기타 개발 스킬 Show 패킷 분석 툴, 와이어샤크(WireShark) 사용법 (필터링, 검증, 처음 사용해보는 사람을 위한 안내)JEONG_AMATEUR 2018. 5. 28. 23:39
와이퍼샤크는 오픈 소스 패킷 분석 프로그램으로 "pcap"을 이용하여 패킷을 잡아내는 것이 주요 기능이다. 윈도우뿐만 아니라 리눅스같은 유닉스 계열의 운영체제에서도 사용된다. 무차별 모드(promiscuous mode)를 지원해서 나한테 들어오고 나가는 패킷만 얻을 수 있는 것이 아니라 브로드캐스트나 멀티캐스트 트래픽도 얻을 수 있다. (100% 모든 것을 확인할 수 있는 것은 아님.) * 여기서 사용 목적이 좀 나뉠 수 있다. 패킷을 분석하는 툴이기 때문에 해당 패킷을 보고 싶은 사람이 사용할 수도 있고, pcap 라이브러리를 이용해서 패킷 분석 프로그램을 개발할 수도 있다. 또한 패킷 복호화를 통해 해킹(?)을 해볼 수 있고, 보안을 배울 수도 있다. 하지만, 나 같은 일반적인 개발자(?)들은 내 컴퓨터에서 데이터가 잘 나가고 들어오는지 정도만 확인하면 되기 때문에 그 목적에 맞춘다.
간단하게 와이어 샤크 설치 방법을 설명한다. (다운로드 링크 : https://www.wireshark.org/download.html) stable release에서 운영체제에 맞는 것을 설치한다. 1. 설치 시작 2. 웬만한 것들은 설치를 한다. (User's Guide는 굳이 없어도 됨.)
3. 핵심! pcap를 이용해서 패킷을 캡쳐하기 때문에 반드시 설치해야한다.
4. next로 설치를 진행하다보면 중간에 WinPcap을 설치하겠냐는 창이 뜬다. 그것까지 설치해주면 완료.
와이어샤크를 사용하는 방법은 정말 쉽다. (물론 기초적인 것이 목표이기 때문이지만..)
와이어샤크 처음 실행하면 위와 같은 화면이
뜬다. 가운데 빨간색 박스를 보면 자동으로 와이어샤크가 이더넷 인터페이스를 찾아놨다. 따라서 해당 부분을 클릭하면 왼쪽 상단에 상어지느러미 모양이 활성화되는데 이것을 누르면 해당 이더넷 인터페이스에서 오고 가는 패킷들을 찾아준다.
이런식으로 오고가는 패킷을 실시간으로 잡아내는 것을 확인할 수 있다. 상단쪽에 컬러풀(?)한 곳을 보면 해당 패킷이 어디서 보냈고 어디로 받았는지와 프로토콜의 정보등을 볼 수 있다.
이 부분만 확인해도 대략적인 정보를 얻을 수 있다. 예를 들어 "소켓을 이용해서 긴 메시지를 보낸다고 할 때 잘 가는지를 확인하려면" TCP 프로토콜로 내 ip(Source)에서 도착지로 패킷이 얼마나(length) 갔는지를 확인할 수 있다. 뭔가 에러가 있을 때는 빨간색 혹은 검은색으로 패킷이 오고 가는 것을 확인할 수 있다. (색 변경가능) 데이터 한개 보냈을 때 패킷 수를 알고 있으면 데이터가 10만개가 잘 갔는지도 확인할 수 있다. 그리고 만약에 패킷 수집을 그만하고 싶으면 상어지느러미 옆에 중지버튼을 누르면 된다.
