Wireshark 캡처 필터와 디스플레이 필터의 차이점은 무엇인가요?

소개

사이버 보안 분야에서 네트워크 분석에 사용되는 도구와 기술을 이해하는 것은 필수적입니다. 널리 사용되는 네트워크 프로토콜 분석기인 Wireshark 는 보안 전문가들이 네트워크 트래픽을 효과적으로 모니터링하고 문제를 해결하는 데 강력한 기능을 제공합니다. 이 튜토리얼에서는 Wireshark 에서 캡처 필터와 디스플레이 필터의 차이점을 자세히 살펴보고, 이러한 도구를 활용하여 사이버 보안 모니터링 및 사건 대응을 향상시키는 지식을 습득할 것입니다.

Wireshark 소개

Wireshark 은 네트워크 트래픽을 캡처, 분석 및 문제 해결할 수 있는 강력한 네트워크 프로토콜 분석기입니다. 사이버 보안 분야에서 네트워크 통신 이해, 보안 문제 식별 및 네트워크 관련 사건 조사에 널리 사용되는 도구입니다.

Wireshark 란 무엇인가요?

Wireshark 은 네트워크 트래픽을 캡처, 분석 및 문제 해결을 위한 그래픽 사용자 인터페이스 (GUI) 를 제공하는 오픈 소스 소프트웨어 응용 프로그램입니다. Windows, macOS 및 Linux 를 포함한 다양한 운영 체제에서 사용할 수 있습니다.

Wireshark 의 주요 기능

• 패킷 캡처: Wireshark 는 유선 및 무선 연결을 포함한 다양한 네트워크 인터페이스에서 네트워크 트래픽을 캡처할 수 있습니다.
• 패킷 분석: Wireshark 는 캡처된 네트워크 트래픽을 디코딩하고 분석하여 각 패킷의 프로토콜, 헤더 및 페이로드에 대한 자세한 정보를 제공합니다.
• 프로토콜 해석: Wireshark 는 다양한 네트워크 프로토콜을 지원하고 각 프로토콜의 구조와 동작에 대한 자세한 정보를 제공합니다.
• 필터링 및 검색: Wireshark 는 강력한 필터링 및 검색 기능을 제공하여 사용자가 특정 유형의 트래픽에 집중하거나 캡처된 데이터 내에서 관련 정보를 찾을 수 있도록 지원합니다.
• 시각화: Wireshark 는 시간 기반 그래프 및 프로토콜 계층 다이어그램과 같은 다양한 시각화 도구를 제공하여 사용자가 네트워크 트래픽을 이해하는 데 도움을 줍니다.

Wireshark 설치 및 사용

Wireshark 를 사용하려면 시스템에 설치해야 합니다. Ubuntu 22.04 시스템에 Wireshark 를 설치하는 방법의 예는 다음과 같습니다.

sudo apt-get update
sudo apt-get install wireshark

설치 후 응용 프로그램 메뉴에서 또는 터미널에서 wireshark 명령어를 실행하여 Wireshark 를 시작할 수 있습니다.

Wireshark 의 캡처 필터

Wireshark 의 캡처 필터는 분석 대상 네트워크 트래픽을 제어하는 데 사용됩니다. 캡처 필터를 적용하면 특정 유형의 트래픽에 집중하여 캡처되는 데이터 양을 줄이고 분석 효율성을 높일 수 있습니다.

캡처 필터 이해

캡처 필터는 "Wireshark 디스플레이 필터 구문"이라는 강력한 필터링 언어를 기반으로 합니다. 이 구문을 사용하여 특정 프로토콜, IP 주소, 포트 번호 및 기타 네트워크 특성을 대상으로 하는 복잡한 필터를 생성할 수 있습니다.

캡처 필터 적용

Wireshark 에서 캡처 필터를 적용하려면 다음 단계를 따르세요.

1. Wireshark 를 열고 "캡처" 메뉴를 클릭합니다.
2. "캡처 필터"를 선택하여 캡처 필터 구성 창을 엽니다.
3. "+" 버튼을 클릭하여 새 캡처 필터를 추가합니다.
4. 필터에 대한 설명적인 이름과 필터 표현식을 입력합니다.
5. "확인"을 클릭하여 필터를 저장하고 창을 닫습니다.
6. Wireshark 메인 창의 "시작" 버튼을 클릭하여 캡처를 시작합니다.

