Wireshark 고급 가이드: 캡처 및 분석을 위한 완벽 가이드

인포매텍 디지털 » Recursos » Wireshark 고급 가이드: 캡처 및 분석을 위한 완벽 가이드

Wireshark에 이미 익숙하고 한 단계 더 나아가고 싶다면 이 글이 도움이 될 것입니다. Wireshark를 최대한 활용하는 방법을 처음부터 자세히 살펴보겠습니다. 기본적인 트래픽 캡처부터 고급 트래픽 분석까지필터, 색상, 프로토콜 및 실제 사용법을 포함하여 사이버보안 분석수행 능력 및 문제 해결 능력.

이 책에서는 다양한 개념들을 차분하고 쉬운 일상 스페인어로 설명합니다. 이러한 개념들은 TryHackMe와 같은 전문 도구, 강좌, 서적, 실습 자료에서 흔히 접할 수 있지만, 실제 상황에 적용하여 설명합니다. 이 책을 다 읽을 때쯤에는 다음과 같은 내용을 이해할 수 있게 될 것입니다. Wireshark 인터페이스를 쉽게 탐색하고 관심 있는 부분을 캡처하세요. 그리고 네트워크에서 무슨 일이 일어나고 있는지 이해하십시오.

Wireshark란 무엇이며 왜 그렇게 중요한가요?

Wireshark는 기본적으로 다음과 같습니다. 네트워크 프로토콜 분석기 (구식 패킷 스니퍼)를 사용하면 네트워크 인터페이스로 들어오고 나가는 패킷을 하나씩 확인할 수 있습니다. 공용 Wi-Fi 네트워크이더넷 또는 기타 방식. 각 패킷은 캡처, 분리되어 모든 세부 정보와 함께 실시간으로 표시됩니다.

우리는 프로그램에 대해 이야기하고 있습니다. 무료 및 오픈 소스GNU 일반 공중 라이선스 v2에 따라 배포됩니다. 즉, 기능이 축소된 버전이나 "데모 버전"은 없습니다. 다운로드하는 것은 모든 기능을 갖춘 정식 버전이며, 개발자는 코드를 검토하여 비정상적인 동작이 없는지 확인할 수 있습니다.

이 프로젝트는 다음 기관에서 관리합니다. 와이어샤크 재단Wireshark는 소프트웨어 개발, 문서화 및 배포를 담당하는 비영리 단체입니다. Wireshark를 업무에 사용하는 많은 기업과 전문가들이 기부금을 내고 있으며, 이러한 기부 덕분에 Wireshark는 지속적으로 발전하고 유지될 수 있습니다.

Wireshark는 다음에서 사용할 수 있습니다. Windows, macOS 및 Ubuntu와 같은 Linux 배포판Wireshark는 공식 웹사이트인 Wireshark.org에서 다운로드할 수 있습니다. 설치 후에는 처음에는 다소 복잡해 보이는 인터페이스가 나타납니다. 수백 줄이 빠른 속도로 변화하고, IP ​​주소, 프로토콜, 길이, 타임스탬프 등이 여러 열로 표시됩니다. 하지만 이러한 정보는 장애 진단, 공격 탐지 또는 장치 작동 방식 파악에 매우 유용합니다.

Wireshark 인터페이스: 패널, 환경 설정 및 시작하기

Wireshark를 실행하면 화면이 몇 개의 주요 패널로 구성됩니다. 패키지 목록, 선택한 패키지의 세부 정보 그리고 원시 보기(16진수 및 ASCII 바이트)도 제공합니다. 이러한 패널을 이해하는 것이 원활한 작업을 위한 기본입니다.

상단 패널에는 캡처된 모든 패킷이 표시됩니다. 각 줄은 패킷 하나에 해당하며 패킷 번호, 시간, 출발지 IP 주소, 도착지 IP 주소, 프로토콜 및 간단한 요약과 같은 정보를 포함합니다. 중간 패널에서는 다음을 볼 수 있습니다. 패키지의 계층적 분해 (링크, 네트워크, 전송, 애플리케이션)으로 시작하고, 맨 아래에는 바이트 값이 16진수 형식으로 표시되고 그 텍스트 표현도 나타납니다.