사실 위와 같이 그냥 start버튼으로 패킷을 수집해버리면 원하는 패킷만 보고 싶은데 다른 패킷들도 다 수집해버려서 보기 어렵다. 그래서 그런 문제를 해결하기 위해 필터링을 제공한다. 두 가지의 필터링 방식이 있는데 중요한 것은 아니므로 쉽게 설명하도록 한다. 1. 애초에 패킷 수집 자체에 필터를 걸어서 필터링에 적용된 패킷만 받는 방법(성능에 영향을 끼칠 수 있음..) 2. 오가는 패킷 전체를 수집한 후, 내가 화면에서 볼 것만 필터링하는 방법(권장, 다양한 연산이 사용가능함) 1을 캡쳐필터라고하고 2를 디스플레이 필터라고 한다는 것만 알고 넘어간다.
위에 상단바에 보면 "Apply a display filter" 라고 쓰여있는 공간이 있다. (위 그림에서 ip라고 적힌 부분) 이 곳에다가 원하는 필터링 식을 적용하거나 상단 메뉴에 Analyze > Display Filters... 에 들어가서 적용할 수 있다. 또한 위에 그림처럼 ip만 쳐도 사용할 수 있는 필터의 예시를 알려준다. 예를들어 "ip.addr == 192.0.2.1" 이라고 적용하면 source든 destination이든 아이피가 해당 아이피인 패킷만 볼 수 있다. - 유용한 필터링 식
기타 비교 연산자나 논리 표현도 가능해서 아주 다양하게 적용할 수도 있다. * 추가적으로 단순하게 패킷만 볼 것이 아니라 패킷들을 세션별로 조립해서 내용까지도 확인해볼 수 있다. (물론 따로 설명하진 않았지만 프로그램 중간에 패킷에 대한 자세한 정보를 볼 수도 있고 프로그램 하단에 패킷을 HEX (16진수 바이트)로 볼 수도 있다.) - 세션별로 조립한 것을 Stream이라고 하는데 밑에 예제에서는 TCP로 통신되고 있는 패킷들을 조립해서 내용을 확인해본 것이다.
여러가지 스트림을 제공하고 있으니 확인해보면 좋을 듯하다.
위와 같이 확인할 수 있다. 하지만 항상 위처럼 깔끔하게 나오는 것은 아니다. 인코딩이 다를 수도 있고 온전히 해석하기 어려울 수도 있다. 따라서 좀 더 알아보고 사용하도록하고 원래 취지대로 데이터를 잘 보내고 잘 받았는지 확인하는 용도로 와이어샤크를 사용해보도록 하자. 10 best packet sniffer tools 2021 패킷 분석 요구 사항에 가장 적합한 네트워크 스니퍼를 선택하려면 상위 패킷 스니퍼 도구에 대한 종합적인 리뷰를 읽어보십시오. 패킷 스니핑은 네트워크를 통과하는 모든 패킷을 모니터링하는 프로세스입니다. 패킷 스니퍼는 네트워크 관리자가 네트워크를 모니터링하고 이에 대한 통찰력을 얻을 수 있도록 도와줍니다. 또한 네트워크 문제의 근본 원인을 감지하고, 네트워크 문제를 해결하고, 트래픽 분석, 대역폭 관리, 네트워크 보안 및 규정 준수를 도와줍니다. 학습 내용 : 패킷 스니퍼의 두 가지 광범위한 범주는
하드웨어 패킷 스니퍼와 소프트웨어 패킷 스니퍼입니다. 소프트웨어 스니퍼는 요즘 더 인기가 있습니다. 하드웨어 스니퍼는 네트워크 문제 해결에도 도움이됩니다. 이들은 네트워크에 직접 연결되어 수집 된 정보를 저장 / 전달합니다. 사실 확인 :패킷 스니퍼는 사용자가 방문한 웹 사이트에 대한 암호 및 로그인 세부 정보에서 모든 유형의 데이터를 수집 할 수 있습니다. 웹 사이트에서 사용자가 보는 내용을 알 수도 있습니다. 따라서 다양한 회사에서 직원의 네트워크 사용을 추적하는 데 사용됩니다. 또한 들어오는 트래픽에서 악성 코드를 검색하는 데 사용됩니다. 네트워크 캡처 및 분석을위한 모든 데이터 파이프 라인은 패킷 캡처, 프로토콜 구문 분석, 검색 및 시각화와 같은 여러 단계로 구성됩니다. 아래 이미지는 Wireshark 및 Elastic Stack을 사용한 네트워크 패킷 분석 파이프 라인을 보여줍니다.
