'network protocol'에 해당되는 글 1건

  1. 2009.06.01 코코아 패킷 애널라이져 (Cocoa Packet Analyzer for Mac OS X)



네트웍을 조금 깊이 공부하다 보면 필요한 툴 중에 하나가 패킷 스니핑(packet sniffing) 소프트웨어이다. 패킷 스니핑이란 네트웍 상에 오가는 모든 패킷들의 내용을 보는걸 말한다. (평상시에는 자신에게 오는 패킷만 받아 처리한다) 예전 텍스트 환경에서 많이 사용되던 프로그램으로는 snoop (SunOS에서 사용)과 지금도 거의 표준적으로 사용되고 있는 tcpdump가 있다.

GUI 환경의 툴로는 보통 tcpdump/pcap을 사용하고 거기에 graphic back-end를 붙여준 형태가 많다.


Ethereal 에서 이름이 바뀐 Wireshark이다. 현재 패킷 스니핑 툴에서는 거의 de-facto standard의 지위를 차지하고 있다. 물론 Windows/Linux/Mac OS X 모두 지원한다. 다만 아래 화면에서 볼 수 있는것처럼 Linux/X Windows를 맥에 포팅한 형태이기 때문에 맥 고유의 UI를 사용하지 않아서 맥 어플리케이션의 깔끔한 느낌이 없다.

그에 비해 Cocoa Packet Analyzer는 처음부터 네이티브 맥 OS X와 코코아 환경에서 구현한 패킷 스니핑 툴이라 맥 UI가 깔끔하게 적용되어 있다. 산업표준인 pcap 패킷 캡춰 포맷을 지원하기 때문에 다른 패킷 스니핑 툴과도 트레이스 파일이 호환된다. 또한 libpcap/tcpdump 의 packet filter expression을 사용할 수 있기 때문에 tcpdump에 익숙한 사람은 별도로 공부할 필요가 없다.
그리고 cocoa bundle technology를 지원하기 때문에 애널라이져 플러그인을 만들어 붙일 수도 있다. 현재 SIP 프로토콜은 3rd party의 플러그인으로 구현되어 있다.

* 예전에는 보통 libpcap/tcpdump를 먼저 깔아준 다음 프로그램을 설치하는 형태가 많았는데 Cocoa Packet Analyzer도 최근 다른 프로그램들과 마찮가지로 필요한 모든걸 한꺼번에 설치해주기 때문에 편리하다.








L2TP 패킷의 내용을 보는 화면이다.

IP v6도 당연히 지원한다.

컬럼에 어떤 필드를 보여줄 지 선택할 수 있다.


캡춰된 패킷을 쉽게 검색할 수 있도록 되어있다.


지원하는 프로토콜 타입은 다음과 같다.
  • Ethertype ARP
  • Ethertype IP (v4/ v6)
  • Ethertype PPP
  • Ethertype PPPoED/S
  • Ethertype 802.1Q VLAN
  • Linktype Loopback
  • Linktype PPP
  • IP-Protocol IP
  • IP-Protocol TCP
  • IP-Protocol UDP
  • IP-Protocol ICMP
  • IP-Protocol IGMP
  • IP-Protocol L2TP
  • PPPoE Discovery and Sessionstages
  • PPP-Protocols: IP, LCP, IPCP, CCP, PAP, CHAP
  • L2TP-Protocol (port based detection)
  • RADIUS-Protocol (port based detection)
  • SIP-Protocol (third party analyzer plugin)
현재 버젼은 0.60.1이다.
Posted by nautes

이전버튼 1 이전버튼