웹사이트 검색

Wireshark를 사용하여 네트워크 패킷을 분석하는 방법에 대한 10가지 팁

모든 패킷 교환 네트워크에서 패킷은 컴퓨터 간에 전송되는 데이터 단위를 나타냅니다. 보안 및 문제 해결을 위해 패킷을 모니터링하고 검사하는 것은 네트워크 엔지니어와 시스템 관리자 모두의 책임입니다.

이를 위해 그들은 네트워크 패킷 분석기라는 소프트웨어 프로그램에 의존하는데, 아마도 Wireshark가 다용성과 사용 용이성으로 인해 가장 널리 사용되고 사용될 것입니다. 게다가 Wireshark를 사용하면 실시간으로 트래픽을 모니터링할 수 있을 뿐만 아니라 나중에 검사할 수 있도록 파일에 저장할 수도 있습니다.

관련 읽기: 네트워크 사용량 분석을 위한 최고의 Linux 대역폭 모니터링 도구

이 기사에서는 Wireshark를 사용하여 네트워크의 패킷을 분석하는 방법에 대한 10가지 팁을 공유하고 요약 섹션에 도달하면 북마크에 추가하고 싶은 마음이 들기를 바랍니다.

Linux에 Wireshark 설치

Wireshark를 설치하려면 https://www.wireshark.org/download.html에서 운영 체제/아키텍처에 적합한 설치 프로그램을 선택하세요.

특히 Linux를 사용하는 경우 편리할 때 더 쉽게 설치할 수 있도록 배포 저장소에서 Wireshark를 직접 사용할 수 있어야 합니다. 버전은 다를 수 있지만 옵션과 메뉴는 동일하지 않더라도 유사해야 합니다.

------------ On Debian/Ubuntu based Distros ------------ 
sudo apt-get install wireshark

------------ On CentOS/RHEL based Distros ------------
sudo yum install wireshark

------------ On Fedora 22+ Releases ------------
sudo dnf install wireshark

Debian 및 파생 제품에는 sudo를 사용하여 Wireshark를 실행하지 않는 한 네트워크 인터페이스 나열을 방해할 수 있는 알려진 버그가 있습니다. 이 문제를 해결하려면 이 게시물에서 허용되는 답변을 따르세요.

Wireshark가 실행되면 캡처에서 모니터링하려는 네트워크 인터페이스를 선택할 수 있습니다.

이 문서에서는 eth0를 사용하지만 원하는 경우 다른 것을 선택할 수 있습니다. 아직 인터페이스를 클릭하지 마세요. 나중에 몇 가지 캡처 옵션을 검토한 후 클릭하겠습니다.

캡처 옵션 설정

우리가 고려할 가장 유용한 캡처 옵션은 다음과 같습니다.

  1. 네트워크 인터페이스 – 이전에 설명했듯이 eth0을 통해 들어오는 패킷 또는 나가는 패킷만 분석합니다.
  2. 캡처 필터 – 이 옵션을 사용하면 포트, 프로토콜 또는 유형별로 모니터링하려는 트래픽 종류를 나타낼 수 있습니다.

팁을 진행하기 전에 일부 조직에서는 네트워크에서 Wireshark 사용을 금지한다는 점을 알아 두는 것이 중요합니다. 즉, 개인적인 목적으로 Wireshark를 사용하지 않는 경우 조직에서 사용을 허용하는지 확인하세요.

당분간은 드롭다운 목록에서 eth0를 선택하고 버튼에서 시작을 클릭하세요. 해당 인터페이스를 통과하는 모든 트래픽이 표시되기 시작합니다. 검사되는 패킷의 양이 많기 때문에 모니터링 목적으로는 별로 유용하지 않지만 시작에 불과합니다.

위 이미지에서는 사용 가능한 인터페이스를 나열하고, 현재 캡처를 중지하고, 다시 시작(빨간색)하는 아이콘도 볼 수 있습니다. 상자(왼쪽), 필터를 구성하고 편집할 수 있습니다(오른쪽의 빨간색 상자). 이러한 아이콘 중 하나 위로 마우스를 가져가면 해당 아이콘의 기능을 나타내는 도구 설명이 표시됩니다.

캡처 옵션을 설명하는 것부터 시작하고 #7부터 #10까지의 팁에서는 실제로 캡처를 사용하여 유용한 작업을 수행하는 방법에 대해 논의합니다.

팁 #1 - HTTP 트래픽 검사

필터 상자에 http를 입력하고 적용을 클릭하세요. 브라우저를 실행하고 원하는 사이트로 이동하세요:

모든 후속 팁을 시작하려면 실시간 캡처를 중지하고 캡처 필터를 편집하세요.

