Tshark 에서 프로토콜 통계 생성하기

WiresharkBeginner
지금 연습하기

소개

이 랩에서는 패킷 캡처 파일에서 프로토콜 통계를 생성하여 Wireshark 의 명령줄 도구인 tshark를 사용하여 네트워크 트래픽을 분석하는 방법을 배우게 됩니다. 파일을 읽기 위한 -r, 조용한 모드를 위한 -q, 프로토콜 계층 구조 통계를 위한 -z io,phs와 같은 주요 옵션을 살펴볼 것입니다.

이 연습에서는 캡처 파일의 검증, 패킷 요약 보기, 프로토콜 분포 해석을 안내합니다. 이 실습 경험을 통해 tshark의 통계 기능을 사용하여 네트워크 분석 기술을 향상시킬 수 있습니다.

-r capture.pcap 으로 파일 읽기

이 단계에서는 Wireshark 의 명령줄 도구인 tshark를 사용하여 패킷 캡처 파일을 열고 분석하는 방법을 배우게 됩니다. -r 옵션은 읽을 패킷 캡처 파일을 지정하므로 기본적입니다. 텍스트 편집기로 문서를 여는 것과 같습니다. 프로그램에 어떤 파일로 작업할지 알려줘야 합니다.

  1. 먼저, 올바른 디렉토리에 있는지 확인합니다. 터미널을 열고 다음을 실행합니다.

    cd ~/project
    

    이 명령은 샘플 캡처 파일이 저장된 프로젝트 디렉토리로 이동합니다. 파일에 접근하기 전에 올바른 폴더를 여는 것과 같습니다.

  2. 랩 환경은 capture.pcap이라는 샘플 캡처 파일을 제공합니다. 파일의 존재 여부를 확인합니다.

    ls -l capture.pcap
    

    예상 출력은 다음과 같이 파일 세부 정보를 표시해야 합니다.

    -rw-r--r-- 1 labex labex 12345 Jan 1 00:00 capture.pcap
    

    ls -l 명령은 파일의 권한, 크기 및 수정 시간을 보여줍니다. 이는 파일을 분석하기 전에 파일이 존재하고 접근 가능하다는 것을 확인합니다.

  3. tshark 로 캡처 파일을 읽으려면 다음을 실행합니다.

    tshark -r capture.pcap
    

    이 명령은 capture.pcap 파일을 읽고 각 네트워크 패킷의 요약 정보를 표시합니다. 다음 열이 표시됩니다.

    • 패킷 번호 (캡처 시퀀스)
    • 타임스탬프 (캡처된 시간)
    • 소스 및 대상 IP 주소
    • 사용된 프로토콜 (TCP, UDP 등)
    • 패킷에 대한 기본 정보
  4. 패킷 번호와 프로토콜만 표시하는 더 깔끔한 출력을 위해 -q (quiet) 옵션을 추가합니다.

    tshark -r capture.pcap -q
    

    -q 플래그는 일부 세부 정보를 억제하여 출력을 단순화합니다. 이는 모든 패킷 세부 정보를 보지 않고 캡처의 트래픽 유형을 빠르게 스캔하려는 경우에 유용합니다.

  5. 패킷 목록을 종료하려면 충분한 출력을 확인한 후 Ctrl+C를 누릅니다. 이 키보드 조합은 명령 실행을 중지하고 터미널 프롬프트로 돌아갑니다.

이러한 명령은 캡처된 패킷을 표시하는 것일 뿐이며, 파일을 어떤 방식으로든 수정하는 것은 아닙니다. 다음 단계에서는 이 트래픽을 더 자세히 분석하는 방법을 보여줍니다.

-z io,phs 로 계층 구조 통계 계산

이 단계에서는 Wireshark 의 명령줄 도구인 tshark를 사용하여 프로토콜 계층 구조 통계를 생성하여 네트워크 트래픽을 분석하는 방법을 살펴봅니다. -z io,phs 옵션은 캡처된 트래픽에서 서로 다른 네트워크 프로토콜이 어떻게 관련되어 있는지 보여주는 구조화된 개요를 생성합니다.