설정 메뉴에서 열 수 있습니다. Wireshark 설정 시간 형식, 패널 표시 방식, 필드 언어 등을 조정하거나 특정 요소를 숨길 수도 있습니다. 예를 들어 논리 분석에만 집중하고 싶다면 패널 레이아웃을 변경하거나 16진수 바이트 표시를 비활성화할 수 있습니다.

스크린샷 내 탐색 또한 핵심적인 기능입니다. 특정 패킷 번호로 바로 이동하거나, 목록의 첫 번째 또는 마지막 항목으로 이동하거나, 키보드 단축키를 사용하여 대화를 탐색할 수 있습니다. 또한, 다음과 같은 기능도 가능합니다. 나중에 다시 돌려보낼 수 있도록 소포에 표시를 해 두세요.긴 흐름을 따라가면서 특정 핵심 사항을 기억해야 할 때 매우 유용합니다.

트래픽 캡처: 인터페이스, 제한 사항 및 패킷 유형

분석하기 전에 먼저 패킷을 캡처해야 합니다. Wireshark를 사용하면 캡처할 패킷을 선택할 수 있습니다. 네트워크 인터페이스 듣고 싶으세요?이더넷 카드, Wi-Fi, 가상 인터페이스, 터널 등 다양한 인터페이스가 있습니다. 모든 인터페이스가 동일한 수준의 세부 정보를 지원하는 것은 아니지만, 일반적으로 장치를 통과하는 트래픽을 확인할 수 있으며, 특정 모드에서는 로컬 네트워크를 통해 순환하는 트래픽까지도 볼 수 있습니다.

실습에서는 제한된 캡처를 사용하는 것이 매우 일반적입니다. 예를 들어, 특정 구간만 캡처하도록 시작할 수 있습니다. 1.000 팩또는 5초 후에 자동으로 중지되도록 설정할 수도 있습니다. 이는 대용량 파일을 피하고 특정 기간 동안의 활동에 집중하는 데 유용합니다.

Wireshark는 캡처 필터 기능도 지원하므로 특정 패킷만 처음부터 기록할 수 있습니다. 일반적인 사용 사례는 특정 패킷만 캡처하는 것입니다. UDP 트래픽 또는 TCP 트래픽예를 들어 온라인 게임이나 스트리밍 서비스에 관심이 있다면 UDP 패킷만 캡처하도록 설정할 수 있고, HTTP, TLS, FTP 세션 등을 연구하고 싶다면 TCP로 캡처 범위를 제한할 수 있습니다.

필요한 결과를 얻었으면 .pcap 또는 .pcapng 확장자를 가진 파일로 저장할 수 있습니다. 예를 들어 다음과 같습니다. “example_tcp.pcap”그리고 Wireshark를 종료하세요. 그런 다음 프로그램을 다시 열고 파일을 불러와서 실시간으로 트래픽이 이동하는 것에 대한 걱정 없이, 그리고 데이터 손실의 위험 없이 여유롭게 분석할 수 있습니다.

시간과의 작업: 흔적, 차이점, 그리고 시간적 분석

타임스탬프 필드는 Wireshark에서 가장 강력한 기능 중 하나입니다. 패킷 목록에서 각 패킷이 캡처된 시간을 확인할 수 있을 뿐만 아니라, 시간 경과에 따른 차이도 측정할 수 있습니다. 패킷 캡처 시작 시점과 특정 패킷 발생 시점 사이에 얼마나 시간이 경과했습니까?또는 특정 패킷 두 개 사이의 시간을 확인할 수 있습니다. 예를 들어, 패킷 300에 도달하는 데 걸리는 시간을 살펴보면 통신이 어떻게 진행되는지 알 수 있습니다.

매우 실용적인 기능 중 하나는 패키지를 다음과 같이 설정하는 것입니다. 제로 시간 기준이 기능을 사용하면 캡처된 데이터의 어느 지점에서든 "0"시점을 재정의하여 다른 모든 시간을 해당 지점을 기준으로 측정할 수 있습니다. 이는 전체 세션이 아닌 특정 대화 내용을 분석하고자 할 때 이상적입니다.

