학습 정리/🦴 CS Study

8. 네트워크 패킷, 스니핑·스누핑·스푸핑, wireshark

무딘붓 2022. 12. 12. 09:33

🌐 네트워크 패킷

  • 네트워크 패킷
    • 컴퓨터 네트워크가 전달하는 데이터의 정형화된 블록
    • 전송이 용이하도록 잘라서 보낼 수 있는 데이터 전송 단위
    • 캡슐화 (Encapsulation) : 정보들이 추가로 붙는 과정 = 패키지화 하는 과정
  • 네트워크 패킷 분석
    • 캡슐화 되어 나오는 패킷을 살펴보고 분석
    • 실제 동작 방식, 내용을 직접 볼 수 있음  → 프로토콜 이해에 도움
    •  Packet Sniffer : 메시지의 교환을 살펴 볼 수 있음 ( header에 들어가는 내용을 직접 보여줌 )
  • 네트워크 패킷 분석 툴
    • WireShark
      • 무료 패킷 스니핑 툴   /  네트워크 프로토콜 분석,수집,검사 가능
      • 특정 프로토콜 디자인, 구현 가능  /  다양한 OS에서 사용 가능
    • TCP Dump
      • 법원에서 인정하는 툴  /  위조,변조가 쉽고 진위를 알아내기 어려운 단점
    • Microsoft Network Monitor
      • 네트워크 트래픽을 수집,조회  /  Microsoft 전용 프로토콜 지원
    • Nagios
      • 네트워크 모니터링
      • 데이터 시각화, 트래픽 분산 등 기능 제공

👨‍💻 스니핑, 스누핑, 스푸핑의 차이

  • 스니핑(Sniffing) : 네트워크 패킷 분석 툴 응용
    • 랜 카드로 들어오는 전기적인 신호로 다른 이의 패킷을 관찰하는 공격
    • 네트워크 분석 툴을 활용 → 개인정보를 습득
    • 수동적(passive)으로 정보를 습득할 수 있는 공격
    • Sniff(코를 킁킁거리다)에서 유래된 단어
  • 스누핑(Snooping)
    • 네트워크 상의 정보를 염탐하여 불법적으로 얻는 것
    • 프로그램(스누퍼)을 이용하여 원격으로 다른 컴퓨터의 정보(메신저 내용, 로그인 정보 등)를 엿보는 공격
    • 정보를 탈취하는데 중요하게 사용된다는 것이 스니핑과 다른 점
    • Snoop(기웃거리다, 염탐하다)에서 유래된 단어
  • 스푸핑(Spoofing)
    • 네트워크의 취약점 이용, 다른 사람의 IP를 부당하게 취득하여 해킹한 IP를 모방
    • 대상자 컴퓨터를 속여 합법적 사용자로 위장을 하고 특정 대상을 공격하는 해킹 기법
    • 스푸핑을 하기 전에 스니핑을 통해 네트워크의 취약점을 찾기도 함
    • Spoof(속이다, 사기치다)에서 유래된 단어
       
  • 스푸핑 VS (스누핑, 스니핑)의 차이 : 공격의 범위로 분류
    • 스니핑, 스누핑 : 네트워크에서 교환되는 패킷, 데이터를 훔쳐보는 정도의 소극적인 공격
    • 스푸핑 : 시스템을 공격하기도 하는 적극적인 공격

🦈 WireShark

  • WireShark 소개
    • (WinPcap이라는 패킷 캡처 라이브러리를 기반으로 한) 자유·오픈 소스 패킷 분석 프로그램
    • Network Interface Card를 통해 송수신되는 모든 패킷을 분석
    • 가장 많이 쓰이는 네트워크 프로토콜 분석기
    • Tcpdump와 유사 하지만 GUI라는 강력한 기능을 제공한다
    • 많은 산업·교육기관의 표준으로 사용된다
  • WireShark 사용 용도
    • 네트워크 트러블 슈팅, 네트워크 관련 문제 분석 및 파악
    • 보안문제 관찰 : 보안 문제를 유발할 수 있는 네트워크 패킷 분석 및 관찰
    • 프로토콜 구현, 디버깅  : 프로토콜이 제대로 동작하는지 확인
    • 네트워크 프로토콜 internals 학습
  • WireShark 기능
    • 캡쳐 기능
      • 패킷 List  : 패킷 탐지 실행 이후 경과 시간, 송신 IP, 수신 IP,  사용 프로토콜, 패킷 크기 등을 표현
      • 패킷 Details : 선택한 패킷의 상세 내용
      • 패킷 Bytes : 실제 패킷을 구성하는 16진수로 된 바이트를 보여줌
    • 패킷 필터 기능
      • ip.addr == x.x.x.x  : IP 주소가 x.x.x.x인 패킷
      • ip.src == x.x.x.x  : 송신자가 x.x.x.x인 패킷
      • id.dst == x.x.x.x  : 수신자가 x.x.x.x인 패킷
      • TCP > 100 and TCP < 150  : TCP 포트 100~150 사이를 사용하는 패킷
    • Statistics, Conversations 기능
      • 특정 A와 B 사이의 상세 패킷 전송 정보들에 대한 내용
    • Statistics Input/Output 그래프 기능
      • 시간의 상태에 따라서 얼마나 많은 패킷이 전송되었는지 수신되었는지 보여주는 기능
      • 디도스 공격을 탐지하는데 유용하게 활용

 

* 이 게시글은 K-MOOC 정보보호와 보안의 기초 (링크) 강의를 듣고 개인 학습용으로 정리한 내용입니다.

저작자표시

'학습 정리 > 🦴 CS Study' 카테고리의 다른 글

10. DNS 캐시 포이즈닝, 파밍, 피싱  (0) 2022.12.12
9. TCP 세션 하이재킹, ARP 스푸핑, IP 스푸핑  (0) 2022.12.12
7. 디지털 포렌식  (0) 2022.12.11
6. 컴퓨터 바이러스, 웜, 트로이 목마  (0) 2022.12.11
5. 대칭 암호와 비대칭 암호, 암호화  (0) 2022.12.11

'학습 정리/🦴 CS Study'의 다른글

  • 현재글8. 네트워크 패킷, 스니핑·스누핑·스푸핑, wireshark

관련글

댓글

티스토리툴바