Server 용 Swift 로 Packet Capture Program 작성하기

현재 스위프트 지원 서버는 우분투만이 가능하다.
센토스도 설정을 맞추면 가능하긴 한데 정신건강을 위해 우분투를 사용하자.

Ubuntu 16.04 에서 Swift 를 설치하자

$ sudo apt-get install clang libicu-dev

이제 swift.org 에서 스위프트 압축된 파일을 다운로드 받는다.

$ wget -q -0 -https://swift.org/keys/all-keys.asc

$ tar xzf swift-<VERSION>-<PLATFORM>.tar.gz
이 명령은 /Home/user 밑에서 실행하여 하위로 푼다.

$ export PATH=/Home/user/usr/swift-4.0.3-RELEASE-ubuntu16.04/usr/bin:"${PATH}"
패스를 추가했다.

$ swift
Welcome to Swift version 4.0.3 어쩌고 나오면 성공한 것이다.

이제 libpcap Library 를 설치해보자.
$ sudo apt-get install libpcap-dev

이제 Swift 로 Packet Capture 할 준비가 되었다.
Cpcap 이란 폴더를 생성하자.
$ mkdir Cpcap
$ cd Cpcap

여기서 파일을 2개를 만들것이다.
$ touch Package.swift
$ touch module.modulemap

Package.swift 내용을 이렇다.
import PackageDescription
let package = Package(name: "Cpcap")

module.modulemap 내용을 이렇게 작성한다.
module Cpcap [system] {
  header "/usr/include/pcap.h"
  link "pcap"
  export *
}

이제 git 을 생성해야 한다.
/Pcap 폴더에 위치한 지 확인 후 생성한다.
$ git init
$ git add Package.swift module.modulemap
$ git commit -m "Initial commit"
$ git tag 0.0.1

이제 Swift 에서 Pcap 을 패키지로 불러 올 수 있게 되었다.
일단 폴더를 Pcap 상위 폴더로 간다.
$ cd ..
$ ls
결과가 Pcap 폴더가 보여야 한다.
여기서 이제 서버용 패킷 캡쳐 프로그램일 ServerSideSwiftTap 를 생성한다.
$ mkdir ServerSideSwiftTap
$ cd ServerSideSwiftTap

이제 파일 2개를 만들 것이다.
$ touch Package.swift
$ touch main.swift

Package.swift 내용은 이렇다
import PackageDescription
let package = Package(name: "ServerSideSwiftTap", dependencies: [.Package(url: "../Cpcap", version: Version(0.0.1)..<Version(1.0.0))])

main.swift 내용을 이렇다.

import Foundation
import MongoKitten
import Cpcap
import Glibc

let server = try Server("mongodb://localhost:27017")
let database = server["packet_db"]

if server.isConnected {
    print("Connected successfully to server")
}

let MAX_RECV_SIZE:Int32 = 65535
let PROMISC:Int32 = 1
let TIMEOUT:Int32 = 100

var frameNo = 0

let ver = UnsafePointer<Int8>(pcap_lib_version())!
print("pcap version -> \(String(cString: ver))")

var errbuf = UnsafeMutablePointer<Int8>.allocate(capacity: Int(PCAP_ERRBUF_SIZE))
let dev = pcap_lookupdev(errbuf)
var devName = "ens2"
if let dev = dev {
    devName = String(cString: dev)
    print("found \(devName)")
} else {
    print("Could not get dev")
}

let pcapSession = pcap_open_live(devName, MAX_RECV_SIZE, PROMISC, TIMEOUT, errbuf)

let status = pcap_loop(pcapSession, -1, { (_, packHeader, packetData) in
   
    // 헤더 받은 순서 및 시간 및 크기 표시
    var tv_sec = Double(packHeader!.pointee.ts.tv_sec) + 60*60*9 // +0900
    let sec = Int(tv_sec.truncatingRemainder(dividingBy: 60))
    tv_sec = tv_sec / 60
    let min = Int(tv_sec.truncatingRemainder(dividingBy: 60))
    tv_sec = tv_sec / 60
    let hour = Int(tv_sec.truncatingRemainder(dividingBy: 24))
    frameNo = frameNo + 1
    let str_Frame = String(format: "Frame %d: %d byte / %d byte %02d:%02d:%02d.%06ld", frameNo, packHeader!.pointee.caplen, packHeader!.pointee.len, hour, min, sec, packHeader!.pointee.ts.tv_usec)
    //print(str_Frame)
   