타임스탬프와 필터, 흐름 추적(TCP 스트림 추적, UDP 스트림 추적)을 결합하면 상당히 정확하게 확인할 수 있습니다. 지연 시간, 지연, 전달 및 재전송 네트워크에서 발생하는 현상을 분석합니다. 특히 지연, 병목 현상 또는 패킷 손실 문제를 진단하는 데 유용합니다.

계층적 분석: MAC에서 응용 프로그램까지

Wireshark의 가장 큰 장점 중 하나는 OSI 또는 TCP/IP 모델의 계층별로 각 패킷을 분석하여 볼 수 있다는 점입니다. 맨 아래 계층부터 살펴보면 다음과 같습니다. 어떤 물리적 매체 또는 링크 유형이 사용되고 있습니까? (예를 들어 이더넷)과 이를 지원하는 인터페이스 유형.

레이어 2(데이터 링크)에서 무엇을 확인할 수 있습니까? 프로토콜이 사용되고 있습니다최신 네트워크에서 이는 일반적으로 이더넷 II를 의미합니다. 여기서 "EtherType" 필드가 중요해지는데, 이 필드는 0x0800(IPv4를 나타냄)과 같은 값이나 기타 흔하지 않은 식별자를 표시할 수 있기 때문입니다. 캡처 파일 내에서 필터나 검색 기능을 사용하여 0x0800 또는 0xEBF2와 같은 특정 값을 가진 패킷을 검색할 수 있습니다.

3계층으로 올라가면 일반적으로 네트워크 프로토콜을 찾을 수 있습니다. IPv4 또는 IPv6여기에서 출발지 및 목적지 IP 주소를 확인할 수 있으며, 필드 트리를 확장하여 TTL, 단편화, 옵션 등과 같은 다른 세부 정보를 볼 수 있습니다. 출발지 IP 및 목적지 IP 이는 문제를 조사할 때 가장 기본적인 작업 중 하나이면서 동시에 가장 빈번하게 수행되는 작업이기도 합니다.

4단계에서 Wireshark는 어떤 유형의 문제를 다루고 있는지 알려줍니다. TCP, UDP 또는 기타 전송 프로토콜여기에서 출발지 및 목적지 포트, TCP 플래그(SYN, ACK, FIN, RST), 시퀀스 및 승인 번호, 그리고 연결이 안정적인지, 재전송이 있는지, 패킷 손실이 있는지, 또는 연결이 갑자기 종료되었는지 등을 파악하는 데 필요한 주요 세부 정보를 확인할 수 있습니다.

마지막으로, 응용 프로그램 계층에서 Wireshark는 감지된 프로토콜에 따라 콘텐츠를 해석하려고 시도합니다. HTTP, HTTPS(TLS/SSL), DNS, DHCP, FTP, RTP, SIP 그 외에도 여러 가지 문제가 있습니다. 트래픽이 암호화되지 않으면 HTTP 헤더, FTP 명령, 심지어 자격 증명까지 암호화되지 않은 방식으로 전송될 경우 평문으로 내용을 확인할 수 있습니다.

패키지 내 검색, 필터 및 텍스트 문자열

대용량 캡처 파일을 처리하려면 강력한 필터 및 검색 기능이 필요합니다. Wireshark 상단에는 도구 모음이 있습니다. 디스플레이 필터이 기능을 사용하면 특정 조건을 충족하는 패킷만 표시할 수 있습니다. 예를 들어, 특정 장치에 초점을 맞추려면 ip.addr == 192.168.1.50을 사용하거나 웹 트래픽만 보려면 http를 사용할 수 있습니다.

캡처된 메시지에 암호나 민감한 데이터가 암호화되지 않은 상태로 전송되고 있다고 의심되는 경우, 패킷 내용 내에서 텍스트 문자열을 검색해 볼 수 있습니다. 예를 들어, 특정 단어가 포함된 패킷을 찾을 수 있습니다. "통과" 또는 "콘텐츠" 캡처된 데이터에서 확인할 수 있습니다. 본문뿐 아니라 요약 정보나 패키지 정보에도 해당 문자열이 나타나는지 확인할 수 있습니다.

이는 HTTP나 FTP와 같이 보안에 취약한 프로토콜을 분석할 때 특히 유용합니다. TryHackMe와 같은 학습 환경에서 흔히 주어지는 과제 중 하나는 이러한 프로토콜의 보안 취약점을 추출하는 것입니다. 자격 증명이 평문으로 전송됨 이러한 서비스를 통해 암호화되지 않은 정보를 전송하는 양식을 감지하거나, 이는 명백한 보안 위험을 나타냅니다.

