FortiGate Packet Dump txt 파일 PCAP 변환 방법

FortiGate Packet Dump txt 파일 PCAP 변환 방법

FortiGate 뿐 아니라 L3 이상의 네트워크 기반 장비는 대부분 해당 장비를 거치는 Packet 에

대한 Dump 기능을 제공 합니다. 제공 방식이나 명령어, output 에 대한 내용은 달라 질 수

있기 때문에 본 포스팅에서 다루는 txt 파일을 pcap 으로 변환하는 방법이 적용되지 않을

수도 있겠지만 기본적으로 다음과 같이 HEX 형태로 dump 파일이 생성되면 해당 파일을

pcap 으로 변환 할 수 있습니다.

txt 파일을 pcap 으로 변환해야 하는 이유는 HEX 형태의 dump 파일을 Wireshark 에서

불러 올 수 없기 때문입니다. Wireshark 는 Packet 분석 용도로 많이 사용되는 편리한 툴

입니다.

[HEX 형태의 Packet dump 파일 예시]

[PCAP 변환 방법]

해당 파일 외에도 pcap 으로 변환하는 방법은 많이 있습니다만 별도의 프로그램을

설치 해야 하는 등 불편한 부분이 있는 반면 제공해드리는 파일은 해당 exe 파일만

있으면 PCAP 으로 변환이 가능 합니다.

exe 파일은 cmd 에서 실행해야 하고, GUI 는 지원하지 않습니다.

우선 아래 링크를 통해 PCAP 변환 파일을 다운로드 받은 다음 순서대로 진행 하면 됩니다.

PCAP Converter 다운로드 링크

1. 파일 다운로드

   아무 경로에나 다운받아서 cmd 로 실행하면 되지만 저는 cmd 를 통한 접근이 용이

   하도록 파티션을 나눈 디스크에 해당 파일을 다운 받아놓았습니다.

 

2. cmd 실행 'win + r' -> cmd 입력 또는 cmd 아이콘 실행

   cmd 창에서 'pcap_converter.exe' 가 존재하는 경로로 이동 합니다.

 

3. txt 파일 pcap 변환

   test.txt 에는 HEX 형태로 Packet Dump 내용이 들어있습니다.

   pcap 으로 변환하기 위해서 사용하는 명령어는 다음과 같습니다.

   'pcap_converter.exe -in [HEX파일] -out [변환할파일]'

   예)'pcap_converter.exe -in test.txt -out test.pcap'

 

4. pcap 파일 확인

   pcap 변환 명령어를 실행하고, 해당 폴더를 보면 pcap 파일이 생성 되어 있는것을 확인

   할 수 있습니다. Wireshark 가 설치 되어 있는 경우 pcap 파일을 더블 클릭 하면 바로

   Wireshark 가 실행되며 Packet 을 확인 할 수 있습니다.

 

Perl 이나 기타 프로그램을 설치 할 필요가 없다는 것이 장점이고, HEX 형태의 파일만

변환이 가능하다는 점 꼭 참고하셔서 관련 업무에 유용하게 사용하셨으면 좋겠습니다.

감사합니다.