[파이썬] 스니퍼(Sniffer) 및 네트워크 패킷 분석 도구 개발

01 Sep 2023

python

소개

이번 포스트에서는 Python을 사용하여 스니퍼(Sniffer) 및 네트워크 패킷 분석 도구를 개발하는 방법에 대해 알아보겠습니다. 패킷 스니핑은 네트워크 트래픽을 가로채어 패킷의 내용을 분석하는 프로세스를 의미하며, 이 정보를 수집하여 네트워크 문제 해결, 보안 감시 등 다양한 목적으로 활용할 수 있습니다.

필요한 도구

패킷 스니핑을 구현하기 위해서는 몇 가지 도구가 필요합니다. 이 포스트에서는 다음과 같은 도구를 사용할 예정입니다:

Python : 네트워크 소켓 프로그래밍 및 패킷 분석을 위한 프로그래밍 언어
Scapy : 네트워크 패킷 생성, 조작 및 분석을 위한 파이썬 라이브러리
Wireshark : 패킷 스니핑 도구로, 분석된 패킷을 시각적으로 확인할 수 있습니다.

스니퍼(Sniffer) 작성

패킷 스니핑 시작하기

먼저, Python에서 스니퍼를 작성하는 방법에 대해 알아보겠습니다. 패킷 스니핑을 위해서는 네트워크 인터페이스를 열고 패킷을 읽어야 합니다. 다음과 같이 소켓(네트워크 통신을 위한 추상화된 인터페이스)을 열어 네트워크 인터페이스를 선택할 수 있습니다:

import socket

def start_sniffer(interface):
    # 소켓 열기
    sock = socket.socket(socket.AF_PACKET, socket.SOCK_RAW, socket.ntohs(0x0003))
    sock.bind((interface, 0))
    
    while True:
        # 패킷 수신
        packet, _ = sock.recvfrom(65535)
        
        # 패킷 분석
        # TODO: 패킷 분석 로직 작성
    
    sock.close()

# 스니핑할 네트워크 인터페이스 설정
interface = "eth0"

# 스니퍼 시작
start_sniffer(interface)

패킷 분석하기

패킷 스니핑을 통해 수신된 패킷을 분석하는 방법에 대해 알아보겠습니다. Scapy를 사용하면 손쉽게 패킷을 분석할 수 있습니다. 다음은 패킷을 분석하여 source IP와 destination IP를 출력하는 예제입니다:

import scapy.all as scapy

def analyze_packet(packet):
    ip_layer = packet.getlayer(scapy.IP)
    source_ip = ip_layer.src
    destination_ip = ip_layer.dst
    
    print("Source IP: ", source_ip)
    print("Destination IP: ", destination_ip)

# 패킷 스니핑 함수에 패킷 분석 함수 추가
def start_sniffer(interface):
    ...
    
    while True:
        ...
        # 패킷 분석
        analyze_packet(scapy.IP(packet))

    ...

결과 시각화하기

패킷을 분석한 정보를 시각화하여 보다 직관적으로 확인할 수 있습니다. Wireshark는 패킷 스니핑 도구 중 하나로, 분석된 패킷을 그래프나 테이블 형태로 시각화하여 제공합니다. Wireshark를 사용하기 위해서는 패킷을 pcap 또는 pcapng 형식으로 저장해야 합니다. scapy를 사용하여 패킷을 파일로 저장하는 예제는 다음과 같습니다:

import scapy.all as scapy

def analyze_packet(packet):
    ...

def start_sniffer(interface):
    ...

    # 패킷 저장을 위한 pcap 파일 열기
    pcap_file = open("captured_packets.pcap", "wb")
    pcap_writer = scapy.PcapWriter(pcap_file)

    while True:
        ...
        # 패킷 분석
        analyze_packet(scapy.IP(packet))
        
        # 분석된 패킷을 pcap 파일에 저장
        pcap_writer.write(packet)

    # pcap 파일 닫기
    pcap_file.close()
  
    ...

Wireshark를 사용하여 captured_packets.pcap 파일을 열면, 분석된 패킷을 시각적으로 확인할 수 있습니다.

마무리

이번 포스트에서는 Python을 사용하여 스니퍼(Sniffer) 및 네트워크 패킷 분석 도구를 개발하는 방법을 알아보았습니다. 패킷 스니핑을 통해 네트워크 트래픽을 분석하고, 문제 해결 및 보안 감시에 활용할 수 있습니다. Scapy 라이브러리를 사용하여 패킷을 분석하고, Wireshark를 사용하여 결과를 시각화할 수 있습니다. 다음은 이를 응용하여 보다 복잡한 기능을 개발하는 것도 가능합니다.

더 많은 패킷 분석 도구 개발 방법과 활용 사례를 알고 싶다면, 포스트와 코드 예제를 참고해보세요.

Happy packet sniffing!