텍스트 문자열 외에도 프로토콜 필드, 논리 연산자 및 비교를 조합하여 훨씬 더 세밀한 필터를 사용할 수 있습니다. 예를 들어, 이를 통해 실패한 DNS 요청, 오류가 있는 TCP 패킷 또는 특정 RTP 스트림의 메시지만 선별할 수 있습니다.

교통 상황 가시성을 높이기 위한 색상 및 강조 표시 규칙

Wireshark에는 다음과 같은 시스템이 포함되어 있습니다. 패키지 색상 이 기능을 사용하면 다양한 유형의 트래픽을 빠르게 구분할 수 있습니다. 녹색은 일반적으로 "정상" TCP 트래픽을 나타내고, 파란색은 UDP 또는 DNS 트래픽을 나타내며, 검은색 또는 빨간색은 오류 또는 이상을 나타냅니다. 화면만 봐도 모든 것이 정상적으로 작동하는지, 아니면 문제가 있는 회선이 너무 많은지 알 수 있습니다.

설정 메뉴에서 색상 보기 기능을 활성화 또는 비활성화할 수 있습니다. 필요한 경우, 다른 방법도 있습니다. 특정 규칙의 배경색을 수정합니다.예를 들어, 모든 TCP 세션을 특정 색상으로 강조 표시하거나 재전송 또는 잘못된 형식의 패킷을 다른 색상으로 표시하는 규칙을 만들 수 있습니다.

색상을 변경하는 것 외에도 특정 규칙을 삭제하지 않고 비활성화할 수 있는 옵션이 있습니다. 이렇게 하면 패키지 색상 지정이 중지되지만 나중에 다시 활성화할 수 있습니다. 이는 기존 설정을 유지하면서 다양한 색상표를 테스트할 때 매우 유용합니다.

또 다른 흥미로운 기법은 같은 그룹에 속하는 모든 패키지에 색을 입히는 것입니다. TCP 또는 UDP 대화이렇게 하면 수백 개의 다른 병렬 연결이 섞여 있더라도 두 종단점 사이의 전체 흐름을 시각적으로 추적할 수 있습니다. 그런 다음 강조 표시된 패킷 사이를 훨씬 쉽게 탐색할 수 있습니다.

가정 및 회사 네트워크 문제 진단

Wireshark는 전문가용 도구이지만, 일반 가정 사용자도 자신의 인터넷 연결 상태를 파악하는 데 도움을 받을 수 있습니다. 예를 들어, 온라인 게임에서 렉이나 끊김 현상이 발생한다면 Wireshark를 통해 인터넷 연결 문제를 해결할 수 있습니다. WiFi 간섭트래픽을 분석하여 확인할 수 있습니다. 배송된 물품이 순서대로 도착하지 않으면 분실되는 경우가 있습니다. 또는 여정의 특정 구간에서 과도한 지연이 발생하는 경우.

이러한 맥락에서, 많은 게임과 실시간 애플리케이션에서 사용되는 UDP 트래픽에 초점을 맞추는 것이 일반적입니다. UDP로 필터링했을 때 오류 색상으로 표시된 줄, 순서가 뒤바뀐 패킷, 또는 재전송이 많이 보인다면, 문제는 단순히 테스트에서 핑이 높은 것이 아니라 경로 안정성이나 노드 포화와 관련된 더 근본적인 문제임을 알 수 있습니다.

Wireshark는 다음과 같은 경우에도 매우 유용합니다. 웹사이트가 로드되지 않고 프린터가 네트워크에서 사라집니다. 또는 내부 서비스에 오류가 발생할 수 있습니다. 스크린샷을 보시면 통신이 중단되는 정확한 지점을 확인할 수 있습니다. 요청이 컴퓨터를 떠났지만 응답을 받지 못한 경우, DNS 오류가 발생한 경우, 서버가 오류 코드를 반환하는 경우 등이 그 예입니다.

