[안드로이드 패킷 캡처] tPacketCapture

※ 주의사항

아래  코드 및 도구 분석은 연구 목적으로 작성된 것이며, 허가 받지 않은 공간에서는 테스트를 절대 금지합니다.

악의 적인 목적으로 이용할 시 발생할 수 있는 법적 책임은 자신한테 있습니다. 이는 해당 글을 열람할 때 동의하였다는 것을 의미합니다.

"정보통신망 이용촉진 및 정보보호 등에 관한 법률" 정당한 접근권한이 없거나 허용된  접근 권한의 범위를 초과하여 정보통신망에 침하는 행위를 금지한다.(48조 1항)

위반하면 3년 이하의 징역 또는 3000만원 이한의 벌금에 처한다.(63조 1항 1호)

주요 정보통신기반시설을 침해하여 교란·마비 또는 파괴한 자는 10년 이하의 징역 또는 1억 원 이하의 벌금에 처하도록 규정하고 있다(28조 1항). 

또 형법에서도 컴퓨터 등 정보처리장치에 허위의 정보 또는 부정한 명령을 입력하거나 그밖의 방법으로 정보처리에 장애를 발생하게 한 자는 업무방해죄로 5년 이하의 징역 또는 1500만 원 이하의 벌금에 처하도록 규정하고 있다(314조 2항).

해당 문서의 저작권은 저자에게 모두 있습니다. 상업적으로 이용할시 법적 조치가 가해질 수 있습니다.

 

1. 개요

tPacketCapture은 안드로이드 OS에서 패킷을 캡처하는데 사용하는 App으로 패킷을 캡처하는데 루트 권한없이 캡처할 수 있다.  tPacketCapture가 루트 권한 없이 패킷을 캡처 할 수 있는 이유는 안드로이드 OS가 제공하는 VpnService을 사용하기 때문이다. 한가지 단점으로는 TCP / UDP 패킷만 캡처를 할 수있으며, 안드로이드 버전 4.0 이상에서만 동작한다. 캡처 한 데이터는 안드로이드 기기에 PCAP 파일 형식으로 저장되며, 캡처된 패킷을 더욱 자세히 확인하고 싶다면, 와이어샤크와 같은 패킷 분석 도구를 이용하면 된다.

2. 테스트 환경

테스트에 사용된 안드로이드 OS 기기 : 갤럭시S3 LTE

테스트에 사용된 안드로이드 버전 : 4.1.2

테스트에 사용된 tPacketCapture 버전 : 1.4

3. 상세 테스트

tPacketCapture는 구글 Play 스토어에서 다운로드 받을 수 있다. Play 스토어에서 다운로드 받아 설치가 완료되면, 아래와 같은 아이콘이 생성된다.

  

생성된 아이콘을 클릭하여 들어가면 아래와 같이 tPacketCapture의 메인 화면을 볼 수 있다.

메인 화면은 MAIN과 FILE LIST로 구분되어 있으며, MAIN 부분은 4가지로 구성되어 있다.

① Capture Files Dir : 캡처된 패킷 파일이 저장되는 위치를 나타낸다. 

    (%Android\data\jp.co.taosoftware.android.packetcapture\files\)

② Current File : 패킷 캡처를 시작하면, 파일명과 캡처 파일의 사이즈가 함께 표시된다.

    (파일명 형식 : 현재 날짜_임의의수.pcap / 2013_01_31_154833.pcap)

③ Storage Size : tPacketCapture를 사용하는 안드로이드 OS 기기의 저장 공간을 표시한다.

④ Capture :  패킷 캡처를 시작할 때 터치(클릭)해준다.

FLIE LIST 부분은 tPacketCapture가 캡처한 패킷 파일들의 리스트를 보여준다. 만일 안드로이드 OS 기기에서 캡처 파일을 지운경우 이곳에 표시되지 않는다.

다음은  tPacketCapture을 이용하여 패킷을 캡처하는 방법에 대해서 알아보자. 패킷을 캡처하는 방법은 MAIN에서 Capture를 클릭하면 경고 메시지를 출력 한다. 경고 메시지를 사용자가 동의하면 [Capture]가 [Running]으로 변경되면서 패킷 캡처를 시작한다. 

참고로 안드로이드 OS 기기 상단 부분에 열쇠아이콘이 생기면 정상적으로 패킷 캡처가 되고 있다는 것이다.

패킷을 어느정도 캡처 한 후에 패킷 캡처를 중지하고 싶다면, [Running]을 클릭하지 말고 상단 메뉴바를 내려 안드로이드 OS가 제공하는 VpnService를 터치(클릭)하여 연결을 끊어야 된다. 터치 (클릭)하면, VpnService 정보를 보여준다. 여기서 [연결 끊기]를 터치(클릭)하면 패킷 캡처가 중지된다.

  

캡처된 패킷 파일은 위에서도 언급한 [%Android\data\jp.co.taosoftware.android.packetcapture\files\현재 날짜_임의의수.pcap] 으로 저장되어 있다. 저장된 패킷 파일을 와이어샤크와 같은 패킷 분석 도구를 이용하여, 자세하게 분석할 수 있다.