소개
사이버 보안 분야에서 네트워크 트래픽 데이터를 캡처, 분석 및 내보내는 능력은 보안 위협을 이해하고 완화하는 데 필수적입니다. 이 튜토리얼에서는 Wireshark 명령줄 인터페이스 (CLI) 를 사용하여 사이버 보안 네트워크 캡처를 저장하고 내보내는 과정을 안내하여 사이버 보안 작업 흐름을 향상시키는 데 필요한 기술을 습득할 수 있도록 합니다.
Wireshark CLI 소개
Wireshark 은 사이버 보안 분야에서 널리 사용되는 강력한 네트워크 프로토콜 분석기입니다. Wireshark 은 네트워크 트래픽을 캡처하고 분석하기 위한 그래픽 사용자 인터페이스 (GUI) 를 제공하지만, Wireshark CLI 또는 tshark 로 알려진 명령줄 인터페이스 (CLI) 도 제공합니다.
Wireshark CLI 란 무엇인가요?
Wireshark CLI 또는 tshark 는 Wireshark 네트워크 분석기의 터미널 기반 버전입니다. 그래픽 인터페이스 없이 명령줄에서 직접 네트워크 트래픽을 캡처, 필터링 및 분석할 수 있습니다. 이는 자동화된 작업, 스크립팅 및 원격 모니터링 시나리오에 특히 유용합니다.
Wireshark CLI 사용의 장점
-
스크립팅 가능: Wireshark CLI 인터페이스를 통해 스크립트를 작성하고 다양한 네트워크 분석 작업을 자동화할 수 있어 반복적이거나 대규모 작업에 효율적입니다.
-
원격 액세스: Wireshark CLI 를 사용하여 원격 시스템에서 네트워크 트래픽을 캡처하고 분석할 수 있으므로 중앙 위치에서 네트워크 문제를 해결하고 조사할 수 있습니다.
-
자원 효율: Wireshark CLI 버전은 일반적으로 GUI 에 비해 더 가볍고 자원 효율적이므로 자원이 제한된 시스템이나 장시간 캡처 세션에 적합합니다.
-
다른 도구와 통합: Wireshark CLI 는 다른 명령줄 도구 및 스크립트와 쉽게 통합할 수 있어 포괄적인 네트워크 분석 워크플로우를 생성할 수 있습니다.
Wireshark CLI 시작하기
Wireshark CLI 를 사용하려면 시스템에 Wireshark 가 설치되어 있어야 합니다. Ubuntu 22.04 에서 다음 명령을 사용하여 Wireshark 를 설치할 수 있습니다.
sudo apt update
sudo apt-get install wireshark설치 후 터미널에서 tshark 명령을 실행하여 Wireshark CLI 를 시작할 수 있습니다.
tshark이렇게 하면 Wireshark CLI 가 시작되고 사용 가능한 옵션과 명령어가 표시됩니다.
네트워크 트래픽 캡처
Wireshark CLI 의 주요 기능 중 하나는 네트워크 트래픽을 캡처하는 것입니다. 이를 통해 네트워크를 통해 흐르는 데이터를 모니터링하고 분석할 수 있으며, 이는 네트워크 문제 해결, 보안 위협 탐지 및 네트워크 프로토콜 분석과 같은 다양한 사이버 보안 작업에 필수적입니다.
네트워크 인터페이스 캡처
Wireshark CLI 를 사용하여 네트워크 트래픽을 캡처하려면 모니터링할 네트워크 인터페이스를 지정해야 합니다. 시스템에서 사용 가능한 네트워크 인터페이스 목록을 다음 명령을 사용하여 확인할 수 있습니다.
tshark -D이렇게 하면 Wireshark CLI 가 캡처할 수 있는 모든 네트워크 인터페이스 목록이 표시됩니다.
캡처 세션 시작
캡처할 네트워크 인터페이스를 확인한 후 다음 명령을 사용하여 캡처 세션을 시작할 수 있습니다.
tshark -i <interface><interface>를 캡처하려는 네트워크 인터페이스 이름 (예: eth0 또는 wlan0) 으로 바꿔야 합니다.
