소개
끊임없이 발전하는 사이버 보안 환경에서 네트워크 트래픽을 이해하고 분석하는 것은 강력한 보안 조치를 유지하는 데 필수적입니다. 이 튜토리얼에서는 Wireshark 의 명령줄 인터페이스 (CLI) 를 활용하여 사이버 보안 관련 네트워크 트래픽을 캡처하고 분석하는 과정을 안내하여 네트워크 보안 수준을 향상시키는 데 필요한 기술을 습득할 수 있도록 합니다.
Wireshark 및 CLI 소개
Wireshark 은 네트워크 트래픽을 캡처, 검사 및 분석할 수 있는 강력한 네트워크 프로토콜 분석기입니다. 네트워크 관련 문제를 이해하고 문제 해결하는 데 사이버 보안 분야에서 널리 사용되는 도구입니다. Wireshark 은 주요 기능을 위한 그래픽 사용자 인터페이스 (GUI) 를 제공하지만, 터미널에서 네트워크 트래픽 분석을 수행할 수 있는 명령줄 인터페이스 (CLI) 인 tshark도 제공합니다.
Wireshark CLI (tshark) 란 무엇인가요?
tshark는 Wireshark 의 명령줄 버전으로, GUI 버전과 동일한 네트워크 분석 기능을 제공하지만 텍스트 기반 인터페이스를 사용합니다. tshark를 사용하면 터미널에서 직접 네트워크 트래픽을 캡처, 필터링 및 분석할 수 있으므로 사이버 보안 전문가 및 네트워크 관리자에게 귀중한 도구가 됩니다.
Wireshark CLI (tshark) 사용의 장점
- 스크립팅 및 자동화:
tshark의 CLI 인터페이스는 스크립트 및 자동화 워크플로우에 통합하기 쉽게 하여 네트워크 트래픽 분석 작업을 자동화할 수 있습니다. - 원격 액세스:
tshark를 사용하여 원격 시스템에서 네트워크 트래픽을 캡처하고 분석할 수 있으므로 사건 대응 및 네트워크 문제 해결에 귀중한 도구가 됩니다. - 자원 효율:
tshark는 일반적으로 전체 Wireshark GUI 보다 더 가볍고 자원 효율적이므로 자원이 제한된 시스템에서 사용하기에 적합합니다. - 표적 분석:
tshark의 CLI 인터페이스를 사용하면 네트워크 트래픽의 특정 측면에 집중할 수 있으므로 표적 분석을 수행하고 관련 정보를 추출하기가 더 쉽습니다.
Ubuntu 22.04 에서 Wireshark CLI (tshark) 설치
Ubuntu 22.04 시스템에 tshark를 설치하려면 다음 단계를 따르세요.
- 패키지 인덱스 업데이트:
sudo apt-get updatetshark패키지 설치:
sudo apt update
sudo apt-get install tsharktshark버전 확인으로 설치 확인:
tshark --version버전 정보가 표시되면 설치가 성공적으로 완료된 것입니다.
Wireshark CLI 를 이용한 네트워크 트래픽 캡처
tshark를 이용한 네트워크 트래픽 캡처
tshark를 사용하여 네트워크 트래픽을 캡처하려면 다음 명령어를 사용할 수 있습니다.
tshark -i <인터페이스> -w <출력파일.pcap>여기서 <인터페이스>는 트래픽을 캡처할 네트워크 인터페이스이고, <출력파일.pcap>은 캡처된 트래픽이 저장될 pcap 형식의 출력 파일 이름입니다.
예를 들어, eth0 인터페이스의 트래픽을 캡처하여 network_traffic.pcap 파일로 저장하려면 다음 명령어를 사용합니다.
tshark -i eth0 -w network_traffic.pcap캡처된 트래픽 필터링
tshark는 관심 있는 특정 트래픽에 집중할 수 있도록 강력한 필터링 옵션을 제공합니다. 프로토콜, 소스 또는 대상 IP 주소, 포트 번호 등 다양한 기준으로 캡처된 트래픽을 필터링하기 위해 디스플레이 필터를 사용할 수 있습니다.
HTTP 요청을 위해 트래픽을 캡처하고 필터링하는 예는 다음과 같습니다.
tshark -i eth0 -w http_traffic.pcap -Y "http"-Y 옵션은 디스플레이 필터를 지정하는 데 사용되며, 이 경우 HTTP 프로토콜을 필터링합니다.
