Wireshark 면접 질문 및 답변에 대한 종합 가이드에 오신 것을 환영합니다! 신진 네트워크 전문가, 숙련된 보안 분석가 또는 네트워크 프로토콜에 대한 이해를 심화하려는 모든 사람에게 Wireshark 숙달은 매우 귀중한 기술입니다. 이 문서는 기본 개념 및 고급 분석 기술부터 실용적인 문제 해결 및 역할별 애플리케이션에 이르기까지 모든 것을 다루며 다양한 면접 시나리오를 준비하도록 세심하게 설계되었습니다. 패킷 분석 전문성을 향상시키고 문제 해결 능력을 연마하며 Wireshark 관련 면접 과제를 자신 있게 탐색해 보세요.
답변:
Wireshark 는 무료 오픈 소스 패킷 분석기입니다. 주요 목적은 컴퓨터 네트워크에서 실행되는 트래픽을 캡처하고 대화식으로 탐색하여 사용자가 네트워크 프로토콜을 분석하고, 네트워크 문제를 해결하며, 프로토콜 구현을 디버깅할 수 있도록 하는 것입니다.
답변:
캡처 필터 (예: port 80) 는 패킷이 캡처 파일에 기록되기 전에 적용되어 캡처되는 데이터의 양을 줄입니다. 디스플레이 필터 (예: http.request) 는 패킷이 캡처된 후에 적용되어, 패킷을 폐기하지 않고 캡처 파일에 이미 있는 패킷을 선택적으로 볼 수 있도록 합니다.
답변:
패킷 캡처를 시작하려면 메인 화면에서 모니터링하려는 네트워크 인터페이스 (예: Ethernet, Wi-Fi) 를 선택한 다음 '패킷 캡처 시작' 버튼 (일반적으로 핀 아이콘) 을 클릭합니다. 시작하기 전에 캡처 필터를 적용할 수도 있습니다.
답변:
프로미스큐어스 모드는 네트워크 인터페이스 컨트롤러 (NIC) 의 설정으로, 해당 NIC 에 주소 지정된 트래픽뿐만 아니라 자신이 보는 모든 트래픽을 CPU 로 전달할 수 있도록 합니다. Wireshark 가 캡처하는 컴퓨터로 향하는 트래픽뿐만 아니라 세그먼트의 모든 네트워크 트래픽을 캡처하는 데 중요합니다.
답변:
웹 트래픽에 대한 세 가지 일반적인 디스플레이 필터는 http(모든 HTTP 트래픽 보기), http.request(HTTP 요청만 보기) 및 tcp.port == 80 || tcp.port == 443(암호화되지 않은 웹 트래픽 및 암호화된 웹 트래픽 모두 보기) 입니다.
답변:
패킷 목록 창에서 TCP 패킷을 마우스 오른쪽 버튼으로 클릭하고 'Follow > TCP Stream'을 선택하여 TCP 스트림을 팔로우할 수 있습니다. 이렇게 하면 두 엔드포인트 간의 전체 대화가 재조립되어 표시되므로 HTTP 또는 FTP 와 같은 애플리케이션 계층 프로토콜을 디버깅하는 데 유용합니다.
답변:
'통계' 메뉴는 캡처된 데이터를 요약하는 다양한 분석 도구를 제공합니다. 여기에는 프로토콜 계층 통계, 대화 목록 (TCP, UDP, IP), 엔드포인트 목록, I/O 그래프 등이 포함되어 네트워크 패턴, 상위 통신자 또는 이상 징후를 신속하게 식별하는 데 도움이 됩니다.
답변:
캡처된 파일을 저장하려면 'File > Save' 또는 'File > Save As...'로 이동합니다. 가장 일반적으로 사용되는 파일 형식은 pcapng(Packet Capture Next Generation) 이며, 이는 기본값이고 이전 pcap 형식보다 더 많은 기능을 지원합니다.
답변:
높은 재전송률 (TCP Retransmission), 중복 ACK, 높은 왕복 시간 (RTT), 창 크기 문제 (TCP ZeroWindow) 및 과도한 패킷 손실을 찾을 것입니다. 이는 네트워크 혼잡, 불안정한 링크 또는 애플리케이션 계층 지연을 나타냅니다.
