소개
사이버 보안 분야에서 Wireshark 은 네트워크 트래픽을 이해하고 문제를 해결하는 데 중요한 역할을 하는 강력한 네트워크 프로토콜 분석기입니다. 이 튜토리얼에서는 Linux 운영 체제에서 Wireshark 에서 여러 패킷을 선택하는 방법을 안내하여 철저한 사이버 보안 조사 및 분석을 수행할 수 있도록 지원합니다.
Wireshark 소개
Wireshark 은 네트워크 트래픽을 캡처, 분석 및 문제 해결할 수 있는 강력한 네트워크 프로토콜 분석기입니다. 사이버 보안, 네트워크 관리 및 네트워크 문제 해결 분야에서 널리 사용되는 도구입니다.
Wireshark 이란 무엇인가요?
Wireshark 은 네트워크 트래픽을 캡처, 분석 및 문제 해결을 위한 그래픽 사용자 인터페이스 (GUI) 를 제공하는 오픈 소스 소프트웨어 응용 프로그램입니다. Windows, macOS 및 Linux 를 포함한 다양한 운영 체제에서 사용할 수 있습니다.
Wireshark 의 주요 기능
- 패킷 캡처 및 분석: Wireshark 은 다양한 네트워크 인터페이스에서 네트워크 트래픽을 캡처하고 각 패킷에 대한 세부 정보 (프로토콜, 소스 및 대상 주소, 페이로드 데이터 포함) 를 제공할 수 있습니다.
- 프로토콜 해독: Wireshark 은 TCP, UDP, HTTP, HTTPS 등 다양한 네트워크 프로토콜을 디코딩하고 분석할 수 있습니다.
- 필터링 및 검색: Wireshark 은 강력한 필터링 및 검색 기능을 제공하여 특정 패킷이나 네트워크 트래픽 패턴을 신속하게 찾아 분석할 수 있습니다.
- 패킷 재구성: Wireshark 은 캡처된 패킷을 재조립하여 웹 브라우징이나 파일 전송과 같은 네트워크 세션을 재구성할 수 있습니다.
- 암호 해독: Wireshark 은 필요한 키 또는 인증서가 제공되면 HTTPS 또는 WireGuard 와 같은 암호화된 네트워크 트래픽을 해독할 수 있습니다.
Ubuntu 22.04 에 Wireshark 설치
Ubuntu 22.04 에 Wireshark 를 설치하려면 다음 단계를 따르세요.
- 터미널을 열고 패키지 목록을 업데이트합니다.
sudo apt-get update
- Wireshark 설치합니다.
sudo apt-get install wireshark
- 프롬프트가 나타나면 비루트 사용자가 패킷을 캡처할 수 있도록 "예"를 선택합니다.
이제 Ubuntu 22.04 시스템에 Wireshark 가 설치되어 네트워크 트래픽을 캡처하고 분석하는 데 사용할 수 있습니다.
Wireshark 에서 여러 패킷 선택하기
네트워크 트래픽을 분석할 때 Wireshark 에서 여러 패킷을 선택하는 것은 매우 중요한 작업입니다. 이를 통해 여러 패킷 그룹에 대한 필터링, 내보내기 또는 특정 작업을 수행할 수 있습니다.
기본 패킷 선택 기법
- 클릭 및 드래그: 첫 번째 패킷을 클릭하고 마우스 버튼을 누른 채 마지막으로 포함할 패킷까지 드래그하여 여러 패킷을 선택할 수 있습니다.
- Shift-클릭: 첫 번째 패킷을 클릭한 다음 Shift 키를 누른 채 범위의 마지막 패킷을 클릭하여 패킷 범위를 선택할 수 있습니다.
- Ctrl-클릭: Ctrl(macOS 에서는 Command) 키를 누른 채 각 패킷을 클릭하여 연속적이지 않은 패킷을 선택할 수 있습니다.
고급 패킷 선택 기법
- "선택됨" 열 사용: Wireshark 은 패킷 목록에 "선택됨" 열을 제공하여 추가 분석을 위해 특정 패킷을 표시할 수 있습니다. "선택됨" 열을 클릭하여 패킷을 선택하거나 선택 해제할 수 있습니다.