개인정보 보호 측면에서 이 도구를 사용하면 기기가 인터넷을 통해 전송하는 데이터를 확인할 수 있습니다. 기기가 클라우드와 "과도한 통신"을 하거나, 알 수 없는 서버에 연결을 유지하거나, 암호화되어야 할 정보를 암호화되지 않은 상태로 전송하는지 등을 감지할 수 있습니다. 이 모든 것은 사용자가 다음과 같은 이점을 누릴 수 있도록 도와줍니다. 행동을 감사하다 IoT 장치휴대폰, IP 카메라, 스마트 TV 그리고 연결된 모든 기기.

여러 기기가 연결된 홈 네트워크에서는 각 기기의 IP 주소를 분리하여 어떤 서버에 연결하는지, 얼마나 자주 연결하는지, 어떤 유형의 콘텐츠를 전송하는지 관찰할 수 있습니다. 이렇게 하면 네트워크의 실제 트래픽을 더 잘 이해하고 기기 분할, 도메인 차단 또는 구성 변경과 같은 결정을 내릴 수 있습니다.

고급 분석: HTTP, DNS, 네트워크 스캔 및 공격

보다 고도화된 환경에서 Wireshark는 보안 분석 및 사고 조사에 있어 핵심적인 도구가 됩니다. Wireshark를 사용하면 상세한 분석이 가능합니다. HTTP 트래픽, DNS 쿼리 및 응답, Nmap을 이용한 포트 스캔ARP 스푸핑 시도, SSH 터널 등 다양한 공격 방식이 있습니다.

HTTP를 사용하면 헤더, 응답 코드, 요청된 URL을 검토할 수 있으며, 암호화가 되어 있지 않은 경우에는 양식이나 파일의 내용까지도 확인할 수 있습니다. DNS를 사용하면 어떤 도메인이 확인되는지, 어떤 서버에 쿼리가 전송되는지, 그리고 장비의 정상적인 사용 패턴과 일치하지 않는 의심스러운 응답이나 도메인이 있는지 여부를 확인할 수 있습니다.

Nmap 스캔은 네트워크에 특징적인 패턴을 남깁니다. 예를 들어 여러 포트에 대한 다중 연결 시도, 특정 TCP 플래그 사용 등이 있습니다. 적절한 필터를 사용하면 이러한 활동을 감지하고 악의적인 행위인지 확인할 수 있습니다. 노출된 서비스 매핑 귀사의 인프라에서.

ARP 스푸핑/포이즈닝은 로컬 네트워크에서 IP 주소와 MAC 주소 연결이 어떻게 변경되는지 관찰함으로써 탐지할 수도 있습니다. 또한 SSH 터널의 경우, 콘텐츠가 암호화되어 있더라도 연결 패턴, 세션 지속 시간 및 전송된 데이터 양을 분석할 수 있습니다.

이러한 연습 문제 중 상당수는 TryHackMe와 같은 실습 위주의 교육 과정의 일부이며, 다음과 같은 대상을 대상으로 합니다. 악성 또는 의심스러운 트래픽 분석여러분은 미리 생성된 패킷 캡처 파일을 활용하여 Wireshark만을 사용하여 침해 징후, 공격 벡터 및 비정상적인 동작을 식별하는 방법을 배우게 됩니다.

macOS용 Wireshark 4.6.0: pktap 메타데이터 및 프로세스 분석

맥 사용자에게 가장 흥미로운 개선 사항 중 하나는 이번 버전에서 제공됩니다. Wireshark 4.6.0macOS pktap 메타데이터에 대한 네이티브 지원을 도입합니다. 이를 통해 각 네트워크 패킷을 해당 패킷을 생성한 시스템 프로세스와 연결할 수 있으므로 매우 강력한 수준의 세부 정보를 제공합니다.

이러한 통합 덕분에 Wireshark는 다음과 같은 정보를 표시할 수 있습니다. PID(프로세스 식별자) 및 애플리케이션 이름 트래픽의 발생 원인과 기타 관련 메타데이터를 함께 제공합니다. 이를 통해 어떤 구성 요소가 연결을 열고, 대역폭을 소비하고, 오류를 발생시키는지 정확히 알 수 있으므로 애플리케이션 디버깅이 크게 간소화됩니다.

