[Network Sniffers] Netsniff-NG Tool Kit (2) - flowtop On Kali Linux

1. 개요

flowtop은 호스트 또는 라우터에서 실행할 수있는 TCP/UDP 연결 흐름 추적 도구이며, GeoIP 및 TCP 상태의 시스템 정보를 표시한다. 또한 flowtop는 네트워크 연결 흐름에 관련된 응용 프로그램 이름과 PID를 표시해 준다. 사용자가 flowtop을 이용하여, 트래픽 모니터링을 시작하면 모든 데이터는 커널에 의해 수집된다.

2. 테스트 환경

OS : Kali Linux 1.0.3

테스트에 사용된 도구 버전 : flowtop 0.5.7

3. 분석 내용

옵       션	설            명
-T |--tcp	TCP 연결만 추적 (기본값)
-U |--udp	UDP 연결만 추적
-s |--show-src	출발지에 대한 정보만 보여준다. (목적지에 대한 정보 제외)
--city-db <path>	Geoip 도시 정보 데이터베이스 지정
--country-db <path>	Geoip 국가 정보 데이터베이스 지정
-v |--version	버전 정보 출력
-h |--help	Help

flowtop을 기본 사용방법은 아무 옵션도 적용하지 않고 사용하는 것이다.

root@kali:~#flowtop

flowtop을 실행할 경우 아래와 같은 에러 메시지를 출력해준다.

해당 에러 메시지는  /usr/share/GeoIP/에 IP에 대한 도시 정보 데이터베이스가 존재하지 않기 때문에 발생하는 에러이다.

flowtop을 사용하기 위해서는 GeoIP 데이터베이스가 존재 해야 하며, Kali Linux 기준으로 flowtop에서 사용하는 GeoIP 데이터베이스는  /usr/share/GeoIP/에 있어야한다. Kali Linux 1.0.3에서는 IP에 대한 국가 데이터베이스 (GeoIP.dat  GeoIPv6.dat)만 설치되어 있다. 

GeoIP 데이터베이스는 MAX MIND(http://www.maxmind.com/en/geolocation_landing)에서 다운로드 받을수 있다. MAX MIND에서 제공하는 GeoIP 데이터베이는 상용 버전과 무료버전 두가지를 제공해 주고 있다. 여기서는 무료 버전을 이용하기로 한다.  MAX MIND 사이트에서 맨 하단을 살펴 보면, 아래와 같이 Free Databases and Web Service 항목을 확인 할 수 있다. 여기서 GeoLite City and Country를 클릭한다.

GeoLite City and Country를 클릭하면, GeoLite Free Downloadable Databases 페이지로 이동하게된다.GeoLite Free Downloadable Databases 페이지의 하단을 살펴 보면 아래와 같이 GeoIP 데이터베이스를 다운로드할 수 있도록 링크가 걸려있다. flowtop에서는 Binary가 사용된다.

다운로드 받은 GeoIP 데이터베이스는 /usr/share/GeoIP/에 복사해 넣어 주면 앞에서 언급한 에러 메시지는 나타나지 않는다. 하지만 여기서 끝난것이 아니다. flowtop을 사용하기 위해서는 Netfilter가 실행되어 있어야한다. Netfilter가 실행되지 않은 상태에서 flowtop을 실행 시키면 아래와 같이 Netfilter를 실행 시키라는 메시지를 보여준다. 

Netfilter를 실행 시키는 방법은 flowtop의 Help에서도 언급하고 있다. 

iptables -A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED -j ACCEPT

다시 flowtop을 실행 시키면 위와 같이 동일한 메시지를 출력해주지만, TCP 연결을 시작하면 아래와 같이 연결 정보를 추적하게 된다.

4. 참고 URL 

- https://github.com/markusa/netsniff-ng_filter/blob/master/Documentation/Flowtop

- http://netsniff-ng.org