  1. 먼저, 캡처 파일이 저장된 올바른 작업 디렉토리에 있는지 확인합니다.

    cd ~/project
    

    이 명령은 패킷 캡처 파일로 작업할 프로젝트 디렉토리로 이동합니다.

  2. 이제 capture.pcap 파일을 분석하여 프로토콜 분포를 확인합니다. 다음 명령을 실행합니다.

    tshark -r capture.pcap -z io,phs
    

    각 부분의 기능은 다음과 같습니다.

    • -r capture.pcap는 패킷 캡처 파일을 읽습니다.
    • -z io,phs는 프로토콜 계층 구조 통계를 생성합니다.
  3. 이 명령은 네트워크 트래픽에서 프로토콜이 어떻게 계층화되어 있는지 보여주는 출력을 생성합니다. 다음은 샘플 구조입니다.

    ======================================================
    Protocol Hierarchy Statistics
    Filter:
    
    eth                                      frames:100 bytes:10000
      ip                                     frames:90 bytes:9000
        tcp                                  frames:80 bytes:8000
          http                               frames:70 bytes:7000
        udp                                  frames:10 bytes:1000
      arp                                    frames:10 bytes:1000
    ======================================================
    

    이 트리 구조는 다음을 보여줍니다.

    • 모든 트래픽을 전달하는 기본 계층인 이더넷 (eth)
    • 이더넷 프레임의 90% 를 구성하는 IP 패킷
    • IP 내에서 지배적인 전송 프로토콜인 TCP
    • 대부분의 TCP 패킷을 차지하는 HTTP 트래픽
  4. 통계는 각 프로토콜에 대해 세 가지 주요 정보를 제공합니다.

    • 전체 트래픽의 비율 (프레임 수로 암시)
    • 전송된 프레임 및 바이트의 절대 수
    • 프로토콜 간의 캡슐화 관계
  5. 추가 캡처 정보 없이 더 깔끔한 보기를 위해 -q (quiet) 옵션을 추가합니다.

    tshark -r capture.pcap -z io,phs -q
    

    -q 플래그는 추가 세부 정보를 억제하여 프로토콜 계층 구조 통계만 제공합니다. 이는 프로토콜 분석만 필요한 경우에 특히 유용합니다.

-q 옵션으로 패킷 상세 정보 숨기기

이 단계에서는 네트워크 트래픽을 분석할 때 출력을 단순화하는 데 도움이 되는 tshark 의 -q 옵션에 대해 배우게 됩니다. 이는 자세한 패킷 내용보다는 통계 정보만 필요한 경우에 특히 유용합니다.

  1. 먼저, 패킷 캡처 파일이 저장된 작업 디렉토리로 이동합니다.

    cd ~/project
    

    이렇게 하면 샘플 캡처 파일에 액세스할 수 있는 올바른 위치에 있는지 확인합니다.

  2. 먼저 -q 옵션 없이 일반적인 tshark 출력이 어떻게 보이는지 살펴보겠습니다.

    tshark -r capture.pcap
    

    이 명령은 프로토콜 헤더 및 페이로드 데이터를 포함한 전체 패킷 정보를 표시합니다. 초보자의 경우, 전체 통계에만 관심이 있을 때 이 출력은 너무 많은 세부 정보로 인해 압도적으로 보일 수 있습니다.

  3. 이제 -q (quiet) 옵션을 사용하여 동일한 명령을 시도해 보겠습니다.

    tshark -r capture.pcap -q
    

    이것이 자세한 패킷 정보를 억제하여 더 깔끔한 출력을 제공하는 방식을 확인하십시오. -q 옵션은 tshark 에게 패킷 수준 세부 정보가 필요하지 않을 때 읽기 쉬운 요약 정보만 표시하도록 지시합니다.