답변:
비정상적인 프로토콜, 과도한 로그인 시도 실패 (예: SSH, FTP), 암호화되지 않은 민감한 데이터 (예: HTTP 의 비밀번호), 포트 스캔 (다양한 포트로 많은 SYN 패킷) 또는 알려진 악성 IP 주소로의 연결을 찾을 수 있습니다. 비정상적인 트래픽 패턴이 주요 지표입니다.
답변:
이 기능은 단편화 또는 재전송에 관계없이 특정 TCP 또는 UDP 대화의 전체 데이터 페이로드를 재구성하고 표시합니다. 애플리케이션 계층 데이터를 분석하고, 통신 문제를 디버깅하며, 단일 세션의 전체 흐름을 이해하는 데 매우 유용합니다.
답변:
Wireshark 는 'Info' 열에서 재전송을 자동으로 표시합니다. tcp.analysis.retransmission 또는 tcp.analysis.duplicate_ack를 사용하여 필터링할 수 있습니다. 이를 분석하면 네트워크 혼잡, 패킷 손실 또는 서버/클라이언트 성능 문제를 진단하는 데 도움이 됩니다.
답변:
IO Graph 는 시간 경과에 따른 네트워크 트래픽을 시각화하여 처리량 (초당 비트/바이트) 또는 패킷 속도를 보여줍니다. 트래픽 급증, 지속적인 높은 사용률 또는 비활성 기간을 식별하는 데 유용하며 성능 병목 현상이나 비정상적인 네트워크 동작을 파악하는 데 도움이 됩니다.
답변:
Expert Information (Analyze > Expert Information) 은 Wireshark 의 디스패처가 감지한 잠재적인 네트워크 문제에 대한 요약을 심각도 (Chat, Note, Warn, Error) 별로 분류하여 제공합니다. 재전송, 순서가 잘못된 패킷 또는 체크섬 오류와 같은 문제를 신속하게 강조 표시하여 빠른 문제 해결을 지원합니다.
답변:
지연은 TCP 핸드셰이크 시간 (SYN-SYN/ACK-ACK), tcp.analysis.rtt를 사용한 RTT(왕복 시간) 를 분석하거나 요청과 해당 응답 간의 시간을 애플리케이션 계층에서 측정하여 관찰할 수 있습니다. 높은 값은 지연을 나타냅니다.
답변:
Time Skew 는 캡처 장치와 모니터링 중인 장치의 시계가 동기화되지 않을 때 발생합니다. 이는 부정확한 시간 차이 계산으로 이어져 지연, 재전송 또는 대화의 이벤트 순서를 올바르게 평가하기 어렵게 만들 수 있습니다.
답변:
이 기능은 네트워크 변경 전후 또는 작동하는 시나리오와 작동하지 않는 시나리오 간과 같이 두 개의 캡처 파일 간의 차이점을 식별하는 데 유용합니다. 새로운 트래픽, 누락된 패킷 또는 변경된 통신 패턴을 파악하는 데 도움이 됩니다.
답변:
File > Export Objects > HTTP 를 통해 HTTP 개체를 내보낼 수 있습니다. 스트림의 원시 데이터는 'Follow TCP Stream'을 사용한 다음 'Save As'를 사용합니다. 특정 패킷 데이터의 경우 패킷을 선택하고 계층을 확장한 다음 필드를 마우스 오른쪽 버튼으로 클릭하고 'Export Packet Bytes'를 선택합니다.
답변:
DNS 트래픽 (dns) 으로 필터링합니다. 해당 응답이 없는 DNS 쿼리 또는 오류를 나타내는 응답 (예: Rcode: No such name) 을 찾습니다. 소스 및 대상 IP 를 확인하여 올바른 DNS 서버에 쿼리되고 있는지, 그리고 접근 가능한지 확인합니다.
답변:
캡처 필터 (tcp port 80) 는 패킷이 캡처 파일에 기록되기 전에 적용되어 파일 크기와 오버헤드를 줄입니다. 디스플레이 필터 (http.request) 는 캡처 후에 적용되어 원본 파일을 수정하지 않고 이미 캡처된 데이터에 대한 유연하고 실시간 분석을 허용합니다.
