소개
사이버 보안 분야에서 네트워크 트래픽을 이해하고 분석하는 것은 잠재적인 위협을 식별하고 완화하는 데 필수적입니다. 이 튜토리얼에서는 Wireshark 에서 프로토콜, 포트 및 HTTP 메서드를 기반으로 네트워크 트래픽을 필터링하는 과정을 안내하여 사이버 보안 목적으로 네트워크 활동을 효과적으로 모니터링하고 분석하는 데 필요한 기술을 갖추도록 합니다.
Wireshark 및 네트워크 트래픽 필터링 이해
Wireshark 은 네트워크 트래픽을 캡처, 검사 및 분석할 수 있는 강력한 네트워크 프로토콜 분석기입니다. 네트워크 내의 통신 패턴과 잠재적인 보안 문제에 대한 귀중한 통찰력을 제공하기 때문에 사이버 보안 분야에서 널리 사용되는 도구입니다.
Wireshark 이란 무엇인가요?
Wireshark 은 실시간으로 네트워크 트래픽을 캡처, 디코딩 및 분석할 수 있도록 지원하는 오픈 소스 소프트웨어 응용 프로그램입니다. Ethernet, Wi-Fi, Bluetooth 등 다양한 네트워크 프로토콜을 지원합니다. Wireshark 는 네트워크 문제 해결, 네트워크 활동 모니터링 및 잠재적인 보안 위협 감지에 사용될 수 있습니다.
네트워크 트래픽 캡처
Wireshark 를 사용하여 네트워크 트래픽을 캡처하려면, 프롬이시스 모드 (promiscuous mode) 로 설정될 수 있는 네트워크 인터페이스에 대한 접근 권한이 필요합니다. 프롬이시스 모드는 네트워크 인터페이스가 특정 장치로 전송된 트래픽뿐만 아니라 네트워크상의 모든 트래픽을 캡처할 수 있도록 합니다.
Ubuntu 22.04 와 같은 Linux 시스템에서 다음 명령을 사용하여 네트워크 트래픽을 캡처할 수 있습니다.
sudo wireshark이 명령은 Wireshark GUI 를 시작하고, 그런 다음 적절한 네트워크 인터페이스를 선택하여 트래픽 캡처를 시작할 수 있습니다.
네트워크 트래픽 필터링
Wireshark 의 가장 강력한 기능 중 하나는 프로토콜, 포트 및 IP 주소와 같은 다양한 기준에 따라 네트워크 트래픽을 필터링할 수 있는 기능입니다. 이를 통해 특정 유형의 트래픽에 집중하고 패턴이나 이상을 신속하게 식별할 수 있습니다.
Wireshark 는 필요에 맞는 복잡한 필터를 생성할 수 있는 강력한 필터 표현식 구문을 제공합니다. 예를 들어, HTTP 트래픽만 캡처하려면 다음 필터 표현식을 사용할 수 있습니다.
http특정 포트 (예: HTTP 의 포트 80) 의 트래픽을 캡처하려면 다음 필터 표현식을 사용할 수 있습니다.
tcp.port == 80또한 and 및 or와 같은 논리 연산자를 사용하여 여러 필터 표현식을 결합하여 더 복잡한 필터를 만들 수 있습니다.
graph LR
A[네트워크 트래픽 캡처] --> B[프로토콜 기준 필터링]
B --> C[포트 기준 필터링]
C --> D[IP 주소 기준 필터링]
D --> E[필터링된 트래픽 분석]
Wireshark 에서 네트워크 트래픽을 효과적으로 필터링하는 방법을 이해함으로써 잠재적인 보안 위협이나 네트워크 성능 문제를 신속하게 식별하고 조사할 수 있습니다.
프로토콜, 포트 및 IP 주소 기반 네트워크 트래픽 필터링
Wireshark 은 프로토콜, 포트 및 IP 주소를 포함한 다양한 기준에 따라 네트워크 트래픽을 필터링하는 강력한 도구 세트를 제공합니다. 이러한 필터를 적용하여 특정 유형의 네트워크 활동을 신속하게 식별하고 분석할 수 있습니다.
프로토콜 기반 필터링
프로토콜 기반 네트워크 트래픽 필터링을 위해 Wireshark 에서 protocol 필터 표현식을 사용할 수 있습니다. 예를 들어, HTTP 트래픽만 캡처하려면 다음 필터를 사용할 수 있습니다.
http마찬가지로, HTTPS 트래픽만 캡처하려면 다음 필터를 사용할 수 있습니다.
ssl여러 프로토콜 필터를 or 연산자를 사용하여 결합할 수도 있습니다.
http or ssl포트 기반 필터링
포트 기반 네트워크 트래픽 필터링을 위해 Wireshark 에서 tcp.port 또는 udp.port 필터 표현식을 사용할 수 있습니다. 예를 들어, 포트 80(HTTP) 의 트래픽을 캡처하려면 다음 필터를 사용할 수 있습니다.
tcp.port == 80포트 443(HTTPS) 의 트래픽을 캡처하려면 다음 필터를 사용할 수 있습니다.
tcp.port == 443포트 범위를 필터링하려면 tcp.port >= 1024 and tcp.port <= 65535 표현식을 사용할 수 있습니다.
