네트워크 보안의 핵심, SWG(Secure Web Gateway)의 이해

[소스코드]

 1. 모듈 임포트

• socket: 네트워크 통신을 위한 저수준 소켓 API를 제공합니다.
• struct: 바이트 데이터를 구조체로 변환하거나 그 반대로 변환할 때 사용합니다 (예: 패킷 헤더 파싱).

 2. 패킷 캡처 함수 정의

• interface: 예를 들어 "eth0" 또는 "wlan0" 같은 네트워크 인터페이스 이름을 인자로 받습니다.

 3. RAW 소켓 생성 및 바인딩

• AF_PACKET: 이더넷 프레임을 직접 캡처할 수 있는 소켓 타입 (Linux 전용).
• SOCK_RAW: 원시 소켓으로, 모든 패킷을 캡처할 수 있습니다.
• 0x0003: 모든 프로토콜을 캡처하겠다는 의미 (ETH_P_ALL).
• bind: 특정 인터페이스에 소켓을 바인딩합니다.

 4. 무한 루프에서 패킷 수신

• recvfrom: 최대 65565 바이트까지 수신.
• [0]: 실제 패킷 데이터만 추출 (두 번째 값은 송신자 주소).

 5. 이더넷 헤더 파싱

• 이더넷 헤더는 14바이트: 목적지 MAC(6) + 출발지 MAC(6) + 프로토콜(2)
• !6s6sH: 네트워크 바이트 순서로 6바이트 문자열 2개와 2바이트 정수
• eth_protocol: 상위 계층 프로토콜 (예: 0x0800은 IP)

 6. IP 패킷인지 확인

• 0x0800은 IP 프로토콜을 의미합니다. 8은 ntohs(0x0800)의 결과입니다.

 7. IP 헤더 파싱

• IP 헤더는 최소 20바이트.
• iph: IP 헤더 필드들을 튜플로 파싱.

• ihl: IP 헤더 길이 (단위: 4바이트)
• protocol: 상위 계층 프로토콜 (TCP=6, UDP=17 등)
• s_addr, d_addr: 출발지/목적지 IP 주소

 8. TCP 패킷 처리

• TCP 프로토콜이면...

• TCP 헤더는 최소 20바이트.
• tcph: TCP 헤더 필드들을 파싱.

• tcph_length: TCP 헤더 길이 (단위: 4바이트)

• 실제 데이터(payload)를 추출하고 처음 64바이트만 출력

 9. UDP 패킷 처리

• UDP 프로토콜이면...

• UDP 헤더는 8바이트

• 포트 번호와 길이 출력

• UDP 데이터도 처음 64바이트만 출력

 요약

이 코드는 다음을 수행합니다:

1. 네트워크 인터페이스에서 모든 패킷을 캡처
2. 이더넷 → IP → TCP/UDP 헤더를 파싱
3. 출발지/목적지 IP, 포트, 데이터 일부를 출력

   

Python의 raw socket 기능을 활용해 직접 패킷 스니퍼를 socket과 struct 모듈을 이용해 TCP/UDP 패킷을 실시간으로 캡처하고, 간단한 필터링하는 과정입니다

 준비물

• 리눅스 환경 (WSL, Ubuntu 등)
• Python 3.x
• 루트 권한 (sudo)

 요약

• Raw Socket: 운영체제의 네트워크 스택을 우회해, 이더넷 프레임부터 직접 접근할 수 있는 소켓.
• Ethernet Header: MAC 주소와 프로토콜 정보를 담고 있음.
• IP Header: 송수신 IP, 프로토콜(TCP/UDP) 정보 포함.
• TCP/UDP Header: 포트 번호, 시퀀스 번호 등 전송 계층 정보 포함.

 코드 설명

• AF_PACKET: 이더넷 프레임 단위로 수신
• SOCK_RAW: 원시 패킷 수신
• 0x0003: 모든 프로토콜 수신

• 이더넷 헤더는 14바이트
• !6s6sH: 목적지 MAC, 출발지 MAC, 프로토콜

• IP 헤더에서 프로토콜 번호 추출
• 6은 TCP, 17은 UDP

• TCP 헤더에서 포트, 시퀀스, ACK 번호 추출

실행 방법

1. 파일 저장: packet_sniffer.py
2. 실행:

1. 출력 예시:

[IP] From: 192.168.0.10 To: 192.168.0.1 Protocol: 6
[TCP] Src Port: 443 Dst Port: 52344 Seq: 123456 Ack: 654321
[Data] b'GET / HTTP/1.1\r\nHost: example.com\r\n'...