답변:
클라이언트와 서버 간의 트래픽을 캡처하는 데 Wireshark 를 사용할 것입니다. TCP 스트림 그래프와 전문가 정보를 분석하여 높은 지연 시간, 재전송, TCP 창 문제 또는 애플리케이션 계층 지연을 찾을 것입니다. 이를 통해 느린 원인이 네트워크 관련인지 애플리케이션 관련인지 파악하는 데 도움이 됩니다.
답변:
보안 분석가는 감염된 호스트에서 네트워크 트래픽을 캡처하여 명령 및 제어 (C2) 통신, 데이터 유출 시도 또는 비정상적인 DNS 쿼리를 식별할 것입니다. http.request.method == POST 또는 dns와 같은 디스플레이 필터를 사용하여 의심스러운 패턴을 찾고 잠재적인 악성코드 샘플 또는 침해 지표 (IOC) 를 추출할 것입니다.
답변:
BGP 를 진단할 때 중요한 필터에는 모든 BGP 메시지를 보기 위한 bgp, BGP 트래픽을 격리하기 위한 tcp.port == 179, 특정 피어에 집중하기 위한 ip.addr == <peer_ip>가 있습니다. BGP Open 메시지와 Keepalives 를 분석하면 협상 실패 또는 연결 문제를 식별하는 데 도움이 됩니다.
답변:
보안 분석가는 대상 서버 인터페이스에서 트래픽을 캡처하고 해당 SYN-ACK 또는 ACK 에 대한 응답 없이 비정상적으로 많은 수의 TCP SYN 패킷을 찾을 것입니다. tcp.flags.syn == 1 and tcp.flags.ack == 0과 같은 필터와 'Conversations' 또는 'IO Graph'와 같은 통계를 결합하면 공격을 드러낼 것입니다.
답변:
트래픽을 캡처하고 ip.dsfield.dscp와 같은 디스플레이 필터를 적용하여 IP 헤더의 DSCP 값을 볼 것입니다. 그런 다음 정의된 QoS 정책에 따라 패킷이 올바르게 마킹되고 있는지 확인하여 애플리케이션이 의도한 우선순위를 받도록 할 것입니다.
답변:
보안 분석가는 dns.qry.name contains ".maliciousdomain.com" 또는 dns.qry.name.len > 63과 같은 필터를 사용하여 비정상적으로 길거나 의심스러운 DNS 쿼리를 식별할 것입니다. 인코딩된 데이터 또는 특정 도메인에 대한 높은 쿼리 볼륨에 대한 DNS 쿼리 및 응답 페이로드를 분석하는 것이 중요합니다.
답변:
ARP 트래픽을 캡처하고 동일한 IP 주소를 주장하는 여러 MAC 주소로부터 ARP 'is-at' 메시지를 찾을 것입니다. Wireshark 의 'Expert Information'은 중복 IP 주소 감지를 플래그 지정할 수도 있으며, arp.duplicate_address_detected == 1과 같은 필터를 사용할 수도 있습니다.
답변:
보안 분석가는 'Follow TCP Stream'을 사용하여 일반적으로 HTTP, FTP 또는 기타 일반 텍스트 프로토콜에 대해 두 끝점 간의 전체 대화를 재구성하고 볼 것입니다. 이는 공격의 전체 컨텍스트를 이해하고, 자격 증명을 추출하거나, 사고 대응 중에 데이터 전송을 분석하는 데 매우 중요합니다.
답변:
ip.addr == <server_ip> && ip.addr == <client_ip> 또는 tcp.port == <application_port>와 같은 디스플레이 필터로 시작하여 관련 트래픽을 격리할 것입니다. 이를 통해 특정 클라이언트와 서버 간의 통신 또는 애플리케이션의 포트에 집중할 수 있습니다.
답변:
Wireshark 상태 표시줄에서 'TCP Retransmission' 전문가 정보를 찾거나 tcp.analysis.retransmission 디스플레이 필터를 사용할 것입니다. 이는 승인되지 않은 데이터로 인해 재전송되는 패킷을 강조 표시하여 잠재적인 네트워크 문제 또는 혼잡을 나타냅니다.
