PostList

2016년 7월 28일 목요일

FortiGate Packet Dump txt 파일 PCAP 변환 방법



FortiGate Packet Dump txt 파일 PCAP 변환 방법

FortiGate 뿐 아니라 L3 이상의 네트워크 기반 장비는 대부분 해당 장비를 거치는 Packet 에
대한 Dump 기능을 제공 합니다. 제공 방식이나 명령어, output 에 대한 내용은 달라 질 수
있기 때문에 본 포스팅에서 다루는 txt 파일을 pcap 으로 변환하는 방법이 적용되지 않을
수도 있겠지만 기본적으로 다음과 같이 HEX 형태로 dump 파일이 생성되면 해당 파일을
pcap 으로 변환 할 수 있습니다.

txt 파일을 pcap 으로 변환해야 하는 이유는 HEX 형태의 dump 파일을 Wireshark 에서
불러 올 수 없기 때문입니다. Wireshark 는 Packet 분석 용도로 많이 사용되는 편리한 툴
입니다.


[HEX 형태의 Packet dump 파일 예시]



[PCAP 변환 방법]
해당 파일 외에도 pcap 으로 변환하는 방법은 많이 있습니다만 별도의 프로그램을
설치 해야 하는 등 불편한 부분이 있는 반면 제공해드리는 파일은 해당 exe 파일만
있으면 PCAP 으로 변환이 가능 합니다.
exe 파일은 cmd 에서 실행해야 하고, GUI 는 지원하지 않습니다.
우선 아래 링크를 통해 PCAP 변환 파일을 다운로드 받은 다음 순서대로 진행 하면 됩니다.

PCAP Converter 다운로드 링크

1. 파일 다운로드
   아무 경로에나 다운받아서 cmd 로 실행하면 되지만 저는 cmd 를 통한 접근이 용이
   하도록 파티션을 나눈 디스크에 해당 파일을 다운 받아놓았습니다.
 

2. cmd 실행 'win + r' -> cmd 입력 또는 cmd 아이콘 실행
   cmd 창에서 'pcap_converter.exe' 가 존재하는 경로로 이동 합니다.
 

3. txt 파일 pcap 변환
   test.txt 에는 HEX 형태로 Packet Dump 내용이 들어있습니다.
   pcap 으로 변환하기 위해서 사용하는 명령어는 다음과 같습니다.

   'pcap_converter.exe -in [HEX파일] -out [변환할파일]'
   예)'pcap_converter.exe -in test.txt -out test.pcap'
 

4. pcap 파일 확인
   pcap 변환 명령어를 실행하고, 해당 폴더를 보면 pcap 파일이 생성 되어 있는것을 확인
   할 수 있습니다. Wireshark 가 설치 되어 있는 경우 pcap 파일을 더블 클릭 하면 바로
   Wireshark 가 실행되며 Packet 을 확인 할 수 있습니다.
 


Perl 이나 기타 프로그램을 설치 할 필요가 없다는 것이 장점이고, HEX 형태의 파일만
변환이 가능하다는 점 꼭 참고하셔서 관련 업무에 유용하게 사용하셨으면 좋겠습니다.

감사합니다.

댓글 없음:

댓글 쓰기