팁 #2 - 주어진 IP 주소에서 HTTP 트래픽을 검사하세요

이 특정 팁에서는 필터 스탠자 앞에 ip==192.168.0.10&&를 추가하여 로컬 컴퓨터와 192.168.0.10 사이의 HTTP 트래픽을 모니터링합니다.

팁 #3 – 주어진 IP 주소에 대한 HTTP 트래픽 검사

#2와 밀접하게 관련되어 있는 이 경우에는 다음과 같이 캡처 필터의 일부로 ip.dst를 사용합니다.

ip.dst==192.168.0.10&&http

#2#3을 결합하려면 필터 규칙에서 ip.srcip.addr를 사용할 수 있습니다. 코드> 또는 ip.dst.

팁 #4 - Apache 및 MySQL 네트워크 트래픽 모니터링

때로는 조건 중 하나(또는 둘 다)와 일치하는 트래픽을 검사하는 데 관심이 있을 수도 있습니다. 예를 들어 TCP 포트 80(웹 서버) 및 3306(MySQL/MariaDB 데이터베이스 서버)의 트래픽을 모니터링하려면 OR 조건을 사용할 수 있습니다. 캡처 필터에서:

tcp.port==80||tcp.port==3306

#2#3에서 ||와 단어 or는 동일한 결과를 생성합니다. && 및 단어 and와 동일합니다.

팁 #5 - 주어진 IP 주소에 대한 패킷 거부

필터 규칙과 일치하지 않는 패킷을 제외하려면 !를 사용하고 규칙을 괄호로 묶습니다. 예를 들어 특정 IP 주소에서 시작되거나 해당 IP 주소로 전달되는 패키지를 제외하려면 다음을 사용할 수 있습니다.

!(ip.addr == 192.168.0.10)

팁 #6 - 로컬 네트워크 트래픽 모니터링(192.168.0.0/24)

다음 필터 규칙은 로컬 트래픽만 표시하고 인터넷에서 들어오고 나가는 패킷은 제외합니다.

ip.src==192.168.0.0/24 and ip.dst==192.168.0.0/24

팁 #7 - TCP 대화 내용 모니터링

TCP 대화(데이터 교환)의 내용을 검사하려면 해당 패킷을 마우스 오른쪽 버튼으로 클릭하고 TCP 스트림 팔로우를 선택합니다. 대화 내용이 포함된 창이 나타납니다.

여기에는 웹 트래픽을 검사하는 경우 HTTP 헤더가 포함되며, 프로세스 중에 전송된 일반 텍스트 자격 증명도 포함됩니다.

팁 #8 – 색칠 규칙 편집

지금쯤이면 캡처 창의 각 행에 색상이 지정되어 있다는 것을 이미 눈치채셨을 것입니다. 기본적으로 HTTP 트래픽은 검은색 텍스트와 함께 녹색 배경에 표시되는 반면, 체크섬 오류는 빨간색 텍스트로 표시됩니다. 검정색 배경으로.

이러한 설정을 변경하려면 수정 색상 규칙 아이콘을 클릭하고 특정 필터를 선택한 다음 수정을 클릭하세요.

팁 #9 – 캡처를 파일에 저장

캡처한 내용을 저장해 주시면 더욱 자세하게 확인하실 수 있습니다. 이렇게 하려면 파일 → 내보내기로 이동하여 목록에서 내보내기 형식을 선택하세요.

팁 #10 – 캡처 샘플로 연습

네트워크가 "지루하다"고 생각한다면 Wireshark는 연습하고 배우는 데 사용할 수 있는 일련의 샘플 캡처 파일을 제공합니다. 이러한 SampleCapture를 다운로드하고 파일 → 가져오기 메뉴를 통해 가져올 수 있습니다.

요약

Wireshark는 공식 웹사이트의 FAQ 섹션에서 볼 수 있듯이 무료 오픈 소스 소프트웨어입니다. 검사를 시작하기 전이나 후에 캡처 필터를 구성할 수 있습니다.

혹시 눈치 채지 못하셨을 경우를 대비해, 필터에는 나중에 사용자 정의할 수 있는 가장 많이 사용되는 옵션을 쉽게 검색할 수 있는 자동 완성 기능이 있습니다. 그것으로 하늘이 한계입니다!

언제나 그렇듯이, 이 기사에 대해 질문이나 의견이 있으면 주저하지 말고 아래 의견 양식을 사용하여 연락해 주세요.