2018.09.19

전천후 프로토콜 분석기 ‘와이어샤크’를 아시나요?

J.M. Porup | CSO
와이어샤크는 보안 전문가나 시스템 관리자에게 ‘머스트-해브’라고 표현할 수 있을 만한 존재다. 이 무료 네트워크 프로토콜 분석기에 대해 살펴본다.

와이어샤크(Wireshark)는 세계 최고의 네트워크 트래픽 분석 프로그램이고, 보안 전문가나 시스템 관리자에게 필수적이다. 이 무료 소프트웨어는 네트워크 트래픽을 실시간으로 분석할 수 있게 해주고, 대개의 경우 네트워크 상의 문제를 해결할 수 있는 아주 좋은 툴이다.

와이어샤크로 해결할 수 있는 흔한 문제들로는 네트워크 상의 유실 패킷, 지연 문제, 악의적 활동 등이 있다. 이는 네트워크 트래픽을 미세하게 관찰할 수 있게 해준다. 그리고 트래픽을 필터링하고 세부로 파고 내려가 문제의 근본적인 원인을 자세히 관찰할 수 있는 툴을 제공한다.

이를 통해 네트워크 관리자는 패킷을 유실하는 잘못된 네트워크 기기, 지구 반대편에서 트래픽을 라우팅하는 기기에 의한 지연 문제, 그리고 데이터 유출이나 심지어 해킹 시도까지 식별할 수 있다.

와이어샤크는 네트워킹의 기본에 대한 견실한 지식을 요하는 강력한 툴이다. 대다수 현대 기업에게 있어, 이는 예를 들어, TCP/IP 스택을 이해하고, 패킷 헤더를 읽고 해석하는 법을 이해하고, 라우팅, 포트 포워딩, DHCP가 어떻게 작용하는가를 이해하는 이가 있어야 한다는 의미다.

와이어샤크의 기능
와이어샤크는 트래픽을 중간에서 가로채 이 바이너리 트래픽을 인간이 읽을 수 있는 형식으로 변환한다. 이에 의해 네트워크를 통과하는 트래픽이 무엇인지, 크기가 얼마나 되는지, 빈도가 얼마나 되는지, 일정 홉(hops) 사이의 지연이 어느 정도인지 등을 쉽게 식별할 수 있다.

와이어샤크는 2,000 개 이상의 네트워크 프로토콜을 지원하지만 대다수는 난해하거나 예외적이거나 구식인 것들이다. 현대의 보안 전문가에게 가장 직접적인 유용성이라면 IP 패킷을 분석하는 일일 것이다. 네트워크 상의 패킷은 대다수가 TCP, UDP, ICMP이다.

일반적인 비즈니스 네트워크를 통과하는 트래픽 볼륨이 대규모임을 고려하면 트래픽을 필터링 하는데 도움을 주는 와이어샤크 툴들은 특히 유용하다. 캡처 필터(capture filters)는 관심 있는 트래픽 유형만을 수집할 것이고, 디스플레이 필터(display filters)는 조사하고 싶은 트래픽을 확대하는데 유용할 것이다. 이 네트워크 프로토콜 분석 툴은 정규식 및 색상 하이라이트 등을 포함하는 검색 툴을 제공하기 때문에 찾고자 하는 것을 쉽게 발견할 수 있다.

때에 따라 비정상적인 트래픽을 찾는 최고의 방법은 모든 것을 캡처하고 기준선을 확립하는 것이다.

와이어샤크 사용법
비정상적인 것을 찾으려면 정상적인 것이 무엇인지 알아야 한다. 와이어샤크는 베이스라인 통계(baseline statistics)를 생성하는 툴을 포함한다. 와이어샤크는 네트워크 프로토콜 분석 프로그램이며 침입 검출 시스템(intrusion detection system, IDS)이 아니지만, 경고 신호(red flag)가 발생하면 악의적 트래픽에 초점을 맞추는데 무척 유용하다.