 [영상 출처 ] 프로 팁 :다양한 무료 및 오픈 소스와 패킷 스니핑을위한 상용 도구를 사용할 수 있습니다. 일부 도구는 간단하고 안정적이고 깨끗한 데이터 수집을 제공하고 작은 공간을 남깁니다. 간단한 스니핑과 빠른 진단을 위해 무료 및 오픈 소스 도구가 좋은 옵션이 될 것입니다. 유료 또는 상용 도구는 데이터 캡처, 심층 패킷 검사, 그래프 및 차트, 예외 사례에 대한 경고 등과 함께 직관적 인 분석과 같은 기능을 제공합니다. 이러한 도구는 대기업에 적합합니다. 패킷 스니핑 팁 :
패킷 스니퍼는 어떻게 작동합니까? 모든 네트워크에는 네트워킹 용어로 노드라고하는 워크 스테이션 및 서버와 같은 다양한 구성 요소가 있습니다. 데이터는 이러한 노드간에 패킷 형태로 전송됩니다. 모든 패킷에는 실제 데이터와 제어 정보가 있습니다. 이 제어 정보는 패킷이 소스의 대상에 도달하는 데 도움이됩니다. 이 제어 정보에는 발신자와 수신자의 IP 주소, 패킷 시퀀싱 정보 등 다양한 세부 정보가 포함됩니다. 데이터 패킷이 네트워크를 통해 전송되면 네트워크의 여러 노드를 통과합니다. 이러한 패킷의 제어 정보는 각 네트워크 어댑터 및 연결된 장치에서 확인됩니다. 향하는 노드가 있는지 확인합니다. 정상적인 상황에서는 패킷이 다른 노드로 주소 지정되면 무시됩니다. 패킷 스니핑 프로그램은 일부 노드가 대상 주소에 관계없이 모든 또는 정의 된 패킷 샘플을 수집하도록합니다. 패킷 스니퍼는 이러한 패킷을 사용하여 네트워크를 분석합니다. => 문의하기 여기에 목록을 제안합니다.최고의 네트워크 스니핑 도구 목록다음은 인기있는 네트워크 스니퍼 목록입니다.
상위 네트워크 스니퍼 비교
네트워크 스니퍼 검토 : # 1) SolarWinds 네트워크 패킷 스니퍼최적 중소 기업.
SolarWinds Network Packet Sniffer는 최종 사용자 경험에 영향을 미치는지 여부에 관계없이 애플리케이션 또는 네트워크의 정보를 제공합니다. SolarWinds 네트워크 성능 모니터 (NPM)와 함께 제공됩니다. SolarWinds NPM은 대시 보드를 통해 패킷 수준 데이터를 기반으로 한 실제 성능 통계에 대한 개요를 한 눈에 제공합니다. 이는 문제가있는 트래픽을 정확히 찾아내는 데 도움이됩니다. 심층 패킷 검사를 수행합니다. SolarWinds Network Packet Sniffer에는 WiFi 패킷 캡처 도구가 있습니다. 정상 트래픽과 비정상 트래픽을 구분할 수 있으며, 애플리케이션에 따라 세부 데이터 및 거래량을 제공합니다. 이러한 통찰력은 문제를 파악하고 네트워크 보안 문제를 방지하는 데 도움이됩니다. 풍모:
평결: 이 도구는 네트워크를 원활하게 실행하고 최종 사용자 경험이 영향을받지 않도록합니다. 네트워크를 최적화하기 위해 엔터프라이즈 급 네트워크 패킷 스니핑의 이점을 제공합니다. 가격: SolarWinds NPM에 대해 모든 기능을 갖춘 무료 평가판을 사용할 수 있습니다. 영구 라이선스 ($ 2995부터 시작) 및 구독 라이선스 ($ 1583부터 시작)로 제품을 제공합니다. 웹 사이트 : SolarWinds 네트워크 패킷 스니퍼 # 2) Wireshark최적 중소 기업.