특정 시간 동안 트래픽 캡처
-a 옵션을 사용하여 특정 시간 동안 트래픽을 캡처할 수도 있습니다. 예를 들어, 60 초 동안 트래픽을 캡처하려면 다음과 같이 합니다.
tshark -i eth0 -w network_traffic.pcap -a duration:60여러 인터페이스에서 트래픽 캡처
여러 네트워크 인터페이스에서 트래픽을 캡처해야 하는 경우 -i 옵션을 여러 번 사용할 수 있습니다.
tshark -i eth0 -i eth1 -w network_traffic.pcap이렇게 하면 eth0 및 eth1 인터페이스에서 트래픽을 캡처하여 network_traffic.pcap 파일에 저장합니다.
수신 모드 (Promiscuous Mode) 에서 트래픽 캡처
네트워크에서 캡처 장치에 직접 전달되지 않는 트래픽을 포함한 모든 트래픽을 캡처하려면 -p 옵션을 사용하여 수신 모드를 활성화할 수 있습니다.
tshark -i eth0 -p -w network_traffic.pcap이렇게 하면 eth0 인터페이스에서 대상과 관계없이 모든 트래픽을 캡처합니다.
사이버 보안 네트워크 트래픽 분석
tshark를 이용한 캡처된 트래픽 분석
tshark를 사용하여 네트워크 트래픽을 캡처한 후에는 잠재적인 보안 위협이나 이상 징후를 식별하기 위해 데이터를 분석할 수 있습니다. tshark는 캡처된 트래픽을 분석하는 데 도움이 되는 다양한 옵션과 필터를 제공합니다.
패킷 정보 표시
캡처된 패킷과 그 세부 정보를 표시하려면 다음 명령어를 사용할 수 있습니다.
tshark -r network_traffic.pcap이 명령어는 프로토콜, 소스 및 대상 주소와 같은 관련 세부 정보를 포함한 패킷 정보를 표시합니다.
프로토콜별 트래픽 필터링
사이버 보안 분석에 관련된 트래픽에 집중하기 위해 특정 프로토콜 기반으로 캡처된 트래픽을 필터링할 수 있습니다. 예를 들어, HTTP 트래픽만 표시하려면 다음과 같이 합니다.
tshark -r network_traffic.pcap -Y "http"이 명령어는 HTTP 프로토콜과 일치하는 패킷만 표시합니다.
트래픽 패턴 분석
tshark는 트래픽 패턴을 분석하고 잠재적인 보안 위협을 식별하는 데 사용될 수 있습니다. 예를 들어, 비정상적인 트래픽 볼륨, 의심스러운 소스 또는 대상 주소 또는 비정상적인 프로토콜 사용을 찾을 수 있습니다.
캡처된 데이터에서 최대 트래픽량을 가진 호스트 (최대 트래픽량을 가진 호스트) 를 표시하는 예는 다음과 같습니다.
tshark -r network_traffic.pcap -q -z conv,ip이 명령어는 최대 IP 대화량을 보여주는 표를 표시하여 많은 트래픽을 생성하는 호스트를 식별하는 데 도움이 될 수 있습니다.
이상 탐지
tshark는 네트워크 트래픽에서 비정상적인 프로토콜 사용, 예상치 못한 포트 번호 또는 의심스러운 IP 주소와 같은 이상을 감지하는 데에도 사용될 수 있습니다. 필터와 표시 옵션의 조합을 사용하여 이러한 이상을 식별할 수 있습니다.
예를 들어, 잠재적인 포트 스캐닝 활동을 감지하려면 동일한 호스트의 다른 포트에 대한 많은 연결 시도를 찾을 수 있습니다.
tshark -r network_traffic.pcap -Y "tcp.flags.syn == 1 && tcp.flags.ack == 0" -q -z io,phs이 명령어는 TCP SYN 패킷의 분포를 보여주는 히스토그램을 표시하여 잠재적인 포트 스캐닝 활동을 식별하는 데 도움이 될 수 있습니다.
LabEx 와의 통합
사이버 보안 솔루션의 선두 업체인 LabEx 는 네트워크 트래픽 분석 기능을 향상시키기 위한 다양한 도구와 서비스를 제공합니다. tshark와 LabEx 솔루션을 통합하여 고급 기능과 기술을 활용하여 사이버 보안 자세를 개선할 수 있습니다.
요약
이 튜토리얼을 마치면 Wireshark CLI 를 사용하여 사이버 보안 네트워크 트래픽을 캡처하고 분석하는 방법에 대한 확실한 이해를 얻게 될 것입니다. 이 지식은 잠재적인 위협을 식별하고, 보안 사고를 조사하고, 네트워크의 사이버 보안 공격 방어를 강화하기 위한 정보에 입각한 결정을 내리는 데 도움이 될 것입니다.