메타데이터에는 흐름 식별자 및 손실된 패킷 통계에 대한 데이터도 포함되어 있어 성능 문제를 보다 세밀하게 분석할 수 있습니다. 이러한 정보는 일반적으로 다음을 통해 수집됩니다... -ky -K 옵션을 사용한 tcpdump그런 다음 해당 파일을 Wireshark로 가져와서 Wireshark가 pcap-ng 형식으로 해당 블록을 해석하고 표시합니다.

애플 생태계의 개발 및 보안 팀에게 있어 이는 상당한 도약을 의미합니다. 특정 프로세스에 대한 정확한 귀속성을 통해 사건을 조사하고, 자체 앱 내의 비정상적인 동작을 감지하며, 보안 및 개인정보 보호 정책이 실제로 준수되고 있는지 검증할 수 있게 됩니다.

또한 macOS용 Wireshark 4.6.0 설치 프로그램은 다음과 같습니다. Arm64 및 Intel 아키텍처용 범용이를 통해 Apple Silicon이 탑재된 최신 Mac과 Intel 프로세서가 탑재된 구형 컴퓨터에 설치가 간소화됩니다.

전문가용 도구로서의 Wireshark: 강좌, 서적 및 최신 환경

Wireshark의 고급 사용법은 전문 교육 과정에서 자주 다루는 주제이며, 디버깅, 감사 및 보안 작업에 가장 강력한 기능들을 소개합니다. 이러한 과정에서는 다음과 같은 방법을 가르칩니다. 도구를 처음부터 구성합니다.기업 환경에서 가장 일반적인 네트워크 프로토콜을 분석하고 맞춤 설정할 수 있습니다.

일반적으로 많은 시간이 다음과 같은 프로토콜에 소요됩니다. HTTP, FTP, SSL/TLS, DNS, DHCP, RTP, SIP VoIP, 웹 서비스 및 암호화된 통신에서 발생하는 기타 일반적인 문제들을 다룹니다. 실제 사례 연구를 통해 속도 저하, 통화 품질 문제, 서비스 중단 및 잘못된 구성 문제를 진단합니다.

이와 동시에, 네트워크 전문가, 사이버 보안 전문가, 그리고 현대적인 환경에서 Wireshark를 숙달하고자 하는 학생들을 위한 고급 서적과 자료들이 등장했습니다. 이러한 자료들은 일반적으로 이론과 실제 적용을 결합합니다. TCP/IP, TLS, 패킷 분석 및 고급 필터 실습 및 지도 실험실 수업 포함.

일반적인 접근 방식은 Wireshark를 다른 보안 및 모니터링 도구(예: )와 통합하여 사용하는 것입니다. 스노트, 수리카타, 지크 또는 엘크 스택 SIEM 플랫폼 내의 Elasticsearch, Logstash, Kibana 등을 활용하는 것이 핵심입니다. Wireshark는 세부적인 저수준 검사에 사용하고, 다른 도구들은 상관관계 분석, 경고, 고수준 대시보드를 제공합니다.

이 책은 사물 인터넷(IoT) 네트워크 및 인공지능을 사용하는 시스템의 특정 응용 분야도 다룹니다. 이러한 환경에서는 취약점, 잘못 구성된 장치 또는 예상치 못한 통신을 감지하기 위해 트래픽 가시성이 매우 중요합니다. 이러한 환경에서 Wireshark를 숙달하면 이 도구를 효과적으로 활용할 수 있습니다. 보안 및 최적화를 위한 전략적 자원 복잡한 네트워크의.

전반적으로 Wireshark는 단순한 패킷 분석 도구를 넘어 고급 모니터링, 오류 진단, 위협 분석, 그리고 애플리케이션과 서비스가 네트워크에서 어떻게 작동하는지에 대한 심층적인 이해를 위한 필수적인 도구로 자리매김했습니다.

기본 캡처 및 필터링 기능부터 프로토콜, 색상, 시간 및 프로세스 메타데이터를 기반으로 한 고급 분석 기능에 이르기까지 모든 것을 제공하는 것을 보면, 이 제품이 얼마나 유용한지 알 수 있습니다. Wireshark는 필수적인 도구입니다. 가정, 소규모 사업체 또는 대규모 조직 등 네트워크에서 실제로 무슨 일이 일어나고 있는지 이해해야 하는 모든 사람을 위한 것입니다.