Wireshark는 네트워크 프로토콜 분석기입니다. 이 도구의 도움을 받아 네트워크에서 일어나는 일을 미시적 인 수준으로 볼 수 있습니다. 널리 사용되는 도구이며 많은 상업 및 비영리 기업, 정부 기관 및 교육 기관에서 사실상 표준으로 사용됩니다. Windows, Mac, Linux, Solaris, FreeBSD, NetBSD 등과 같은 다양한 플랫폼을 지원합니다. 풍모:
평결: Wireshark는 업계에서 강력한 디스플레이 필터를 보유하고 있습니다. IPsec, ISAKMP 등과 같은 많은 암호 해독 프로토콜을 지원합니다. 이더넷, IEEE 802.11, PPP / HDLC, ATM 등에서 라이브 데이터를 읽을 수 있습니다. 가격: Wireshark는 무료 오픈 소스 도구입니다. 웹 사이트 : Wireshark # 3) Paessler PRTG최적 중소 기업.
Paessler PRTG 네트워크 모니터는 전문적인 올인원 패킷 스니핑 도구입니다. 인프라 및 네트워크 성능에 대한 귀중한 통찰력을 제공합니다. Windows를 지원합니다. 대역폭 및 트래픽과 같은 모든 것을 모니터링 할 수있는 다양한 가능성이 있습니다. PRTG는 데이터 패킷을 모니터링하면서 SNMP, NetFlow, WMI, 네트워크 스니핑 등과 같은 다양한 기술을 사용합니다. 풍모:
평결: Paessler PRTG는 단순한 네트워크 스니핑 도구가 아니라 포괄적 인 모니터링 소프트웨어로 작동합니다. CPU 및 메모리와 같은 모든 중요한 하드웨어 매개 변수를 모니터링 할 수 있습니다. 모든 하드웨어에 대해 PRTG는 네트워크 스니퍼로서 완벽한 솔루션입니다. 가격: Paessler PRTG는 무료 버전을 제공합니다. 30 일 동안 무제한 버전의 PRTG를받은 다음 무료 버전으로 되돌립니다. 이 도구의 가격은 센서 500 개당 1750 달러부터 시작합니다. 웹 사이트 : Paessler PRTG # 4) ManageEngine NetFlow 분석기최적 중소 기업.
NetFlow Analyzer는 ManageEngine의 트래픽 분석 도구입니다. 심층 트래픽 분석을 수행합니다. 실시간 교통 그래프 및 보고서를 제공합니다. NetFlow Analyzer는 Essential 및 Enterprise의 두 가지 버전으로 제공됩니다. Essential Edition은 단일 네트워크 용이고 Enterprise Edition은 분산 네트워크 용입니다. 풍모:
평결: NetFlow Analyzer는 네트워크 트래픽에 대한 포괄적 인 가시성을 제공하는 완벽한 대역폭 관리 솔루션입니다. 모바일 앱을 사용하면 언제 어디서나 이동 중에 네트워크 트래픽을 모니터링 할 수 있습니다. Android 및 iOS 장치를 지원합니다. 가격: NetFlow Analyzer에는 Essential (10 개 인터페이스에 595 달러)과 Enterprise (10 개 인터페이스에 1295 달러)의 두 가지 에디션이 있습니다. 30 일 동안 두 버전을 모두 사용해 볼 수 있습니다. 영구 및 구독 라이선스에 대한 견적을받을 수 있습니다. 또한 라이선스없이 2 개의 인터페이스를 모니터링 할 수있는 무료 버전을 제공합니다. 비즈니스 분석가 기술 인터뷰 질문 및 답변 웹 사이트 : ManageEngine NetFlow 분석기 # 5) TCPdump최적 도구에 대한 깊이있는 지식을 가진 사용자.
