패킷 캡처:무엇이고 알아야 할 사항
패킷 캡처는 네트워크를 안전하고 효율적으로 운영하는데 사용되는 중요한 도구입니다. 잘못된 손에,그것은 또한 사용자 이름과 암호와 같은 민감한 데이터를 훔치는 데 사용할 수 있습니다. 이 게시물에서는 패킷 캡처가 무엇인지,어떻게 작동하는지,어떤 종류의 도구가 사용되는지,몇 가지 샘플 사용 사례를 살펴 보겠습니다.
- 패킷 캡처란?
- 패킷 캡처는 어떻게 작동합니까?
- 패킷 캡처를 읽는 방법
- 형식,라이브러리 및 필터,오 마이!
- 패킷 캡처 도구
- 패킷 캡처 및 패킷 스니퍼 사용 사례
- 패킷 캡처 장점과 단점
패킷 캡처란?
패킷 캡처는 검토 또는 분석을 위해 인터넷 프로토콜 패킷을 캡처하는 작업을 의미합니다. 이 용어는 또한 종종 저장되는 패킷 캡처 도구 출력 파일을 설명하는 데 사용할 수 있습니다.형식. 패킷 캡처는 네트워크 관리자에게 일반적인 문제 해결 기술이며 네트워크 트래픽에서 보안 위협을 검사하는 데에도 사용됩니다. 데이터 유출 또는 기타 사건 이후 패킷 캡처는 조사를 돕는 중요한 포렌식 단서를 제공합니다. 위협 행위자의 관점에서 패킷 캡처는 암호 및 기타 중요한 데이터를 도용하는 데 사용될 수 있습니다. 포트 스캐닝과 같은 능동적 인 정찰 기술과 달리 조사자에게 흔적을 남기지 않고 패킷 캡처를 수행 할 수 있습니다.
패킷 캡처는 어떻게 작동합니까?
패킷을 잡을 수있는 방법이 하나 이상 있습니다! 패킷 캡처는 라우터 또는 스위치와 같은 네트워킹 장비,탭이라는 전용 하드웨어,분석가의 랩톱 또는 데스크톱,심지어 모바일 장치에서 수행 할 수 있습니다. 사용 된 접근 방식은 최종 목표에 따라 다릅니다. 어떤 접근 방식을 사용하든 패킷 캡처는 네트워크의 특정 지점을 통과하는 일부 또는 모든 패킷의 복사본을 만들어 작동합니다.
자신의 컴퓨터에서 패킷을 캡처하는 것이 시작하는 가장 쉬운 방법이지만 몇 가지 주의 사항이 있습니다. 기본적으로 네트워크 인터페이스는 해당 인터페이스로 향하는 트래픽에만 주의를 기울입니다. 네트워크 트래픽을보다 완벽하게 보려면 인터페이스를 무차별 모드 또는 모니터 모드로 설정하는 것이 좋습니다. 예를 들어 유선 네트워크에서는 컴퓨터가 연결된 로컬 스위치 포트의 트래픽만 표시됩니다.
라우터 또는 스위치에서 포트 미러링,포트 모니터링 및 스위치 포트 분석기(스팬)로 다양하게 알려진 기능을 통해 네트워크 관리자는 네트워크 트래픽을 복제하여 지정된 포트로 전송하여 일반적으로 패킷을 전용 모니터링 솔루션으로 내보낼 수 있습니다. 이제 대부분의 엔터프라이즈급 스위치와 라우터에는 내장된 패킷 캡처 기능이 탑재되어 있습니다. 방화벽 및 무선 액세스 포인트와 같은 다른 유형의 네트워킹 장비에는 일반적으로 패킷 캡처 기능이 있습니다.
특히 크거나 사용량이 많은 네트워크에서 패킷 캡처를 수행하는 경우 전용 네트워크 탭이 최선의 선택일 수 있습니다. 탭은 패킷을 캡처하는 가장 비싼 방법이지만 전용 하드웨어이기 때문에 성능 저하가 발생하지 않습니다.