캡처된 트래픽 필터링
Wireshark CLI 는 프로토콜, 소스 또는 대상 IP 주소 또는 포트 번호와 같은 다양한 기준에 따라 캡처된 네트워크 트래픽을 필터링할 수 있습니다. -f 옵션을 사용하여 캡처 필터를 지정할 수 있습니다. 예를 들어, HTTP 트래픽만 캡처하려면 다음과 같이 사용합니다.
tshark -i "tcp port 80" < interface > -f이 명령은 일반적으로 HTTP 프로토콜에서 사용되는 80 번 포트의 네트워크 트래픽만 캡처합니다.
파일로 캡처
터미널에서 캡처된 트래픽을 표시하는 것 외에도 나중에 분석하기 위해 네트워크 캡처를 파일로 저장할 수 있습니다. -w 옵션을 사용하여 출력 파일을 지정할 수 있습니다.
tshark -i capture.pcapng < interface > -w이렇게 하면 캡처된 네트워크 트래픽이 PCAPNG 파일 형식 (네트워크 캡처의 표준 형식) 으로 capture.pcapng라는 파일로 저장됩니다.
캡처 저장 및 내보내기
Wireshark CLI 를 사용하여 네트워크 트래픽을 캡처한 후에는 나중에 분석하거나 다른 사람들과 공유하기 위해 캡처된 데이터를 저장하고 싶을 수 있습니다. Wireshark CLI 는 네트워크 캡처를 저장하고 내보내는 데 여러 가지 옵션을 제공합니다.
캡처된 데이터 파일로 저장
앞서 언급했듯이 -w 옵션을 사용하여 캡처된 네트워크 트래픽을 파일로 저장할 수 있습니다.
tshark -i capture.pcapng < interface > -w이렇게 하면 캡처된 데이터가 PCAPNG 파일 형식으로 저장됩니다. PCAPNG 는 네트워크 캡처의 표준 형식으로 Wireshark 또는 다른 네트워크 분석 도구에서 열 수 있습니다.
다양한 형식으로 캡처된 데이터 내보내기
PCAPNG 형식 외에도 Wireshark CLI 는 캡처된 데이터를 다른 형식으로 내보낼 수 있습니다. 예를 들어:
- PCAP: 기존 Wireshark 캡처 파일 형식
- CSV: 쉼표로 구분된 값 (Comma-Separated Values) 형식으로 스프레드시트 응용 프로그램으로 쉽게 가져올 수 있습니다.
- JSON: 자바스크립트 객체 표기법 (JavaScript Object Notation) 형식으로 프로그래밍 방식의 분석에 유용합니다.
다른 형식으로 캡처된 데이터를 내보내려면 -T 옵션 뒤에 원하는 형식을 지정할 수 있습니다. 예를 들어, CSV 형식으로 캡처된 데이터를 내보내려면 다음과 같이 사용합니다.
tshark -i capture.csv -T fields -e frame.time -e ip.src -e ip.dst -e tcp.srcport -e tcp.dstport -e tcp.len < interface > -w이 명령은 타임스탬프, 소스 및 대상 IP 주소, 소스 및 대상 포트, TCP 패킷 길이를 열로 포함하는 CSV 파일로 캡처된 데이터를 저장합니다.
특정 데이터 필터링 및 내보내기
Wireshark CLI 는 내보내기 전에 캡처된 데이터를 필터링할 수도 있습니다. 이는 캡처된 트래픽의 특정 하위 집합만 분석해야 하는 경우 유용합니다. -Y 옵션을 사용하여 디스플레이 필터를 지정하고 -w 옵션을 사용하여 필터링된 데이터를 파일로 저장할 수 있습니다.
tshark -i "http" -w http_traffic.pcapng < interface > -Y이 명령은 http_traffic.pcapng라는 파일로 HTTP 트래픽만 캡처하고 저장합니다.
Wireshark CLI 의 강력한 명령줄 기능을 활용하여 네트워크 트래픽 데이터의 캡처, 저장 및 내보내기 프로세스를 자동화할 수 있으므로 사이버 보안 전문가 및 네트워크 관리자에게 귀중한 도구가 됩니다.
요약
이 튜토리얼을 마치면 사이버 보안 분석을 위해 Wireshark CLI 를 활용하여 네트워크 트래픽 데이터를 효과적으로 캡처, 저장 및 내보내는 방법을 배우게 됩니다. 이 지식은 사이버 보안 작업 흐름을 간소화하고, 보안 관련 사건을 식별, 조사 및 해결하는 데 필요한 데이터를 확보하는 데 도움이 될 것입니다.