HTTP 트래픽만 캡처하는 캡처 필터의 예는 다음과 같습니다.

tcp.port == 80 or tcp.port == 443

이 필터는 포트 80(HTTP) 및 443(HTTPS) 의 모든 네트워크 트래픽을 캡처합니다.

캡처 필터 구문

Wireshark 의 캡처 필터 구문은 Berkeley 패킷 필터 (BPF) 언어를 기반으로 합니다. 이 구문을 사용하여 다양한 연산자와 표현식 (예:

• 프로토콜 필터: tcp, udp, icmp 등
• 포트 필터: tcp.port == 80, udp.port == 53
• IP 주소 필터: ip.src == 192.168.1.100, ip.dst == 8.8.8.8
• 논리 연산자: and, or, not

등) 을 사용하여 복잡한 필터를 생성할 수 있습니다.

Wireshark 설명서에서 캡처 필터 표현식에 대한 포괄적인 목록을 찾을 수 있습니다.

Wireshark 의 디스플레이 필터

Wireshark 의 디스플레이 필터는 Wireshark 메인 창에서 표시될 네트워크 트래픽을 제어하는 데 사용됩니다. 캡처 필터는 캡처할 트래픽을 결정하는 반면, 디스플레이 필터는 분석을 위해 특정 유형의 트래픽에 집중할 수 있도록 합니다.

디스플레이 필터 이해

디스플레이 필터는 캡처 필터와 동일한 강력한 필터링 언어인 "Wireshark 디스플레이 필터 구문"을 기반으로 합니다. 이 구문을 사용하여 특정 프로토콜, IP 주소, 포트 번호 및 기타 네트워크 특성을 대상으로 하는 복잡한 필터를 생성할 수 있습니다.

디스플레이 필터 적용

Wireshark 에서 디스플레이 필터를 적용하려면 다음 단계를 따르세요.

1. Wireshark 를 열고 네트워크 트래픽을 캡처합니다.
2. Wireshark 메인 창 상단에 일반적으로 있는 디스플레이 필터 입력 필드를 찾습니다.
3. 디스플레이 필터 표현식을 입력하고 Enter 키를 누릅니다.

HTTP 트래픽만 표시하는 디스플레이 필터의 예는 다음과 같습니다.

http

이 필터는 HTTP 프로토콜을 사용하는 캡처된 패킷만 표시합니다.

디스플레이 필터 구문

Wireshark 의 디스플레이 필터 구문은 캡처 필터 구문과 유사하지만 추가적인 기능과 능력을 제공합니다. 일반적인 디스플레이 필터 표현식은 다음과 같습니다.

• 프로토콜 필터: tcp, udp, icmp
• 포트 필터: tcp.port == 80, udp.port == 53
• IP 주소 필터: ip.src == 192.168.1.100, ip.dst == 8.8.8.8
• 논리 연산자: and, or, not
• 필드별 필터: http.request.method == "GET", dns.qry.name contains "example.com"

Wireshark 설명서에서 디스플레이 필터 표현식에 대한 포괄적인 목록을 찾을 수 있습니다.

캡처 필터와 디스플레이 필터 결합

캡처 필터와 디스플레이 필터는 서로 다른 목적을 가지고 있다는 점에 유의하는 것이 중요합니다. 캡처 필터는 기록될 트래픽을 결정하는 반면, 디스플레이 필터는 Wireshark 인터페이스에서 표시될 트래픽을 결정합니다.

많은 경우 분석 워크플로를 최적화하기 위해 캡처 필터와 디스플레이 필터를 함께 사용할 수 있습니다. 예를 들어, 캡처 필터를 사용하여 수집된 데이터 양을 제한하고, 그런 다음 디스플레이 필터를 사용하여 캡처된 데이터 내에서 특정 유형의 트래픽에 집중할 수 있습니다.

요약

이 튜토리얼에서는 네트워크 분석 및 문제 해결을 위한 필수 사이버 보안 도구인 Wireshark 에서 캡처 필터와 디스플레이 필터의 차이점을 살펴보았습니다. 이러한 필터의 독특한 역할과 적용 방법을 이해함으로써 이제 Wireshark 를 효과적으로 활용하여 사이버 보안 모니터링 및 사고 대응 기능을 향상시키고, 궁극적으로 조직의 전반적인 보안 자세를 강화할 수 있습니다.