와이어샤크는 암호화된 TLS 트래픽을 가로채 분석하는 데에도 쓰일 수 있다. 대칭 세션 키(symmetric session keys)는 브라우저에 저장되고, 적절한 브라우저 설정과 함께 (그리고 이용자의 허가 및 이해와 함께) 네트워크 관리자는 이 세션 키를 와이어샤크로 로드하여 웹 트래픽을 암호화되지 않은 상태로 조사할 수 있다.

와이어샤크는 통계를 시각화하는 그래프 툴이 있다. 이는 대략적 추세를 파악하기 쉽게 해주고, 기술 지식이 부족한 경영진에게 조사 결과를 제출하는 것을 용이하게 해준다.

학습 툴로서의 와이어샤크
와이어샤크는 실용적인 기능이 매우 많아 자칫 효과적인 학습 툴이라는 사실을 간과하기 쉽다. 내연기관이 어떻게 작용하는지를 이해하는 가장 좋은 방법은 자동차의 후드를 올려보는 것이다. 마찬가지로 네트워크 트래픽의 뚜껑을 열고 패킷이 날아다니는 것을 지켜보고, 그리고 심지어 바이트 수준까지 파 내려가고, TCP 헤더를 조사하는 것은 인터넷이 어떻게 작용하는지를 배우고 다른 사람에게 가르칠 수 있는 효과적인 방법이다.

우리의 정보 경제를 가동하는 원동기를 해부한다면, 이는 보다 정보에 치중한 비즈니스 결정, 더 나은 정부 정책, 보다 유능한 인력으로 이어질 수 있다. 와이어샤크는 여러 교육 환경에서 이미 중요한 교과 과정이다. 문서들이 완비되어 있어 열성적인 학습자라면 이 네트워크 프로토콜 분석 툴을 손쉽게 다운로드하고, 로컬 와이파이 액세스 포인트를 조사하고, 트래픽 검사를 시작할 수 있다.

와이어샤크의 역사
와이어샤크는 제럴드 컴스(Gerald Combs)가 창안한 이후 에서럴(Ethereal)이라고 불렸던 1998년 세상에 모습을 드러냈다. 여러 해에 걸쳐 대대적인 커뮤니티 지원 및 패치들이 있었고, 오늘날 이용할 수 있는 실질적인 네트워크 프로토콜 분석 프로그램으로 널리 보급되어 있다.

와이어샤크는 모든 주요 OS와 대다수의 비주류 OS에서 실행된다. 예컨대 일반적인 리눅스 배포판, 윈도우, OS X, 프리BSD, 넷BSD, 오픈BSD 등이다. 무료 소프트웨어이고, GPL로 라이선스 되고, 따라서 이용, 공유, 수정이 자유롭다.

와이어샤크 교본
와이어샤크를 최대한 활용할 수 있는 팁과 기법들을 포함, 와이어샤크를 배우는 법에 관한 탁월한 무료 자원들이 많다. 몇 가지를 소개하면 아래와 같다.

- 와이어샤크 사용법(I've Just Downloaded Wireshark… Now What?) (PDF)
- 와이어샤크 이용자 가이드(Wireshark User's Guide)
- 와이어샤크 이용법: 완벽 강좌(How to Use Wireshark: A Complete Tutorial) (Lifewire)
- 와이어샤크로 패킷을 캡처하고 필터하고 검사하는 방법(How to Use Wireshark to Capture, Filter and Inspect Packets) (How-To Geek)

와이어샤크 무료 다운로드
wireshark.org에서 이를 다운로드하여 당장 패킷들을 조사해보라.

* CSO 선임 보안 기자인 J.M. Porup는 2002년 리눅스 시스어드민으로 IT 보안 경력을 쌓아왔다. 이메일 주소는 jm_porup@idg.com다. ciokr@idg.co.kr 
2018.09.19

전천후 프로토콜 분석기 ‘와이어샤크’를 아시나요?