[소스코드]

import socket
import struct

def capture_packets(interface):
    sock = socket.socket(socket.AF_PACKET, socket.SOCK_RAW, socket.ntohs(0x0003))
    sock.bind((interface, 0))

    while True:
        packet = sock.recvfrom(65565)[0]

        eth_length = 14
        eth_header = packet[:eth_length]
        eth = struct.unpack('!6s6sH', eth_header)
        eth_protocol = socket.ntohs(eth[2])

        if eth_protocol == 8:  # IP 패킷
            ip_header = packet[eth_length:eth_length+20]
            iph = struct.unpack('!BBHHHBBH4s4s', ip_header)
            version_ihl = iph[0]
            ihl = version_ihl & 0xF
            iph_length = ihl * 4
            protocol = iph[6]
            s_addr = socket.inet_ntoa(iph[8])
            d_addr = socket.inet_ntoa(iph[9])

            print(f'[IP] From: {s_addr} To: {d_addr} Protocol: {protocol}')

            if protocol == 6:  # TCP
                t = eth_length + iph_length
                tcp_header = packet[t:t+20]
                tcph = struct.unpack('!HHLLBBHHH', tcp_header)
                source_port = tcph[0]
                dest_port = tcph[1]
                sequence = tcph[2]
                acknowledgment = tcph[3]
                doff_reserved = tcph[4]
                tcph_length = doff_reserved >> 4

                print(f'[TCP] Src Port: {source_port} Dst Port: {dest_port} Seq: {sequence} Ack: {acknowledgment}')

                h_size = eth_length + iph_length + tcph_length * 4
                data = packet[h_size:]
                print(f'[Data] {data[:64]}...')  # 처음 64바이트만 출력

            elif protocol == 17:  # UDP
                u = eth_length + iph_length
                udp_header = packet[u:u+8]
                udph = struct.unpack('!HHHH', udp_header)
                source_port = udph[0]
                dest_port = udph[1]
                length = udph[2]

                print(f'[UDP] Src Port: {source_port} Dst Port: {dest_port} Length: {length}')

                h_size = eth_length + iph_length + 8
                data = packet[h_size:]
                print(f'[Data] {data[:64]}...')  # 처음 64바이트만 출력

if __name__ == "__main__":
    capture_packets("eth0")  # 실제 사용하는 인터페이스 이름으로 변경

~      

🚨 주의:
모든 파일이 복구 불가능하게 삭제되므로, 실행 전 테스트 필수 !

폴더 안에 여러 개의 하위 폴더가 있고, 그 안에 있는 모든 *.Identifier 파일을 삭제하고 싶다면, 다음 명령어를 사용하면 됩니다.

🔹 Linux / macOS (터미널)

find /micro-service1 -type f -name "*.Identifier" -exec rm -f {} +

✅ 설명

• find /micro-service1 -type f -name "*.Identifier" → micro-service1 폴더 내부의 모든 파일 검색
• -exec rm -f {} + → 검색된 파일을 삭제

🔹 Windows (CMD)

for /R C:\micro-service1 %f in (*.Identifier) do del "%f"

✅ 설명

• /R 옵션을 사용해 폴더 내부까지 탐색
• *.Identifier 파일을 찾아서 삭제

🔹 Windows (PowerShell)

Get-ChildItem -Path C:\micro-service1 -Recurse -Filter "*.Identifier" | Remove-Item -Force

✅ 설명

• Get-ChildItem을 사용하여 모든 하위 폴더를 탐색
• "*.Identifier" 파일을 찾은 후 삭제

VSCode Explorer 초기화 방법

Explorer 뷰 새로고침

Ctrl + Shift + P를 눌러 명령 팔레트를 열고
"View: Refresh Explorer" 입력 후 실행
파일 목록이 새로고침되면서 정상적으로 표시될 수 있음