- 필터 적용: Wireshark 의 강력한 필터링 기능을 사용하여 프로토콜, 소스 또는 대상 주소 또는 특정 패킷 데이터와 같은 다양한 기준에 따라 패킷을 선택할 수 있습니다. 원하는 패킷을 선택하기 위해 필터를 생성하고 적용할 수 있습니다.
- "스트림 따라가기" 기능 사용: Wireshark 의 "스트림 따라가기" 기능을 사용하여 TCP 또는 UDP 스트림과 같은 특정 네트워크 세션에 속하는 모든 패킷을 선택할 수 있습니다.
Ubuntu 22.04 에서 Wireshark 에서 여러 패킷을 선택하는 방법의 예는 다음과 같습니다.
- Wireshark 를 실행하고 네트워크 트래픽 캡처를 시작합니다.
- 패킷 범위를 선택하려면 첫 번째 패킷을 클릭하고 Shift 키를 누른 채 범위의 마지막 패킷을 클릭합니다.
- 연속적이지 않은 패킷을 선택하려면 첫 번째 패킷을 클릭한 다음 Ctrl 키를 누른 채 선택하려는 다른 패킷을 클릭합니다.
- 특정 기준에 따라 필터를 적용하고 패킷을 선택하려면 Wireshark 창 상단의 필터 표시줄을 클릭하고 필터 표현식을 입력한 다음 Enter 키를 누릅니다.
이러한 패킷 선택 기법을 숙달함으로써 Wireshark 에서 네트워크 트래픽을 효율적으로 분석하고 문제를 해결할 수 있습니다.
고급 패킷 선택 기법
기본 패킷 선택 기법 외에도 Wireshark 은 패킷을 선택하고 필터링하는 더욱 고급 방법을 제공합니다. 이러한 기법은 복잡한 네트워크 트래픽을 다루거나 특정 유형의 패킷에 집중해야 할 때 특히 유용합니다.
디스플레이 필터 사용
Wireshark 의 디스플레이 필터를 사용하면 프로토콜, 소스 또는 대상 주소 또는 특정 패킷 데이터와 같은 다양한 기준에 따라 패킷을 선택할 수 있습니다. 복잡한 필터를 생성하고 적용하여 패킷 선택을 정제할 수 있습니다.
HTTP 패킷을 모두 선택하기 위한 디스플레이 필터 사용 예는 다음과 같습니다.
http
또한 and, or, not과 같은 부울 연산자를 사용하여 여러 필터를 결합할 수 있습니다. 예를 들어, 특정 IP 주소가 아닌 모든 HTTP 패킷을 선택하려면 다음과 같이 작성합니다.
http and not ip.src == 192.168.1.100
대화 기반 패킷 선택
Wireshark 의 "스트림 따라가기" 기능을 사용하면 TCP 또는 UDP 스트림과 같은 특정 네트워크 세션에 속하는 모든 패킷을 선택할 수 있습니다. 이는 특정 애플리케이션 계층 프로토콜을 분석하거나 네트워크 문제를 해결해야 할 때 특히 유용합니다.
"스트림 따라가기" 기능을 사용하려면 패킷을 마우스 오른쪽 버튼으로 클릭하고 "따라가기" > "TCP 스트림" 또는 "UDP 스트림"을 선택합니다 (분석하려는 프로토콜에 따라 다름).
패킷 선택 저장 및 재사용
Wireshark 은 나중에 사용하기 위해 패킷 선택을 저장할 수 있습니다. 선택한 패킷을 "캡처 파일"로 저장하거나 CSV 또는 XML 과 같은 다양한 형식으로 내보낼 수 있습니다.
선택한 패킷을 저장하려면 "파일" > "캡처된 패킷 다른 이름으로 저장"으로 이동하여 원하는 파일 형식을 선택합니다.
이러한 고급 패킷 선택 기법을 숙달하면 Wireshark 에서 복잡한 네트워크 트래픽을 효율적으로 분석하고 문제를 해결할 수 있습니다.
요약
이 보안 중심 튜토리얼에서 다룬 기술들을 숙달함으로써, Linux 환경에서 Wireshark 을 사용하여 여러 패킷을 효율적으로 선택하고 분석할 수 있게 됩니다. 이 지식은 보안 위협을 식별하고 해결하는 능력, 네트워크 성능을 최적화하는 능력, 그리고 네트워크 동작에 대한 귀중한 통찰력을 얻는 능력을 향상시켜, 궁극적으로 보안 관행을 강화하는 데 도움이 될 것입니다.