답변:
트래픽을 캡처하고 TCP 핸드셰이크 (SYN, SYN-ACK, ACK) 의 완료 및 지연을 분석할 것입니다. 핸드셰이크가 빠르게 완료되지만 애플리케이션 데이터가 교환되지 않으면 애플리케이션 문제를 나타냅니다. 핸드셰이크가 실패하거나 매우 느리면 네트워크 문제를 시사합니다.
답변:
dns 또는 udp.port == 53을 사용하여 DNS 트래픽을 필터링할 것입니다. 그런 다음 해당 응답 없이 DNS 쿼리, 느린 응답 시간 또는 동일한 호스트 이름에 대한 여러 쿼리를 찾아 잠재적인 DNS 서버 문제 또는 DNS 에 영향을 미치는 네트워크 지연을 나타낼 것입니다.
답변:
클라이언트와 서버 측 모두에서 트래픽을 캡처할 것입니다. 클라이언트가 서버에서 수신되지 않는 패킷을 보내거나 그 반대의 경우 패킷 손실을 나타냅니다. TCP 시퀀스 번호와 승인을 분석하면 누락된 세그먼트를 확인할 수도 있습니다.
답변:
요청과 해당 응답 간의 높은 'delta time'은 지연 시간을 나타냅니다. 이는 네트워크 혼잡, 서버 처리 지연 또는 애플리케이션 느림으로 인해 발생할 수 있습니다. 지연이 발생하는 위치를 파악하는 데 도움이 됩니다.
답변:
http를 사용하여 HTTP 트래픽을 필터링하고 http.response.code == 500 또는 http.response.code >= 500과 같은 HTTP 상태 코드를 찾을 것입니다. 이를 통해 서버 측 오류를 식별하고 단서를 위해 이전 요청 및 서버 응답을 추가로 조사할 수 있습니다.
답변:
'TCP Zero Window'는 수신자의 버퍼가 가득 차서 더 이상 데이터를 수락할 수 없음을 나타냅니다. 이는 종종 데이터를 충분히 빨리 처리하지 못하는 느린 애플리케이션 또는 서버를 가리킵니다. 해결하려면 수신 애플리케이션의 성능 또는 시스템 리소스를 조사해야 합니다.
답변:
네트워크 혼잡의 징후에는 빈번한 TCP 재전송 (tcp.analysis.retransmission), 중복 ACK(tcp.analysis.duplicate_ack), 높은 왕복 시간 (RTT) 및 증가하는 창 크기 후 제로 창 광고가 포함됩니다. 이는 패킷이 드롭되거나 지연되고 있음을 나타냅니다.
답변:
'Follow TCP Stream'은 특정 TCP 연결에 대한 두 끝점 간의 전체 대화를 재구성합니다. 애플리케이션 계층 데이터 흐름을 이해하고, 잘못된 요청/응답을 식별하거나, 문제로 이어진 이벤트의 전체 시퀀스를 보는 데 매우 중요합니다.
답변:
주요 목적은 반복적인 작업을 자동화하고, 대규모 데이터 세트를 효율적으로 분석하며, Wireshark 의 기능을 다른 도구에 통합하는 것입니다. 일반적인 사용 사례에는 자동화된 패킷 분석, 보고서 생성, 보안 사고 대응 및 네트워크 성능 모니터링이 포함됩니다.
답변:
Lua 는 Wireshark 디스섹터 및 플러그인에 대한 네이티브 스크립팅 언어로, 직접 통합이 가능합니다. Python 은 PCAP 파일을 구문 분석하기 위한 'pyshark' 또는 'scapy'와 같은 라이브러리를 활용하여 외부 자동화 스크립트에 널리 사용되며, 광범위한 생태계와 사용 편의성을 제공합니다.
답변:
'pyshark'를 사용한 Python 을 사용하면 PCAP 파일을 열고 디스플레이 필터 (예: capture.apply_on_packets('http.request')) 를 적용한 다음 필터링된 패킷을 반복하여 원하는 필드 (예: packet.http.host) 를 추출할 수 있습니다. 이를 통해 수동 상호 작용 없이 데이터 추출을 자동화할 수 있습니다.