패킷 캡처를 읽는 방법
패킷 캡처를 이해하고 분석하려면 기본적인 네트워킹 개념에 대한 기본적인 지식이 필요합니다. 특정 도구간에 차이가있을 수 있지만 패킷 캡처는 항상 페이로드와 일부 헤더로 구성됩니다. 페이로드는 실제 데이터가 전송되는 구성-이 스트리밍 영화의 비트,이메일,랜섬,또는 다른 네트워크를 통과 아무것도 될 수 있습니다. 패킷 헤더에는 네트워크 장비가 각 패킷으로 수행 할 작업을 결정하는 데 도움이되는 모든 중요한 정보가 포함되어 있습니다. 가장 중요한 것은 소스 및 대상 주소입니다. 전문 네트워크 분석가는 이러한 모든 분야에 대한 자세한 지식을 갖지만 패킷 구조에 대한 일반적인 이해는 성능 문제를 해결하거나 네트워크 작동 방식에 대해 더 많이 배우는 데 필요한 전부입니다.
| 버전 | 헤더 길이 | DSCP 값 | ECN | 패킷 총 길이 |
| 식별 | 플래그는 | 조각 상쇄 | ||
| 시간 라이브(TTL) | 프로토콜 | 헤더 체크섬 | ||
|
Source IP 주소 |
||||
|
목적지 IP 주소 |
||||
|
선택 사항 |
||||
그 외에도에서 원본과 목적지 주소, 일부의 가장 중요한 분야에서는 문제 해결 서비스 코드 포인트(코드 포인트),플래그와 함께 사용할 수 있습니다. 이 응용 프로그램은 인터넷 연결이 필요할 수 있으며 이후 데이터 전송 요금이 부과될 수 있습니다. 플래그는 패킷 조각화를 제어하는 데 가장 자주 사용되며 조각화 안 함 플래그가 있는 패킷이 네트워크 링크의 최대 전송 단위 크기를 초과할 때 문제가 될 수 있습니다. 각 홉 후에 값이 감소하고 네트워크를 통해 패킷의 경로에 대한 중요한 단서를 제공 할 수 있습니다.
암호화되지 않은 유형의 트래픽의 경우 패킷 스니퍼는 헤더보다 더 깊이 파고 실제 페이로드를 검사 할 수 있습니다. 이는 네트워크 문제를 해결하는 데 매우 유용 할 수 있지만 사용자 이름 및 암호와 같은 민감한 데이터가있을 때 잠재적 인 보안 문제이기도합니다. 패킷의 페이로드 뒤에 있는 의미를 이해하려면 사용 중인 프로토콜에 대한 지식이 필요할 수 있습니다.
패킷 캡처 및 네트워크 분석 애플리케이션에는 많은 양의 데이터를 필터링,시각화 및 검사하는 도구가 자주 포함됩니다. 이러한 도구를 사용하면 패킷 캡처의 수동 검사를 통해 분석할 수 없습니다. 캡처 파일은 공격 또는 데이터 유출의 징후를 찾기 위해 침입 탐지 시스템/보호 시스템,보안 정보 및 이벤트 관리 시스템 또는 기타 유형의 보안 제품에 공급될 수도 있습니다.
형식,라이브러리 및 필터,오 마이!
