Computer Science%/Network

PCAPNG 파일

ch4rli3kop 2017. 10. 30. 01:28
반응형

Pcapng 파일이란?


pcapng( PCAP Next Generation ) 파일 형식은 기존의 pcap을 발전시킨 파일 형식이다. 기존 pcap과 비교하여 패킷 캡처를 한 인터페이스 정보, 주석, 이름 확인 정보 등 더 많은 메타데이터가 추가되었다.


파일의 시그니처도 기존 pcap과 다르다. 기존의 pcap 파일의 시그니처가 D4 C3 B2 A1 이라면, pcapng 파일의 시그니처는 0A 0D 0D 0A 이다.


Pcapng 파일 -> Pcap 파일로 변환


기존의 pcap 파일과 조금 달라진 만큼, pcapng 파일을 분석하지 못하는 도구들이 가끔 있다. 그럴 경우에는 pcapng 파일을 pcap 파일로 변환을 해 주어야 하는데, 내가 자주 사용하는 방법은 두 가지 정도 있다.


편하게 pcapng 파일을 pcap 파일로 변환해주는 사이트를 이용하거나, 와이어샤크의 editcap을 사용하는 방법이다.


먼저 사이트를 이용하는 방법은 다음 링크의 사이트에 접속한 후 파일을 올려 변환시키는 것이다. (사실 이 방법을 가장 많이 이용했다.)

http://pcapng.com/


와이어샤크의 editcap을 사용하는 방법은 editcap 의 -F 옵션을 이용하여 변환시키는 방법이다.

editcap의 -F 옵션에 대해 살펴보면 다음과 같다.



사용법은 "Wireshark 설치 경로"\editcap.exe -F "변환시키려는 파일 포맷" "기존 파일" "결과 파일" 이다. 이해를 돕기 위하여 pcapng 파일을 pcap  파일로 변환시키려 하는 예시를 한번 보자.


기존 pcapng 파일에서,



다음과 같은 명령을 이용하여 pcap 파일로 변환해보도록 하자.



명령어가 제대로 수행이 되었다면 다음과 같이 변환된 파일이 생성된 것을 확인할 수 있다.



결론 : pcapng 파일이란 결국 pcap 파일에서 확장된 파일 포맷이고, 더 많은 정보를 가지고 있다. 그러나 분석 도구에서 가끔 분석을 하지 못하는 경우가 있으므로, 해당 경우에는 pcap 파일로 변환을 시켜 분석을 진행하도록 한다.



반응형

'Computer Science% > Network' 카테고리의 다른 글

가상 사설 네트워크 망 만들기 (feat. vm router 만들기)  (1) 2018.07.12
WPA2 무선랜 해킹  (6) 2018.05.24
패킷과 프레임의 차이  (0) 2017.10.17
Mac 이란?  (0) 2017.09.26
OSI 7 Layer (Network part)  (0) 2017.09.26