와이어샤크 개론

1장 기술: 와이어샤크 핵심 요소와 트래픽 흐름
___1.1 와이어샤크의 핵심 기능 이해
______일반 분석 작업
______문제점 해결 작업
______보안 분석(네트워크 포렌식) 작업
______애플리케이션 분석 작업
___1.2 정확한 와이어샤크 버전 확보
___1.3 와이어샤크가 트래픽을 수집하는 방법
______수집 프로세스는 특수 링크 계층 드라이버에 의존한다
______Dumpcap 수집 엔진은 정지 조건을 지정한다
______코어 엔진은 가장 중요하다
______그래픽 툴킷은 사용자 인터페이스를 제공한다
______Wiretap 라이브러리는 저장된 추적 파일을 읽는 데 사용된다
___1.4 전형적인 와이어샤크 분석 세션의 이해
___1.5 프레임과 패킷 구분
______프레임 인식
______패킷 인식
______세그먼트 인식
___1.6 네트워크를 지나가는 HTTP 패킷 따라가기
______포인트 1: 클라이언트에서 무엇을 볼 것인가?
______포인트 2: 첫 번째 스위치의 뒤쪽에서 무엇을 볼 수 있는가?
______포인트 3: 라우터의 다른 쪽에서 무엇을 볼 수 있는가?
______포인트 4: 라우터/NAT 장치의 다른 쪽에서 무엇을 볼 수 있는가?
______포인트 5: 서버에서 무엇을 볼 것인가?
______트래픽을 어디에서 수집할 것인가
______기본적인 스위치 전달 기능을 인지하라
___1.7 와이어샤크 자원 접근
______와이어샤크 위키 프로토콜 페이지를 활용하라
______ask.wireshark.org에서 질문에 대한 답을 얻는다
___1.8 메인 와이어샤크 뷰를 활용한 트래픽 분석
______추적 파일(메인 툴바를 사용)을 열어라
______언제 메인 메뉴를 사용해야 하는지 알아야 한다
______가능할 때마다 메인 툴바를 사용하는 방법 배우기
______필터 툴바 정복
______패킷 목록 창을 활용한 트래픽 요약
______패킷 상세 창 자세히 알아보기
______패킷 바이트 화면 안에서 컴퓨터 언어를 얻는다
______상태 바에 주의를 기울이자
______실습 1: 네트워크 구성도를 완성하려면 패킷을 이용하라
___1.9 전형적인 네트워크 트래픽 분석
______웹 브라우징 트래픽 분석
______예제 백그라운드 트래픽 분석
______실습 2: 사용자 자신의 백그라운드 트래픽 수집과 분류
___1.10 다른 도구에서 수집된 추적 파일 열기
______실습 3: 네트워크 모니터 .cap 파일 열기
___도전 과제

2장 와이어샤크 뷰와 설정 맞춤화
___2.1 패킷 목록 화면에 칼럼 추가
______오른쪽 클릭 Apply as Column(쉬운 방법)
______Edit Preferences Columns(어려운 방법)
______칼럼의 숨김, 제거, 재배열, 편집
______칼럼 내용 정렬
______칼럼 데이터 내보내기
______실습 4: 칼럼에 HTTP 호스트 필드 추가
___2.2 와이어샤크 분석기 분석
______프레임 분석기
______이더넷 분석기 역할
______IPv4 분석기 역할
______TCP 분석기의 역할
______HTTP 분석기의 역할
___2.3 비표준 포트 번호를 사용하는 트래픽 분석
______포트 번호가 다른 애플리케이션에 할당됐을 때
______트래픽에 대해 수동으로 분석기 강요
______포트 번호가 인식되지 않을 때
______휴리스틱 분석기는 어떻게 작동하는가
______애플리케이션 선호도 설정을 이용한 분석 조절(가능한 경우)
______실습 5: 포트 81 트래픽을 HTTP로 해부하게 구성
___2.4 특정 트래픽 유형을 디스플레이하는 방법 변경
______사용자 인터페이스 설정 지정
______이름 변환 설정 지정
______Filter Expression 버튼 지정
______프로토콜과 애플리케이션 설정 지정
______실습 6: 핵심 와이어샤크 선호도(중요한 실습) 설정
___2.5 서로 다른 작업(프로파일)을 위해 와이어샤크 꾸미기
______프로파일의 기본 사항
______신규 프로파일 생성
______실습 7: 디폴트 프로파일을 기반으로 신규 프로파일 생성
___2.6 핵심 와이어샤크 구성 파일 위치 알아내기
______글로벌 구성 디렉터리
______개별 구성(프로파일) 디렉터리
______실습 8: DNS/HTTP Errors 프로파일 불러오기
___2.7 Time 칼럼을 구성해 지연 문제점 찾아내기
______경로 대기 시간 표시와 원인
______클라이언트 전달 지연 표시와 원인
______서버 전달 지연 표시와 원인
______Time 칼럼 설정을 변경해 전달 지연 문제점 검출
______새로운 TCP Delta 칼럼으로 전달 지연 문제점 탐지
______신경 쓰지 마라 - 약간의 지연은 정상이다
______실습 9: 경로와 서버 전달 지연 문제에 집중하라
___도전 과제

