URLSnarf

Dsniff 패키지는 네트워크 보안을 위해 유용한 도구의 모음이다. Dsniff 도구들은 두 가지 부류로 나뉜다. 첫번째 부류는 공격 목적의 도구이고 나머지는 네트워크 트래픽을 모니터링해서 파일이나 이메일, 웹 요청 등을 수집하는 snarf 도구이다. 우리가 특별히 관심이 있는 도구는 후자에 속한 URLSnarf라는 도구다.

URLSnarf는 HTTP 요청 데이터를 수집해서 공통 로그 포맷(CLF; common log format) 형태로 저장한다. Dsniff 패키지는 아주 오래 전부터 사용돼 왔고 도구의 설치와 사용법이 매우 간단하다는 점 때문에 개인적으로 특별한 애착을 가지고 있다. URLSnarf도 역시 마찬가지다. 대부분의 경우 선호하는 패키지 관리자 솔루션을 통해 손쉽게 Dsniff 패키지를 설치할 수 있다. Security Onion에는 Dsniff 패키지가 기본으로 설치돼 있지 않지만 apt를 사용해서 설치할 수 있다.

sudo apt-get install dsniff

Dsniff 패키지를 설치한 후 URLSnarf 명령어를 실행해 잘 설치됐는지 확인해 볼 수 있다. URLSnarf를 매개변수 없이 실행하면 기본 인터페이스를 모니터링해서 표준 출력으로 데이터를 출력하기 때문에 터미널 화면을 통해 데이터를 볼 수 있다. 기본적으로 eth0 인터페이스를 바라보며 TCP 80, 8080, 3128 포트를 모니터링하도록 하드코딩돼 있다.

URLSnarf는 4가지 옵션을 제공한다.

-p: 이미 수집한 PCAP 파일을 대상으로 URLSnarf를 실행한다.

-i: 네트워크 인터페이스를 선택한다.

-n: DNS 주소로 변환하지 않고 데이터를 파싱한다.

-v <표현식>: 표현식에 특정 URL을 설정해 해당하는 URL 정보만 보이게 한다. -v 옵션을 사용하면 설정한 URL을 제외한 나머지 결과를 보여준다.

결과물이 표준 출력 로그이기 때문에 -v 옵션을 사용하기보다는 파이프로 BASH 명령어 도구인 grep, cut, awk를 사용해서 파싱하는 것을 더 선호한다.

URLSnarf가 사용하기는 매우 쉽지만 그 단순함 덕분에 몇 가지 문제점도 있다. 결과 데이터를 더욱 간소화하고 싶다면 외부 도구를 사용해서 데이터를 줄일 수 밖에 없다. 그리고 만약 더 상세한 데이터를 원하더라도 뾰족한 방법이 없다. URLSnarf는 다른 도구들처럼 멀티라인 데이터 출력을 지원하지 않는다.