J.M. Porup | CSO
와이어샤크는 보안 전문가나 시스템 관리자에게 ‘머스트-해브’라고 표현할 수 있을 만한 존재다. 이 무료 네트워크 프로토콜 분석기에 대해 살펴본다.

와이어샤크(Wireshark)는 세계 최고의 네트워크 트래픽 분석 프로그램이고, 보안 전문가나 시스템 관리자에게 필수적이다. 이 무료 소프트웨어는 네트워크 트래픽을 실시간으로 분석할 수 있게 해주고, 대개의 경우 네트워크 상의 문제를 해결할 수 있는 아주 좋은 툴이다.

와이어샤크로 해결할 수 있는 흔한 문제들로는 네트워크 상의 유실 패킷, 지연 문제, 악의적 활동 등이 있다. 이는 네트워크 트래픽을 미세하게 관찰할 수 있게 해준다. 그리고 트래픽을 필터링하고 세부로 파고 내려가 문제의 근본적인 원인을 자세히 관찰할 수 있는 툴을 제공한다.

이를 통해 네트워크 관리자는 패킷을 유실하는 잘못된 네트워크 기기, 지구 반대편에서 트래픽을 라우팅하는 기기에 의한 지연 문제, 그리고 데이터 유출이나 심지어 해킹 시도까지 식별할 수 있다.

와이어샤크는 네트워킹의 기본에 대한 견실한 지식을 요하는 강력한 툴이다. 대다수 현대 기업에게 있어, 이는 예를 들어, TCP/IP 스택을 이해하고, 패킷 헤더를 읽고 해석하는 법을 이해하고, 라우팅, 포트 포워딩, DHCP가 어떻게 작용하는가를 이해하는 이가 있어야 한다는 의미다.

와이어샤크의 기능
와이어샤크는 트래픽을 중간에서 가로채 이 바이너리 트래픽을 인간이 읽을 수 있는 형식으로 변환한다. 이에 의해 네트워크를 통과하는 트래픽이 무엇인지, 크기가 얼마나 되는지, 빈도가 얼마나 되는지, 일정 홉(hops) 사이의 지연이 어느 정도인지 등을 쉽게 식별할 수 있다.

와이어샤크는 2,000 개 이상의 네트워크 프로토콜을 지원하지만 대다수는 난해하거나 예외적이거나 구식인 것들이다. 현대의 보안 전문가에게 가장 직접적인 유용성이라면 IP 패킷을 분석하는 일일 것이다. 네트워크 상의 패킷은 대다수가 TCP, UDP, ICMP이다.

일반적인 비즈니스 네트워크를 통과하는 트래픽 볼륨이 대규모임을 고려하면 트래픽을 필터링 하는데 도움을 주는 와이어샤크 툴들은 특히 유용하다. 캡처 필터(capture filters)는 관심 있는 트래픽 유형만을 수집할 것이고, 디스플레이 필터(display filters)는 조사하고 싶은 트래픽을 확대하는데 유용할 것이다. 이 네트워크 프로토콜 분석 툴은 정규식 및 색상 하이라이트 등을 포함하는 검색 툴을 제공하기 때문에 찾고자 하는 것을 쉽게 발견할 수 있다.

때에 따라 비정상적인 트래픽을 찾는 최고의 방법은 모든 것을 캡처하고 기준선을 확립하는 것이다.

와이어샤크 사용법
비정상적인 것을 찾으려면 정상적인 것이 무엇인지 알아야 한다. 와이어샤크는 베이스라인 통계(baseline statistics)를 생성하는 툴을 포함한다. 와이어샤크는 네트워크 프로토콜 분석 프로그램이며 침입 검출 시스템(intrusion detection system, IDS)이 아니지만, 경고 신호(red flag)가 발생하면 악의적 트래픽에 초점을 맞추는데 무척 유용하다.

