Windows Packet Monitoring by SmartSniff (smsniff)
가끔 Windows PC나 서버를 운영하다 보면, 장애나 이슈로 Network Packet Monitoring을 해야 할 때가 있다. 보통 Wireshark를 설치하여 Packet Dump 및 분석을 진행하는데, 고객의 PC나 서버의 경우 Wireshark 및 Capture용 Driver를 설치하는 것이 부담스러울 때가 있다. 바로 이 때, NirSoft 사의 SmartSniff라는 제품을 사용하면 좋을 것 이다.
http://www.nirsoft.net/utils/smsniff.html
이 프로그램의 장점은 위 사이트에서 무료로 다운로드 받을 수 있으며, 문제의 장비에서 별도의 설치 과정 없이 실행이 가능하다는 것이다. 일단 실행하면 아래와 같은 매우 심플한 창이 뜬다.
여기서 바로 좌상단의 삼각형 재생 버튼을 클릭하면 바로 Packet Capture 작업이 시작된다.
실제로 사용자 PC에서 Capture한 화면이다. Column 3~4는 실제 IP가 찍히고, 어떤 Protocol로 통신했는지까지 확인이 가능하다. 12번 통신 내역은 MS-SQL서버로 로그인하는 Packet을 잡은 것이다. 해당 패킷을 우클릭하여 HTML로 보면 아래와 같이 HTML형대로 자료가 정리된다. 실제로 해당 Packet의 분석 과정에서 암호화 되지 않은 Query문에서 SQL Server로 로그인 하는 계정과 패스워드까지 확인 할 수 있었다.
따로, HEX Dump 분석 없이도 오른 쪽 열에 ASCII 문자를 보여줄 정도입니다.
사전에 장애나 이슈에 대한 정보가 있었다면, Capture Filter를 적용하여 보다 정확하게 문제에 접근 하는 것도 가능하다.
항상 PC나 관리 서버에 올려두고 유용하게 사용하기 좋은 툴로 보인다. 물론 관리자의 약간의 경험과 툴에 대한 이해가 장애같이 급박한 상황에서는 툴과 함께 더 빛을 바랄 것이라고 생각된다.
http://www.nirsoft.net/utils/smsniff.html
이 프로그램의 장점은 위 사이트에서 무료로 다운로드 받을 수 있으며, 문제의 장비에서 별도의 설치 과정 없이 실행이 가능하다는 것이다. 일단 실행하면 아래와 같은 매우 심플한 창이 뜬다.
여기서 바로 좌상단의 삼각형 재생 버튼을 클릭하면 바로 Packet Capture 작업이 시작된다.
실제로 사용자 PC에서 Capture한 화면이다. Column 3~4는 실제 IP가 찍히고, 어떤 Protocol로 통신했는지까지 확인이 가능하다. 12번 통신 내역은 MS-SQL서버로 로그인하는 Packet을 잡은 것이다. 해당 패킷을 우클릭하여 HTML로 보면 아래와 같이 HTML형대로 자료가 정리된다. 실제로 해당 Packet의 분석 과정에서 암호화 되지 않은 Query문에서 SQL Server로 로그인 하는 계정과 패스워드까지 확인 할 수 있었다.
따로, HEX Dump 분석 없이도 오른 쪽 열에 ASCII 문자를 보여줄 정도입니다.
사전에 장애나 이슈에 대한 정보가 있었다면, Capture Filter를 적용하여 보다 정확하게 문제에 접근 하는 것도 가능하다.
항상 PC나 관리 서버에 올려두고 유용하게 사용하기 좋은 툴로 보인다. 물론 관리자의 약간의 경험과 툴에 대한 이해가 장애같이 급박한 상황에서는 툴과 함께 더 빛을 바랄 것이라고 생각된다.
댓글
댓글 쓰기