TCPdump는 패킷 분석기입니다. 이 데이터 네트워크 패킷 분석기는 강력한 명령 줄 도구입니다. 네트워크 트래픽 캡처를위한 휴대용 C / C ++ 라이브러리입니다. Linux, Solaris, FreeBSD, NetBSD, Mac OS 등과 같은 대부분의 유닉스 계열 OS를 지원합니다. 짧고 간단한 명령을 사용하여 실패한 패킷 만 캡처, 캡처 된 패킷을 파일에 저장 등과 같은 기능을 수행 할 수 있습니다. 풍모:
평결: TCPdump는 BSD 라이선스와 함께 배포됩니다. 도구가 원활하게 작동하기 위해 견고한 PC가 필요하지 않습니다. 이 도구에 대한 학습 곡선이 있으며 사용하는 동안이 도구를 사용하는 방법을 알아야합니다. 가격: TCPdump는 무료로 사용할 수 있습니다. 웹 사이트 : TCPdump # 6) WinDump최적 Windows 사용자.
WinDump는 Windows OS 용 TCPdump 버전입니다. TCPdump와 완벽하게 호환됩니다. 복잡한 규칙에 따라 네트워크 트래픽을 감시, 진단 및 디스크에 저장하는 기능이 있습니다. Windows 95, 98, ME NT, 2000, XP, 2003 및 Vista를 지원합니다. 풍모:
평결: TCPdump와 마찬가지로 WinDump는 BSD 스타일 라이선스로 배포됩니다. 가격: WinDump는 무료로 사용할 수 있습니다. 웹 사이트 : WinDump # 7) NetworkMiner최적 사고 대응 팀 및 법 집행을 위해.
NetworkMiner는 Netresec의 네트워크 포렌식 분석 도구입니다. Windows, Mac, Linux 및 FreeBSD를 지원합니다. 수동 네트워크 스니핑 및 패킷 캡처 기능이 있습니다. 운영 체제, 세션, 호스트 이름, 열린 포트 등을 감지 할 수 있습니다. 오프라인 분석을 수행하고 PCAP 파일에서 전송 된 파일 및 인증서를 재생성하기 위해 PCAP 파일을 구문 분석 할 수 있습니다. 풍모:
평결: NetworkMiner는 전 세계 조직에서 인기가 있습니다. 추출 된 아티팩트를 제공하는 직관적 인 사용자 인터페이스가있어 고급 네트워크 트래픽 분석을보다 쉽게 수행 할 수 있습니다. 분석가 또는 법의학 수사관이 분석하는 데 도움이되는 직관적 인 UI의이 데이터 프레젠테이션입니다. 가격: NetworkMiner는 NetworkMiner 무료 버전과 NetworkMiner Professional (미화 900 달러)의 두 가지 버전으로 제공됩니다. 웹 사이트 : NetworkMiner # 8) 콜라 소프트 박스최적 네트워크 관리자 및 네트워크 엔지니어.
Capsa는 유선 및 무선 네트워크를 모니터링, 분석 및 문제 해결하는 기능이있는 네트워크 분석기입니다. 네트워크 성능 분석 및 진단을위한 휴대용 도구입니다. 강력한 패킷 캡처 및 분석 기능이 있습니다. 사용하기 쉬운 인터페이스가 있습니다. 베테랑 및 초보 사용자 모두에게 적합합니다. 중요한 비즈니스 환경에서 네트워크를 보호하고 모니터링 할 수 있습니다. Colasoft의 무료 플랜 인 Capsa Free는 10 개의 IP 주소 모니터링, 4 시간 세션 시간 초과 길이, 수동 파일 저장과 같은 제한된 기능을 제공하며 어댑터 모니터를 제공합니다. Enterprise 플랜을 사용하면 모니터링 할 IP 주소 및 세션 시간 초과 길이에 제한이 없습니다. 풍모:
평결: Capsa는 패킷 캡처 및 분석에 강력하고 포괄적입니다. 네트워크 문제를 신속하게 파악할 수 있습니다. 각 호스트의 광범위한 통계를 제공합니다. 가격: Capsa에서 무료 플랜도 사용할 수 있습니다. Capsa Enterprise는 $ 995입니다. 30 일 동안 무료 평가판을 제공합니다. 웹 사이트 : Colasoft 상자 # 9) Telerik Fiddler최적 중소 기업.
