소개글

.

목차

◎ Ethereal 동작원리
◎ Ethereal 설정 방법
1. IP
2. TCP
3. UDP
4. DNS
5. ICMP
6. ARP
7. HTTP
8. FTP
각각의 동작원리와 패킷분석

본문내용

◎ Ethereal 동작원리
- Ethereal은 네트워크 인터페이스 카드로 들어오거나 나가는 패킷을 캡처 및 분석 해 주는 도구입니다.
Windows의 NIC Driver는 NIC으로 들어오는 패킷들 중 목적지 어드레스가 일치하지 않는 패킷은 버리도록 되어 있기 때문에, 이런 패킷까지 모두 캡처하기 위해서는 특별한 처리가 필요합니다. 이러한 처리를 위해 Ethereal에서는 WinPcap이라는 프로그램을 사용합니다. WinPcap은NIC으로 들어오는 모든 패킷을 캡처하여 어플리케이션 레벨까지 전달해 줍니다.
Ethereal은 WinPcap이 캡처하여 어플리케이션 레벨까지 전달한 패킷들을 종류에 따라 분석하기 쉽게 각 요소를 구분하여 디스플레이 해 줍니다. Ethereal은 700개가 넘는 다양한 종류의 패킷을 인식하여 각 요소를 분해해 줍니다.
정리하면, 실제 패킷 캡처는 WinPcap에 의해 이루어지며 Ethereal은 캡처된 패킷을 분석하는 역할을 하게 됩니다.

◎ Ethereal 설정 방법


① Capture
- "Interface"는 NIC을 선택하는 부분입니다. 선택된 NIC을 통해 나가고 들어오는 패킷들을 대상으로 캡처를 수행합니다.
현재 사용하고 있는 NIC이 이더넷 표준을 따르기 때문에“Link-layer header type”은Ethernet이 자동으로 선택됩니다.
Ethereal의 패킷 분석 속도보다 캡처되는 패킷의 양이 더 많을 경우 버퍼링이 필요합니다. “Buffer size"에서 버퍼의 크기를 결정할 수 있습니다.
“Capture packets in promiscuous mode"가 선택되면 NIC으로 들어오는 패킷의 MAC주소가 일치하지 않더라도 모두 캡처합니다. 하지만 이 옵션을 선택하더라도, 이더넷 스위치가 MAC 테이블을 참조해 패킷을 목적지로만 전송해 주는 기능을 수행할 경우에는 NIC의 MAC과 일치하는 패킷만 들어오기 때문에, 캡처되는 패킷은 이 옵션을 해제했을 경우와 동일합니다.

참고 자료

없음