패킷 캡처에 있어서는 다소 빠르게 혼동될 수 있는 다양한 관련 용어가 있습니다. 당신이 들을 수 있는 가장 일반적이 고 중요 한 용어 중 일부를 분해 하자:
패킷 캡처 형식
와이어 샤크와 같은 패킷 캡처 도구를 사용하여 트래픽을 실시간으로 검사 할 수 있지만 나중에 분석 할 수 있도록 캡처를 파일에 저장하는 것이 더 일반적입니다. 이 파일은 다양한 형식으로 저장할 수 있습니다. .일반적으로 광범위한 네트워크 분석기 및 기타 도구와 호환됩니다. .간단한 빌드.와이어샤크에서 파일을 저장할 때 이제 기본 형식입니다. 일부 상용 도구는 독점 형식을 사용할 수도 있습니다. 이 라이브러리는 운영 체제의 네트워킹 스택에 연결되고 인터페이스 간에 이동하는 패킷을 피어링할 수 있는 기능을 제공합니다. 이러한 라이브러리의 대부분은 오픈 소스 프로젝트,그래서 당신은 모두 상업 및 무료 패킷 캡처 도구의 다양한 찾을 수 있습니다. 경우에 따라 도구와 별도로 라이브러리를 설치해야 할 수도 있습니다.
필터링
전체 패킷 캡처는 꽤 많은 공간을 차지하고 캡처 장치에서 더 많은 리소스를 요구할 수 있습니다. 또한 대부분의 경우 과잉이다-가장 흥미로운 정보는 일반적으로 관찰되는 총 트래픽의 작은 부분이다. 패킷 캡처는 종종 관련 정보를 걸러 필터링됩니다. 이는 페이로드에서 아이피 주소에 이르기까지 모든 요소를 기반으로 할 수 있습니다.
패킷 캡처 도구
네트워크를 통과하는 패킷을 캡처하고 분석하기 위해 다양한 도구를 사용할 수 있습니다. 이러한 패킷 스니퍼 라고도 합니다. 여기에 가장 인기있는 중 일부입니다:
와이어 샤크
전형적인 패킷 도구,와이어 샤크는 이동-에 많은 네트워크 관리자,보안 분석가,아마추어 괴짜 패킷 캡처 도구입니다. 간단한 가이 및 정렬,분석 및 트래픽 감각을 만들기위한 기능의 톤으로,와이어 샤크는 사용의 용이성과 강력한 기능을 결합합니다. 바둑은 많은 세계 대회 개최로,특히 아시아,유럽,미국을 중심으로 그 인기가 세계적으로 증가하고 있습니다..
덤프는
이 패킷을 캡처 할 때 실현 클리리 마약 중독자의 꿈입니다. 이 오픈 소스 도구는 신속하게 와이어 샤크와 같은 도구에서 나중에 분석을 위해 패킷을 캡처하지만 네트워크 데이터의 광대 한 금액의 의미를 자신의 명령 및 스위치를 많이 가지고 있습니다.
솔라 윈즈 네트워크 성능 모니터
이 상용 도구는 사용 편의성,시각화 및 응용 프로그램별로 트래픽을 분류하는 기능으로 오랫동안 선호되어 왔습니다. 이 도구는 윈도우 플랫폼에 설치하지만,그것은 냄새와 장치의 모든 유형에서 트래픽을 분석 할 수 있습니다.
콜라소프트 캡사
콜라소프트는 기업 고객을 겨냥한 상용 패킷 스니퍼를 만들 뿐 아니라,학생들과 네트워킹을 막 시작하는 사람들을 겨냥한 다운 에디션을 제공한다. 이 도구는 실시간 문제 해결 및 분석을 지원하는 다양한 모니터링 기능을 자랑합니다.
키스멧
키스멧은 무선 트래픽을 캡처하고 무선 네트워크 및 장치를 감지하는 유틸리티입니다. 리눅스,맥,윈도우 플랫폼에 사용할 수있는이 도구는 블루투스와 지그비 라디오를 포함한 캡처 소스의 넓은 범위를 지원합니다. 올바른 설정을 통해 네트워크의 모든 장치에서 패킷을 캡처할 수 있습니다.
패킷 캡처 및 패킷 스니퍼 사용 사례
용어 패킷 스니퍼는 은밀하게 민감한 통신을 활용 해커의 이미지를 연상 수 있지만,패킷 스니퍼에 대한 합법적 인 용도의 많음이있다.