와이어샤크는 암호화된 TLS 트래픽을 가로채 분석하는 데에도 쓰일 수 있다. 대칭 세션 키(symmetric session keys)는 브라우저에 저장되고, 적절한 브라우저 설정과 함께 (그리고 이용자의 허가 및 이해와 함께) 네트워크 관리자는 이 세션 키를 와이어샤크로 로드하여 웹 트래픽을 암호화되지 않은 상태로 조사할 수 있다.

와이어샤크는 통계를 시각화하는 그래프 툴이 있다. 이는 대략적 추세를 파악하기 쉽게 해주고, 기술 지식이 부족한 경영진에게 조사 결과를 제출하는 것을 용이하게 해준다.

학습 툴로서의 와이어샤크
와이어샤크는 실용적인 기능이 매우 많아 자칫 효과적인 학습 툴이라는 사실을 간과하기 쉽다. 내연기관이 어떻게 작용하는지를 이해하는 가장 좋은 방법은 자동차의 후드를 올려보는 것이다. 마찬가지로 네트워크 트래픽의 뚜껑을 열고 패킷이 날아다니는 것을 지켜보고, 그리고 심지어 바이트 수준까지 파 내려가고, TCP 헤더를 조사하는 것은 인터넷이 어떻게 작용하는지를 배우고 다른 사람에게 가르칠 수 있는 효과적인 방법이다.

우리의 정보 경제를 가동하는 원동기를 해부한다면, 이는 보다 정보에 치중한 비즈니스 결정, 더 나은 정부 정책, 보다 유능한 인력으로 이어질 수 있다. 와이어샤크는 여러 교육 환경에서 이미 중요한 교과 과정이다. 문서들이 완비되어 있어 열성적인 학습자라면 이 네트워크 프로토콜 분석 툴을 손쉽게 다운로드하고, 로컬 와이파이 액세스 포인트를 조사하고, 트래픽 검사를 시작할 수 있다.

와이어샤크의 역사
와이어샤크는 제럴드 컴스(Gerald Combs)가 창안한 이후 에서럴(Ethereal)이라고 불렸던 1998년 세상에 모습을 드러냈다. 여러 해에 걸쳐 대대적인 커뮤니티 지원 및 패치들이 있었고, 오늘날 이용할 수 있는 실질적인 네트워크 프로토콜 분석 프로그램으로 널리 보급되어 있다.

와이어샤크는 모든 주요 OS와 대다수의 비주류 OS에서 실행된다. 예컨대 일반적인 리눅스 배포판, 윈도우, OS X, 프리BSD, 넷BSD, 오픈BSD 등이다. 무료 소프트웨어이고, GPL로 라이선스 되고, 따라서 이용, 공유, 수정이 자유롭다.

와이어샤크 교본
와이어샤크를 최대한 활용할 수 있는 팁과 기법들을 포함, 와이어샤크를 배우는 법에 관한 탁월한 무료 자원들이 많다. 몇 가지를 소개하면 아래와 같다.

- 와이어샤크 사용법(I've Just Downloaded Wireshark… Now What?) (PDF)
- 와이어샤크 이용자 가이드(Wireshark User's Guide)
- 와이어샤크 이용법: 완벽 강좌(How to Use Wireshark: A Complete Tutorial) (Lifewire)
- 와이어샤크로 패킷을 캡처하고 필터하고 검사하는 방법(How to Use Wireshark to Capture, Filter and Inspect Packets) (How-To Geek)

와이어샤크 무료 다운로드
wireshark.org에서 이를 다운로드하여 당장 패킷들을 조사해보라.

* CSO 선임 보안 기자인 J.M. Porup는 2002년 리눅스 시스어드민으로 IT 보안 경력을 쌓아왔다. 이메일 주소는 jm_porup@idg.com다. ciokr@idg.co.kr 
X