Windump 

* 실행파일 하나로 덤프할 수 있다. 

* 실행 방법이 간단하다. 

* 특정 크기/파일 갯수, 연속 캡쳐 및 로테이팅이 가능하다.

* 다양한 옵션으로 필터링을 할 수 있다. tcpdump 랑 같은 옵션을 지원한다.

* winpcap 라이브러리가 필요하다.

 

덤프 방법 - https://www.winpcap.org/windump/docs/manual.htm

1. 패킷 덤프를 뜰 인터페이스를 선택한다. windump.exe -D

2. windump.exe 를 이용하여 패킷을 덤프한다. 

ex) windump.exe -n -i 1 -s 0 -C 10 -W 20 "packetdump_path"

-n : 아이피를 호스트이름으로 바꾸지 않음

-i 1 : 1번 네트워크 인터페이스를 모니터링함

-s 0 : snaplen 의 설정으로 0일 경우 전체 패킷 모니터링함

-C 10 : 10메가 바이트. 이때 메가바이트 단위는 1,000,000. 

-W 20 : 20개의 파일을 로테이션 한다. 기존 파일은 덮어씌운다. 

 

 

netsh

* 별도 라이브러리가 필요없다. 

* 다양한 옵션으로 덤프를 할 수 없다.

* 덤프파일 etl 을 pcapng 로 변환해야한다.

 

덤프 방법

1. 패킷 덤프를 뜰 인터페이스를 선택한다. netsh trace show interfaces

2. netsh trace 를 이용하여 패킷을 덤프한다.

ex) netsh trace start capture=yes CaptureInterface=”Ethernet 3” IPv4.Address=192.168.1.1 tracefile="dump.etl" maxsize=11

 

etl 파일을 pcapng 로 변환하는 방법 - https://github.com/microsoft/etl2pcapng/releases

1. etl2pcapng 를 다운로드 받는다.

2. etl2pcapng.exe 를 실행한다. etl2pcapng.exe source.etl output.pcapng

 

[목표]

회사망(192.168.0.0/16, 10.8.0.0/16)에 연결된 피씨에서 외부 VPN을 연결할 경우.

1. 모든 트래픽은 VPN 을 통해서 나가야한다.

2. 회사 중요 시스템에 접근할땐 물리 NIC을 통해서 나가야한다.


[환경]

우선 VPN 에 접속한다. 이때 모든 트래픽을 vpn 을 타고 가도록 설정한다.

c:\>route print

Interface List
 18...?? ?? ?? ?? ?? 69 ......TAP-Windows Adapter V9   <== 요놈이 VPN 게이트웨이 아이피 10.211.1.2
 11...?? ?? ?? ?? ?? b9 ......Realtek PCIe GBE Family Controller  <== 요놈이 물리 NIC 게이트웨이 아이피 192.168.1.1
 23...?? ?? ?? ?? ?? e2 ......VirtualBox Host-Only Ethernet Adapter


[설정방법] - 회사망으로 가는 트래픽을 모조리 물리 NIC의 게이트웨이를 타도록 설정한다.

route add 192.168.0.0 mask 255.255.0.0 192.168.1.1 IF 11

route add 10.8.0.0 mask 255.255.0.0 192.168.1.1 IF 11

...




ex) Windump.exe -n -i 3 -C 10 -W 10 -w testdump


-n : name resolve 하지 않기

-i 3 : 인터페이스 3번을 모니터링. windump.exe -D 옵션으로 인터페이스 번호를 확인해야함

-C 10 : 10메가씩 짜르기

-W 10 : 파일 갯수 10개씩 돌아가면서 저장. 마지막꺼 지움.

-w testdump : testdump 파일이름으로 저장. 숫자 0~9 까지 -C 옵션에 따라서 늘어남.

http://tracert.com/traceroute?t=?.?.?.?



+ Recent posts