Colasoft Packet Builder - Windows용 패킷 전송툴(snort rule 검증)

Snort Rule test를 위한 Colasoft Packet Builder 소개

 앞으로 Snort Rule 검증을 위해 패킷을 수정하고 전송하는 테스트 용 Windows 무료 툴을 소개해 드립니다.

Tool 이름은 Colasoft Packet Builder이며 이 툴을 사용하여 사용자 지정 네트워크 패킷을 만들 수 있습니다. 특히 Packet 편집 기능을 사용하여 HEX 편집 및 특정 프로토콜 필드 값을 있습니다.

Colasoft Packet Builder 설치 파일은 아래 링크에서 다운로드 받으실 수 있습니다.

[Colasoft Packet Builder 다운로드 링크]

Packet Builder for Network Engineer - Colasoft

 

아래 [FREE EDITION DOWNLOAD] 버튼을 클릭하여 무료 버전을 받고 설치하세요. 재부팅이 필요합니다.

설치 파일은 x64, x86 2개가 압축되어 있고 90M 정도 사이즈입니다.

다운로드 시간이 무척 오래 걸리네요.

Colasoft Packet Builder download

참고로 Colasoft Packet Builder 도움말(chm)을 첨부합니다.

PktBuilder.chm

0.53MB

<PktBuilder 도움말>

Wireshark 에서 패킷 저장

제가 테스트 할 부분은 Packet Builder로 패킷을 새로 만드는 것이 아니라 pcap 을 불러와서 패킷을 편집하여 전송하려 합니다. 그러기 위해 우선 전송 테스트할 패킷을 저장해야 합니다. 패킷을 저장하는 방법은 여러가지가 있으나 제가 이번에 작업할 내용은 wireshark 에서 특정 Packet 을 Export 하는 것입니다.

 

아래와 같이 HTTP GET 요청을 하는 패킷을 이용하고자 합니다.

해당 패킷을 선택하고

wireshark HTTP 패킷

상단 메뉴 File - Export Specified Packets... 를 클릭합니다.

Export Specified Packets

저장하기 전에 아래와 같이 Packet Range에서 Selected packets only 를 선택하면 지정된 Packet 만 저장할 수 있습니다.

(참고로 범위 지정으로 여러 패킷도 저장 가능함)

Selected packets only 선택

 

Colasoft Packet Builder

Colasoft Packet Builder를 실행 후 Wireshark에서 저장한 pcapng 파일을 import 합니다. 

websnort-get.pcapng

0.00MB

<HTTP Get Sample pcap>

아래와 같이 1개의 Packet 이 확인 됩니다.

Colasoft Packet Builder pcap open

상단에 Adapter 버튼을 클릭 후 Network Adapter 선택을 하려 하니 이더넷 네트워크 이름이 없고 선택이 되지 않습니다.

혹시 방법 아시는 분은 공유부탁드릴께요.(win11 이라서 그런가...)

Adapter 이름 없음 Error

테스트를 위해 USB Lan 을 사용하여 다시 테스트를 합니다.

트래픽을 보낼 Adapter 을 선택합니다.

USB 3.0 Lan

이제 패킷을 수정할 차례입니다.

다음 항목들을 각자 환경에 맞게 변경해줍니다.

• Ethernet - II
  • Destination Address : 목적지 Mac address
  • Source Address : 출발지 Mac address
• Internet Protocol
  • Source Address : 출발지 IP
  • Destination Address : 목적지 IP

Decode Editer

패킷을 선택하고 Send 버튼을 클릭합니다. 팝업에서 Start 버튼을 클릭하면 수정된 Packet이 전송됩니다.

Send Packet

 

패킷 전송 시 목적지에서 Wireshark 로 확인해보면 아래와 같이 패킷이 전송되었음이 확인됩니다.

Colasoft Packet Builder send Packet 확인

 

감사합니다.