자산 검색/수동 정찰
패킷의 특성상 소스 및 대상 주소를 포함하므로 패킷 캡처를 사용하여 지정된 네트워크에서 활성 끝점을 검색할 수 있습니다. 충분한 데이터가 있으면 엔드포인트에 지문을 남길 수도 있습니다. 합법적 인 비즈니스 목적으로 수행 할 때이를 검색 또는 인벤토리라고합니다. 그러나 패킷 캡처의 수동적 특성으로 인해 악의적인 공격자가 추가 공격 단계에 대한 정보를 수집할 수 있습니다. 물론 조직의 보안
문제 해결
네트워크 문제를 해결할 때 실제 네트워크 트래픽을 검사하는 것이 문제의 근본 원인을 좁히는 가장 효과적인 수단이 될 수 있습니다. 패킷 스니퍼를 사용하면 네트워크 관리자와 엔지니어가 네트워크를 통과하는 패킷의 내용을 볼 수 있습니다. 이 기능은 다음과 같은 기본 네트워크 프로토콜을 해결할 때 필수적인 기능입니다. 그러나 패킷 캡처는 암호화된 네트워크 트래픽의 내용을 공개하지 않습니다.
패킷을 스니핑하면 트래픽이 네트워크를 통해 올바른 경로를 취하고 있으며 올바른 우선 순위로 처리되고 있는지 확인할 수 있습니다. 혼잡하거나 끊어진 네트워크 링크는 일반적으로 양면 대화의 한 면만 있기 때문에 패킷 캡처에서 쉽게 찾을 수 있습니다. 많은 수의 재시도 또는 손실된 패킷이 있는 연결은 종종 남용된 링크 또는 네트워크 하드웨어 실패를 나타냅니다.
침입 탐지
의심스러운 네트워크 트래픽은 패킷 캡처로 저장되어 추가 분석을 위해 아이디,아이디 또는 심엠 솔루션에 공급될 수 있습니다. 공격자는 정상적인 네트워크 트래픽과 조화를 이루기 위해 많은 노력을 기울이지 만 신중한 검사를 통해 은밀한 트래픽을 발견 할 수 있습니다. 알려진 악성 아이피 주소,폭로하는 페이로드 및 기타 세부 정보는 모두 공격을 나타낼 수 있습니다. 명령 및 제어 비콘의 표시일 수 있습니다.
사고 대응 및 포렌식
패킷 캡처는 사고 대응자에게 독특한 기회를 제공합니다. 공격자는 엔드포인트에서 자신의 트랙을 커버하기 위한 조치를 취할 수 있지만 이미 네트워크를 통과한 패킷을 보낼 수는 없습니다. 맬웨어,데이터 유출 또는 기타 유형의 사고 여부에 관계없이 패킷 캡처는 종종 다른 보안 도구가 놓친 공격의 징후를 발견 할 수 있습니다. 패킷 헤더는 항상 원본 주소와 대상 주소를 모두 포함하므로 사고 대응 팀은 패킷 캡처를 사용하여 네트워크를 통해 공격자의 경로를 추적하거나 네트워크 밖으로 유출되는 데이터의 징후를 확인할 수 있습니다.
패킷 캡처 장점과 단점
이미 언급했듯이 패킷 캡처는 네트워크 관리자와 보안 팀에게 엄청난 자산입니다. 그러나 네트워크 트래픽을 모니터링할 수 있는 유일한 옵션은 아닙니다.
장점:네트워크 트래픽
패킷 캡처는 정의상 네트워크 또는 네트워크 링크를 통과하는 실제 패킷의 중복 복사본입니다. 그것은,그러므로,가능한 네트워크 트래픽에서 가장 철저한 모습입니다. 패킷 캡처에는 다른 모니터링 솔루션에서는 사용할 수 없는 훌륭한 수준의 세부 정보가 포함되어 있습니다. 이렇게 하면 많은 세부 사항이 필요한 경우에 유일하게 실행 가능한 솔루션을 캡처할 수 있습니다.