  4. 이전에 배운 프로토콜 계층 구조 통계와 -q를 결합해 보겠습니다.

    tshark -r capture.pcap -z io,phs -q
    

    이 강력한 조합은 방해되는 패킷 세부 정보 없이 프로토콜 통계만 제공합니다. -z io,phs는 통계를 생성하고 -q는 통계 요약만 표시되도록 합니다.

  5. 관찰해야 할 주요 차이점:

    • -q 없이: 모든 프로토콜 계층을 포함한 전체 패킷 분석을 표시합니다.
    • -q 사용 시: 요약/통계 정보만 표시하는 더 깔끔한 보기를 제공합니다.
    • 집중적인 분석을 위해 통계 옵션 (-z) 과 결합할 때 특히 유용합니다.

개별 패킷 세부 정보보다는 전체적인 그림에 집중하려는 경우 -q 옵션이 유용하다는 것을 기억하십시오. 네트워크 분석에 필요한 필수 정보를 제공하면서 시각적인 혼란을 줄이는 데 도움이 됩니다.

콘솔에서 통계 보기

이 단계에서는 tshark 의 강력한 통계 기능을 사용하여 터미널에서 직접 네트워크 트래픽 패턴을 분석하는 방법을 배우게 됩니다. 이러한 명령은 트래픽 분포를 이해하고, 주요 통신자를 식별하며, 캡처된 네트워크 데이터에서 특이한 패턴을 찾아내는 데 도움이 됩니다.

  1. 먼저, 캡처 파일이 저장된 올바른 작업 디렉토리에 있는지 확인합니다. tshark 가 파일에 액세스해야 하므로 이는 중요합니다.

    cd ~/project
    
  2. 시간 간격으로 기본 캡처 파일 통계를 봅니다. -q 플래그는 패킷 세부 정보를 억제하고, -z io,stat,60은 60 초 요약 블록을 생성합니다.

    tshark -r capture.pcap -q -z io,stat,60
    

    이는 트래픽 볼륨이 1 분 단위로 시간에 따라 어떻게 변화하는지 보여줍니다.

  3. 어떤 IP 주소가 가장 활성적인지 (엔드포인트 통계) 확인하려면, 이 명령은 주소별 트래픽을 계산합니다.

    tshark -r capture.pcap -q -z endpoints,ip
    

    이는 모든 통신 IP 를 송/수신 패킷 및 바이트 수와 함께 나열합니다.

  4. 어떤 IP 쌍이 통신하고 얼마나 통신하는지 보여주는 대화 통계의 경우:

    tshark -r capture.pcap -q -z conv,ip
    

    이는 특정 소스 - 대상 쌍 간의 통신 패턴을 보여줍니다.

  5. 포괄적인 분석을 위해 여러 통계를 하나의 명령으로 결합합니다.

    tshark -r capture.pcap -q -z io,stat,60 -z endpoints,ip -z conv,ip
    
  6. 통계를 검토할 때 다음 주요 지표에 집중하십시오.

    • 총 패킷 및 바이트: 전체 트래픽 볼륨
    • 시간에 따른 트래픽 분포: 피크 또는 특이한 패턴 감지
    • 주요 통신 엔드포인트: 헤비 유저 식별
    • 대화 쌍: 누가 누구와 얼마나 대화하는지 이해

요약

이 Lab 에서는 네트워크 트래픽 분석을 위해 Wireshark 의 명령줄 도구인 tshark를 활용하는 방법을 배웠습니다. -r 옵션을 사용하여 패킷 캡처 파일을 읽고, 가독성을 높이기 위해 -q 플래그로 출력을 단순화하는 연습을 했습니다.

또한, 네트워크 트래픽 내의 프로토콜 분포에 대한 귀중한 통찰력을 제공하는 -z io,phs 옵션을 통해 프로토콜 계층 구조 통계를 생성하는 방법을 탐구했습니다. 이 기술은 개별 패킷을 검사하지 않고도 트래픽 구성을 빠르게 평가할 수 있게 해줍니다.