Telerik Fiddler는 무료 웹 디버깅 프록시입니다. 컴퓨터와 인터넷 간의 모든 HTTP (S) 트래픽을 기록 할 수 있습니다. 교통 검사에 도움이됩니다. 중단 점을 설정하고 요청 / 응답을 조작 할 수 있습니다. Fiddler Everywhere는 모든 브라우저, 애플리케이션 및 프로세스에 사용할 수 있습니다. Windows, Mac 및 Linux 플랫폼을 지원합니다. 풍모:
평결: 프록시이므로 브라우저 또는 앱의 모든 네트워크 요청은 Fiddler Everywhere를 통해 라우팅됩니다. 모든 주요 브라우저를 지원합니다. 가격: Fiddler Everywhere는 현재 Free와 Pro의 두 가지 버전으로 제공됩니다. Pro 계획은 사용자 당 월 $ 12입니다. Teams 및 Enterprise 플랜이 곧 제공 될 예정입니다. 웹 사이트 : Telerik Fiddler # 10) 키즈 멧최적 무선 패킷 스니핑.
Kismet은 무선 네트워크 및 장치 탐지기, 스니퍼, wardriving 도구 및 WIDS 프레임 워크로 작동하는 기능이있는 무료 도구입니다. WiFi 인터페이스, Bluetooth 인터페이스, 일부 SDR 하드웨어 및 기타 특수 캡처 하드웨어와 함께 작동 할 수 있습니다. Linux 및 OSX를 지원하며 WSL 프레임 워크에서 Windows 10에 대한 제한된 지원을 제공합니다. Linux OS의 경우 대부분의 WiFi 카드, Bluetooth 인터페이스 및 기타 하드웨어 장치가 Kismet에서 지원됩니다. OSX의 경우 내장 Wi-Fi 인터페이스가 지원되며 Windows 10 Kismet의 경우 원격 캡처와 함께 작동합니다. Kismet에는 '패킷 별 정보'헤더를 캡처하는 기능이 있습니다. 풍모:
평결: 키즈 멧은 인기있는 도구 중 하나입니다. 최신이며 오픈 소스 도구입니다. 기록 가능한 패킷을 보내지 않고도 무선 액세스 포인트 및 무선 클라이언트의 존재를 감지하고 서로 연결할 수 있습니다. 가격: Kismet은 무료 네트워크 스니퍼 도구입니다. 웹 사이트 : 키즈 멧 결론네트워크 스니퍼는 대역폭 관리, 효율성 증대, 비즈니스 서비스 제공 보장, 보안 강화 등과 같은 다양한 사용 사례에 사용됩니다. SolarWinds 네트워크 패킷 스니퍼, Wireshark, PRTG 네트워크 모니터, ManageEngine NetFlow Analyzer, TCPdump 및 WinDump는 우리의 최고 권장 네트워크입니다. 스니핑 도구. Wireshark, TCPdump, WinDump, Kismet은 완전 무료 도구입니다. SolarWinds Network Packet Sniffer, PRTG Network Monitor, ManageEngine NetFlow Analyzer, Network Miner, Colasoft Capsa 및 Telerik Fiddler는 상용 도구입니다. NetworkMiner, Colasoft Capsa 및 Telerik Fiddler는 무료 요금제를 제공합니다. 많은 무료 및 상용 패킷 분석기가 시장에 나와 있습니다. 모두 특징과 기능이 다릅니다. 이 기사가 올바른 패킷 스니퍼를 선택하는 데 도움이 되었기를 바랍니다. 연구 과정 :
추천 도서 |
패킷 분석 프로그램 - paekis bunseog peulogeulaem
관련 게시물
저작권 © 2024 nguoilontuoi Inc.