장점:추가 분석을 위해 저장할 수 있습니다
패킷 캡처는 업계 표준에서 추가 분석 또는 검사를 위해 저장할 수 있습니다.및.파일 형식. 이를 통해 예를 들어 네트워크 엔지니어가 의심스러운 트래픽을 저장 한 다음 나중에 보안 분석가가 검토 할 수 있습니다. 보안 분석 도구를 포함하여 다양한 도구가 이 형식을 지원합니다. 또한 몇 시간 분량의 데이터로 구성된 패킷 캡처를 저장하고 나중에 검토할 수도 있습니다.
장점:하드웨어 불가지론
네트워크 하드웨어 수준에서 지원이 필요합니다. 두 기술 모두 폭 넓은 지원을 제공하지만 보편적으로 사용할 수있는 것은 아닙니다. 또한 각 공급 업체가 구현하는 방법에 차이가있을 수 있습니다. 반면에 패킷 캡처는 특수한 하드웨어 지원이 필요하지 않으며 네트워크에 액세스 할 수있는 모든 장치에서 수행 할 수 있습니다.
단점:큰 파일 크기
전체 패킷 캡처는 많은 양의 디스크 공간을 차지할 수 있습니다. 필터링이 적용된 경우에도 단일 캡처 파일은 많은 기가 바이트의 스토리지를 차지할 수 있습니다. 이로 인해 패킷 캡처가 장기 저장에 적합하지 않을 수 있습니다. 열 때 이러한 큰 파일 크기는 긴 대기 시간이 발생할 수 있습니다.네트워크 분석 도구.
단점:너무 많은 정보
패킷 캡처로 네트워크 트래픽을 완벽하게 파악할 수 있지만 너무 포괄적인 경우가 많습니다. 관련 정보는 종종 방대한 양의 데이터에서 손실 될 수 있습니다. 분석 도구에는 캡처 파일의 순서,정렬 및 필터 기능이 있지만 많은 사용 사례가 다른 옵션에서 더 잘 제공 될 수 있습니다. 다른 모니터링 솔루션에서 사용할 수 있는 네트워크 트래픽의 요약된 버전만 사용하여 네트워크 문제를 해결하거나 공격의 징후를 발견하는 경우가 종종 있습니다. 한 가지 일반적인 접근 방식은 넷 플로우와 같은 기술을 사용하여 모든 트래픽을 모니터링하고 필요에 따라 전체 패킷 캡처로 전환하는 것입니다.
단점:고정 필드
넷 플로우의 가장 최근의 반복은 사용자 정의 가능한 레코드를 허용하므로 네트워크 관리자가 캡처 할 정보를 선택할 수 있습니다. 패킷 캡쳐는 기존의 아이피 패킷 구조를 기반으로 하기 때문에 사용자 지정의 여지가 없습니다. 이 문제는 문제가 되지 않을 수도 있지만 사용 사례에 따라 모든 필드를 캡처할 필요가 없을 수도 있습니다.
결론
패킷 캡처는 문제 해결 및 보안 관점에서 매우 중요하지만 네트워크 관리자나 보안 엔지니어가 의존하는 유일한 도구가 되어서는 안 됩니다. 합법적이고 불법적 인 목적을 위해 암호화의 사용 증가는 와이어 샤크와 같은 도구의 효과를 제한합니다. 패킷 캡처는 또한 호스트에서 어떤 작업이 수행되었는지에 대한 많은 아이디어를 인시던트 응답자에게 제공하지 않습니다. 파일이 수정되고 프로세스가 숨겨지고 단일 패킷을 생성하지 않고 새 사용자 계정이 생성 될 수 있습니다. 바로니스 데이터 보호 플랫폼은 네트워크에서 감지되지 않는 위협을 탐지할 수 있는 조직의 데이터 중심 보기를 제공합니다. 항상 그렇듯이 네트워크에서 심층 방어 및 모범 사례를 채택하십시오. 그리고 보안 툴을 보완하기 위해 바로니스를 추가할 준비가 되면,일대일 데모를 예약하세요!