답변:
Tshark 는 Wireshark 의 명령줄 유틸리티로 자동화에 필수적입니다. 사용자는 GUI 없이 라이브 트래픽을 캡처하고, PCAP 파일을 읽고 분석하고, 디스플레이 및 캡처 필터를 적용하고, 다양한 형식 (예: CSV, JSON) 으로 디스섹트된 패킷 데이터를 내보낼 수 있어 일괄 처리에 적합합니다.
답변:
이를 달성하기 위한 'tshark' 명령은 다음과 같습니다: tshark -r input.pcap -Y tcp -T fields -e ip.src -e ip.dst -e _ws.col.Protocol. 이 명령은 모든 TCP 패킷에 대해 지정된 필드를 추출하고 표준 출력으로 인쇄합니다.
답변:
Lua 디스섹터는 Lua 로 작성된 사용자 지정 프로토콜 파서로, Wireshark 가 새롭거나 독점적인 프로토콜을 이해하는 능력을 확장합니다. 비표준 프로토콜을 사용하는 애플리케이션의 트래픽을 분석하거나 Wireshark 의 디스섹션 엔진 내에서 직접 사용자 지정 분석 로직을 추가해야 할 때 사용합니다.
답변:
Wireshark 유틸리티인 'mergecap'을 사용하는 것이 가장 간단한 방법입니다. 스크립트는 mergecap -w output.pcap input1.pcap input2.pcap ...을 실행하여 여러 입력 파일을 하나로 결합할 수 있습니다. Python 스크립트는 이 유틸리티를 호출하거나 'scapy'와 같은 라이브러리를 사용하여 더 복잡한 병합 로직을 처리할 수도 있습니다.
답변:
'extcap' 인터페이스를 사용하면 외부 프로그램이 Wireshark 의 캡처 인터페이스 역할을 할 수 있습니다. 가상 인터페이스, 사용자 지정 하드웨어 또는 애플리케이션별 데이터 스트림과 같은 비표준 소스에서 트래픽을 캡처하고 Wireshark 로 직접 공급하여 실시간 분석을 수행하는 데 사용합니다.
답변:
'Pyshark'는 Wireshark 의 디스섹션 엔진에 대한 객체 지향 인터페이스를 제공하여 패킷 필드 및 계층에 프로그래밍 방식으로 더 쉽게 액세스할 수 있습니다. 'tshark' 명령줄 인수 및 출력 구문 분석의 복잡성을 처리하여 원시 'tshark' 텍스트 출력을 구문 분석하는 것보다 더 강력하고 읽기 쉬운 솔루션을 제공합니다.
답변:
다양한 옵션으로 'tshark'를 사용하여 통계를 생성할 수 있습니다. 예를 들어, tshark -r input.pcap -z io,phs는 프로토콜 계층 통계를 생성합니다. 더 사용자 지정된 보고서를 위해 'tshark' 필드 추출과 스크립팅 언어 (Python, Bash) 를 결합하여 출력을 처리하고 필요에 따라 형식을 지정할 수 있습니다.
답변:
성능을 최적화하려면 캡처 필터를 사용하여 캡처되는 데이터를 줄입니다. 분석을 좁히기 위해 캡처 후 디스플레이 필터를 적용합니다. Wireshark 의 메모리 버퍼 크기를 늘리고 SSD 가 장착된 더 강력한 머신을 저장용으로 고려하십시오.
답변:
캡처 필터 (예: port 80) 는 패킷 캡처 드라이버 수준에서 적용되어 디스크에 기록되는 데이터 양을 줄여 성능을 향상시키고 공간을 절약합니다. 디스플레이 필터 (예: http.request) 는 캡처 후에 적용되며 GUI 에 표시되는 내용에만 영향을 미치고 저장된 데이터에는 영향을 미치지 않으며 다시 캡처하지 않고도 동적으로 변경할 수 있습니다.