    // 패킷분석
    let data = Data(bytes: packetData!, count: Int(packHeader!.pointee.caplen))
    let arrayPacketData = Array(data)
    let pa = PacketAnalyser.sharedInstance
    //pa.process(packetDataArray: arrayPacketData)
    let packetData = pa.processPacket(packetDataArray: arrayPacketData)
    if packetData.src_ip != "" {
        let userDocument: Document = [
   "hour": String(format: "%02d", hour),
   "minute": String(format: "%02d", min),
            "second": String(format: "%02d", sec),
            "mili_second": String(format: "%06d", packHeader!.pointee.ts.tv_usec),
            "src_ip": packetData.src_ip,
            "src_port": packetData.src_port,
            "dst_ip": packetData.dst_ip,
            "dst_port": packetData.dst_port,
            "data": packetData.data
        ]
        do {
            let dateFormatter = DateFormatter()
            dateFormatter.dateFormat = "yyyyMMdd"
            let str_date = dateFormatter.string(from: Date())
            let collection_name = "tcp_collection_\(str_date)"
            let collection = database[collection_name]
            try collection.insert(userDocument)
            print("success insert!!")
        } catch {
            print("tcp_collection insert error -> \(error.localizedDescription)")
        }
    }
   
}, nil)

pcap_close(pcapSession)

패킷분석을 위한 packetAnalyser.swift 를 작성한다.

import Foundation

class PacketAnalyser {
    static let sharedInstance = PacketAnalyser()
   
    func process(packetDataArray: Array<UInt8>)  {
        // Ethernet Ether_Type = 08 00 이면 IP
        let dst_str = packetDataArray[0...5].map { String(format: "%02X", $0) }.joined(separator: ":")
        let src_str = packetDataArray[6...11].map { String(format: "%02X", $0) }.joined(separator: ":")
        let ether_type = packetDataArray[12...13].map { String(format: "%02X", $0) }.joined(separator: " ")
        print("Ethernet: \(src_str) -> \(dst_str), \(ether_type) ")
        if ether_type == "08 00"
        {
            // IP
            let total_packet_size = UInt16(bigEndian: Data(bytes: packetDataArray[16...17]).withUnsafeBytes {$0.pointee})
            let protocol_id = UInt8(bigEndian: packetDataArray[23]) // 1 <- ICMP, 2 <- IGMP, 6 <- TCP, 17 <- UDP
            let src_ip = packetDataArray[26...29].map { String(format: "%d", $0) }.joined(separator: ".")
            let dst_ip = packetDataArray[30...33].map { String(format: "%d", $0) }.joined(separator: ".")
            print("IP: \(src_ip) -> \(dst_ip), \(protocol_id), \(total_packet_size) bytes")
            // TCP
            if protocol_id == 6
            {
                let src_port = UInt16(bigEndian: Data(bytes: packetDataArray[34...35]).withUnsafeBytes {$0.pointee})
                let dst_port = UInt16(bigEndian: Data(bytes: packetDataArray[36...37]).withUnsafeBytes {$0.pointee})
                let seq_no = UInt32(bigEndian: Data(bytes: packetDataArray[38...41]).withUnsafeBytes {$0.pointee})
                let ack_no = UInt32(bigEndian: Data(bytes: packetDataArray[42...45]).withUnsafeBytes {$0.pointee})
                let windows_size = UInt16(bigEndian: Data(bytes: packetDataArray[48...49]).withUnsafeBytes {$0.pointee})
                let check_sum = UInt16(bigEndian: Data(bytes: packetDataArray[50...51]).withUnsafeBytes {$0.pointee})
                print("TCP -> PORT: \(src_port) -> \(dst_port), seq: \(seq_no), ack: \(ack_no), window_size: \(windows_size), checksum: \(check_sum)")
                let real_data = packetDataArray[54...].map { String(format: "%C", $0) }.joined()
                print("Real Data -> \(real_data) \n")
            }
        }
    }

    func processPacket(packetDataArray: Array<UInt8>) -> PacketData  {
        var packetData = PacketData()
        // Ethernet Ether_Type = 08 00 이면 IP
        let ether_type = packetDataArray[12...13].map { String(format: "%02X", $0) }.joined(separator: " ")
        if ether_type == "08 00"
        {
            // IP
            let protocol_id = UInt8(bigEndian: packetDataArray[23]) // 1 <- ICMP, 2 <- IGMP, 6 <- TCP, 17 <- UDP
            let src_ip = packetDataArray[26...29].map { String(format: "%d", $0) }.joined(separator: ".")
            let dst_ip = packetDataArray[30...33].map { String(format: "%d", $0) }.joined(separator: ".")          
            // TCP
            if protocol_id == 6
            {
                let src_port = UInt16(bigEndian: Data(bytes: packetDataArray[34...35]).withUnsafeBytes {$0.pointee})
                let dst_port = UInt16(bigEndian: Data(bytes: packetDataArray[36...37]).withUnsafeBytes {$0.pointee})
                //let real_data = packetDataArray[54...].map { String(format: "%C", $0) }.joined()              
let real_data = packetDataArray[54...].map { String(format: "%02X", $0) }.joined()
                packetData.src_ip = src_ip
                packetData.src_port = "\(src_port)"
                packetData.dst_ip = dst_ip
                packetData.dst_port = "\(dst_port)"
                packetData.data = real_data
            }
        }
        return packetData
    }

}

struct PacketData: Codable {
    var src_ip: String = ""
    var src_port: String = ""
    var dst_ip: String = ""
    var dst_port: String = ""
    var data: String = ""
}

이제 컴파일을 해본다
해당 폴더(ServerSideSwiftTap)에서 다음 명령을 수행한다.
$ swift build

이제 .build 폴더가 생성되었을 것이다.
$ sudo ./.build/debug/ServerSideSwiftTap

몽고디비에 자료가 저장이 되면 성공한 것이다.

