 있다는 장점이 있다.
필자도 아직 적극적으로 사용해 본것이 아니여서 많은 기능을 알지는 못하여, 오늘은 소개만 하고 이후에는 기능적인 면에 대해서 적어보기로 하고 오늘은 이만 줄이려고 한다.
'tip' 카테고리의 다른 글
Symantec Endpoint Protection 로그 Raw 분석 (0) 2011.12.01 Shift+Space Bar 로 한영전환 하기 (0) 2011.11.24 Microsoft Mathmatics Add-in (0) 2011.03.24 쉽게 윈도우 시스템 파일 복구하는 방법 (0) 2011.03.13 Analysis Code Obfuscateed VBScript (0) 2011.02.11