답변:
모니터링되는 장치에 영향을 주지 않도록 전용 캡처 하드웨어나 탭을 사용하십시오. 필요한 트래픽만 수집하도록 엄격한 캡처 필터를 적용하십시오. 캡처를 별도의 빠른 저장 장치에 저장하십시오. 중요한 프로덕션 서버에서 직접 Wireshark 를 실행하지 마십시오.
답변:
'통계' 메뉴는 처리량 및 패킷 속도를 시각화하는 'IO Graphs', 상위 통신자를 식별하는 'Conversations', 프로토콜 분포를 확인하는 'Protocol Hierarchy'와 같은 다양한 도구를 제공합니다. 이를 통해 병목 현상을 유발하는 고대역폭 사용자, 애플리케이션 또는 프로토콜을 파악하는 데 도움이 됩니다.
답변:
TShark 는 GUI 오버헤드가 문제가 되는 자동화된 분석, 스크립팅 및 매우 큰 캡처 파일 처리에 선호됩니다. 또한 그래픽 인터페이스가 없는 서버에서의 원격 분석 또는 프로그래밍 방식으로 특정 데이터를 추출하는 데 유용합니다.
답변:
링 버퍼 캡처는 장기 모니터링 또는 간헐적인 문제를 해결할 때 사용되며, '마지막 N'개의 파일 또는 메가바이트를 캡처하려는 경우에 사용됩니다. 오래된 데이터를 지속적으로 덮어쓰므로 캡처 파일이 무한정 커지고 모든 디스크 공간을 소비하는 것을 방지합니다.
답변:
필터 없이 너무 광범위하게 캡처하면 파일이 너무 커지고 성능 문제가 발생할 수 있습니다. 가능한 경우 바쁜 프로덕션 서버에서 직접 캡처하지 마십시오. 충분한 디스크 공간이 있는지 확인하십시오. 민감한 데이터를 캡처할 때 개인 정보 보호 문제를 염두에 두십시오.
답변:
Wireshark 내에서 캡처 인터페이스 통계 (예: 'Dropped packets' 카운트) 를 확인하십시오. 전용 네트워크 탭 또는 스위치의 SPAN/미러 포트를 사용하십시오. 캡처 머신에 트래픽 볼륨을 처리할 수 있는 충분한 CPU, RAM 및 디스크 I/O 가 있는지 확인하십시오.
답변:
이름 확인 (MAC, 네트워크, 전송) 은 주소 (예: IP 를 호스트 이름으로) 를 변환합니다. 가독성에 도움이 되지만, 특히 대용량 파일이나 느린 DNS 서버의 경우 모든 확인, 특히 DNS 조회를 활성화하면 Wireshark 가 크게 느려질 수 있습니다. 캡처 중에는 비활성화하고 분석 시 선택적으로 활성화하는 것이 좋습니다.
답변:
불필요한 창과 탭을 닫습니다. '분석 > 활성화된 프로토콜'에서 불필요한 프로토콜 디스섹터를 비활성화합니다. 디스플레이 필터를 사용하거나 대용량 파일의 일부만 로드하여 메모리에 로드되는 패킷 수를 제한합니다. 필요하지 않은 경우 이름 확인을 비활성화합니다.
Wireshark 를 마스터하는 것은 모든 네트워크 전문가에게 초석입니다. 이 문서는 일반적인 면접 질문과 통찰력 있는 답변에 대한 견고한 기초를 제공하여 이해도와 실무 기술을 명확하게 설명할 수 있는 지식을 갖추도록 했습니다. 자신감 있게 전문성을 입증하고 원하는 역할을 확보하는 데 효과적인 준비가 핵심임을 기억하십시오.
면접을 넘어 Wireshark 를 사용한 네트워크 분석 학습 여정은 계속됩니다. 새로운 도전을 받아들이고, 고급 기능을 탐색하고, 발전하는 네트워크 프로토콜에 대한 최신 정보를 유지하십시오. 지속적인 개선에 대한 헌신은 경력 전망을 향상시킬 뿐만 아니라 끊임없이 변화하는 네트워크 보안 및 관리 환경에서 귀중한 자산으로서의 입지를 공고히 할 것입니다.