댓글

댓글 쓰기

이 블로그의 인기 게시물

한글 2010 에서 Ctrl + F10 누르면 특수문자 안뜰 때

이미지
한글 2010 에서 Ctrl + F10 누르면 특수문자 안뜰 때가 있다. 이런 경우가 있나...... 헐 처음엔 운영체제의 키보드 설정이 잘못 되었나 하며 삽질이 시작되었다. 결론은 한글 2010 설정이었다. 프로그램 테마 설정이 있는데 그부분이 MS 스타일로 되어 있었던 것이다. 이것은 한글로 변경하면 된다. 먼저 도구-사용자설정으로 간다. 사용자 설정의 일반탭에서 프로그램 테마가 MS로 되어 있어서 단축키가 안먹은 것이다. 여기서 한글로 변경하면 된다. 한글 2007로 변경하였더니 이렇게 변했다. 단축키는 먹는다. 개인적으로 이전에 간단한 메뉴가 좋아서 설정을 하고 난 다음 테마명을 정해서 저장했다. 사실 알고보면 간단한 내용이지만 모를땐 답답한 기능이 많다. 근데 왜 새로 설치했는데 이게 설정 되었는지 모르겠다. 항상 모든 답은 기본에 있다.
자세한 내용 보기

아이폰에서 RFID 사용하는 방법

아이폰에서 NFC 나 RFID 를 사용하는 방법을 조사한 내용입니다. 아이폰은 NFC 가 안된다... 이런 말을 많이 듣습니다. 조사한 결과로는 iOS 11 이 설치된 iPhone 7 이상의 폰에서 가능합니다. NFC 와 RFID 의 차이는 무엇일까? NFC는 RFID 취약점을 보완한 물건이라고 생각하면 좋습니다. 보통 RFID는 태그의 고유값을 읽어 들여 이를 서버에서 처리하는 내용입니다. 바코드를 대체하기 위해 만들어서 사용했기 때문입니다. 하지만 이를 교통카드 처럼 결제에 이용되다 보니 RFID-ID(보통 anti collision identification 이라고 부릅니다.)는 리더만 있으면 쉽게 수집하여 복사할 수 있습니다. 쉽게 말해 보안에 취약합니다. 결제에 사용하기 위해 고유값 보다 변동되는 값을 사용하고 암호화를 사용할 수 있는 쓰기 가능한 영역이 필요해서 추가된 내용이 NFC로 보면 되겠습니다. 청출어람이 이런 곳에 쓰이면 딱 맞는 표현일까요? 저도 이런 생각을 했습니다. 그럼 결제에 사용하는게 아니라 인식만 하기 위해서 아이폰을 활용하면 어떨까? 아이폰 7 이하에서는 "애플페이 결제할 때 RFID-ID가 발급되니까" 이를 인식하면 되지 않을까? 아래 링크에 자세한 설명이 되어 있긴 합니다만 "결론은 안된다!!"입니다. https://www.raptrack.com/article/blog/core-nfc-2/ anti collision identification 발급이 랜덤하게 매번 다르게 생성이 됩니다. 이는 읽을 수만 있는 형식으로 제공됩니다. 물론 이런 방식으로 제공해야 보안에 우수합니다. 이제 iOS 11 이상이 설치된 iPhone 7 이상에서 NFC를 사용하는 방법입니다. core NFC 프레임워크에서 제공하는 델리게이트를 사용하면 가능합니다. NDEF 메시지를 읽어서 개발자가 태그를 인코딩하면 가능합니다. 보통 카드번호 같은 형식을 만들어서 인코딩합니
자세한 내용 보기

VCC 와 GND 는 무엇일까?

Redpark 케이블과 spakkfun 을 연결하려고 하는데 VCC, GRD, TX-O, RX-I 가 나온다. VCC 는 Voltage of Common Collector 의 준말이다. 콜렉터용 전압으로 5V 를 나타낸다. GRD 는 Ground로 접지를 뜻하는 말이다. 보통 0V 를 나타낸다. TX-O 은 전송을 나타낸다. RX-I 은 수신을 나타낸다. 이것으로 전원과 데이터 전송과 수신을 위한 연결은 다 준비되었다.
자세한 내용 보기