IP 주소 기반 필터링
IP 주소 기반 네트워크 트래픽 필터링을 위해 Wireshark 에서 ip.src 및 ip.dst 필터 표현식을 사용할 수 있습니다. 예를 들어, 특정 IP 주소로 또는 특정 IP 주소에서 발생하는 트래픽을 캡처하려면 다음 필터를 사용할 수 있습니다.
ip.addr == 192.168.1.100특정 IP 주소에서 발생하는 트래픽을 캡처하려면 다음 필터를 사용할 수 있습니다.
ip.src == 192.168.1.100특정 IP 주소로 전송되는 트래픽을 캡처하려면 다음 필터를 사용할 수 있습니다.
ip.dst == 192.168.1.100여러 IP 주소 필터를 or 연산자를 사용하여 결합할 수도 있습니다.
ip.src == 192.168.1.100 or ip.dst == 192.168.1.101이러한 필터링 기법을 숙달함으로써 Wireshark 에서 네트워크 트래픽을 효과적으로 분석하고 문제를 해결할 수 있으며, 이는 사이버 보안 전문가에게 필수적입니다.
Wireshark 필터를 이용한 HTTP 트래픽 분석
HTTP 트래픽 분석은 네트워크 내의 통신 패턴과 잠재적인 보안 문제를 파악하는 데 중요한 작업입니다. 사이버 보안 분야에서 HTTP 트래픽을 효과적으로 분석하는 데 Wireshark 는 다양한 필터를 제공합니다.
HTTP 트래픽 캡처
Wireshark 를 사용하여 HTTP 트래픽을 캡처하려면 http 필터 표현식을 사용할 수 있습니다. 이렇게 하면 캡처된 모든 HTTP 요청과 응답이 표시됩니다.
httpHTTP 요청 메서드 분석
Wireshark 는 GET, POST, PUT, DELETE 등의 요청 메서드를 기반으로 HTTP 트래픽을 필터링할 수 있습니다. 이는 특정 유형의 HTTP 요청을 식별하고 그 동작을 분석하는 데 유용합니다.
요청 메서드별 HTTP 트래픽을 필터링하려면 다음 필터 표현식을 사용할 수 있습니다.
http.request.method == GET
http.request.method == POST
http.request.method == PUT
http.request.method == DELETEHTTP 응답 코드 분석
HTTP 트래픽 분석의 또 다른 중요한 측면은 응답 코드입니다. Wireshark 는 응답 코드를 기반으로 HTTP 트래픽을 필터링할 수 있으므로 잠재적인 문제 또는 보안 취약점을 식별하는 데 도움이 됩니다.
응답 코드별 HTTP 트래픽을 필터링하려면 다음 필터 표현식을 사용할 수 있습니다.
http.response.code == 200 ## 200 OK
http.response.code == 404 ## 404 Not Found
http.response.code == 500 ## 500 Internal Server ErrorHTTP 헤더 분석
Wireshark 는 요청 또는 응답의 헤더를 기반으로 HTTP 트래픽을 필터링할 수도 있습니다. 이는 User-Agent, Referer, 또는 Content-Type과 같은 특정 유형의 헤더를 식별하는 데 유용합니다.
헤더별 HTTP 트래픽을 필터링하려면 다음 필터 표현식을 사용할 수 있습니다.
http.host contains "example.com"
http.user_agent contains "Mozilla"
http.referer contains "google.com"
http.content_type contains "application/json"이러한 Wireshark 필터를 활용하여 HTTP 트래픽을 효과적으로 분석하고 네트워크 내의 잠재적인 보안 문제 또는 이상을 식별할 수 있습니다.
요약
이 튜토리얼에서는 사이버 보안 분석을 위해 Wireshark 에서 프로토콜, 포트 및 HTTP 메서드를 기반으로 네트워크 트래픽을 필터링하는 방법에 대한 포괄적인 가이드를 제공했습니다. 이러한 기술을 숙달함으로써 의심스러운 네트워크 활동을 효과적으로 식별하고 분석하여 조직의 보안 상태를 강화하고 잠재적인 사이버 위협으로부터 더욱 효과적으로 보호할 수 있습니다.