3장 기술: 최선의 수집 방법 결정과 수집 필터 적용
___3.1 브라우징이 늦거나 파일 다운로드 문제를 해결하기 위한 최선의 수집 위치 확인
______이상적인 시작 포인트
______필요하다면 옮겨라
___3.2 이더넷 네트워크 트래픽 수집
______옵션 1: 불평이 있는 호스트에서 직접 수집
______옵션 2: 호스트의 스위치 포트를 확장
______옵션 3: TAP를 설정
___3.3 무선 네트워크 트래픽 수집
______본래의 WLAN 어댑터가 볼 수 있는 것은 무엇인가?
______완전한 WLAN을 보려면 AirPcap 어댑터를 사용하라
___3.4 동작 중인 인터페이스 파악
______어느 어댑터가 트래픽을 보는지 지정
______복수 어댑터 수집을 사용하는 것을 고려하라
___3.5 대량의 트래픽 처리
______왜 많은 트래픽을 살펴봐야 하는가?
______수집 필터를 사용하는 가장 큰 이유
______파일 집합으로 수집
______파일 집합에서 열고 이동하기
______다른 해결책을 고려하라: 캐스케이드 파일럿®
______실습 10: 파일 집합으로 수집
___3.6 특수 수집 기술을 사용해 산발적인 문제 해결
______파일 집합과 링 버퍼 사용
______불평이 생기면 중단하라
______실습 11: 링 버퍼를 사용해 드라이브 공간을 절약하라
___3.7 작업해야 할 트래픽 총량을 줄여라
______와이어샤크가 감당하지 못할 때를 감지한다
______확장된 스위치가 감당하지 못할 때를 감지한다
______Capture Options 창에서 수집 필터를 적용하라
___3.8 주소(MAC/IP) 기반의 트래픽 수집
______특정 IP 주소에서/로 오는 트래픽 수집
______IP 주소 범위에서/로 오는 트래픽 수집
______브로드캐스트 또는 멀티캐스트 트래픽 수집
______MAC 주소 기반의 트래픽 수집
______실습 12: 자신의 IP 주소에서/로 오는 트래픽만 수집
______실습 13: 자신을 제외한 모든 MAC 주소에서/로 오는 트래픽만 수집
___3.9 특정 애플리케이션에 대한 트래픽 수집
______이것은 포트 번호에 대한 모든 것이다
______포트 기반 수집 필터 결합
___3.10 특정 ICMP 트래픽 수집
______실습 14: DNS 수집 필터 생성, 저장, 적용
___도전 과제

4장 특정 트래픽을 위한 디스플레이 필터 적용
___4.1 적절한 디스플레이 필터 문법 사용
______가장 간단한 디스플레이 필터의 문법
______디스플레이 필터 오류 탐지 메커니즘 사용
______필드 이름을 알게 된다
______자동 완성 기능을 사용해 디스플레이 필터 구축
______디스플레이 필터와 연산자 비교
______표현식을 사용한 디스플레이 필터 구축
______실습 15: 자동 완성 기능을 사용해 특정 HTTP 서버에 대한 트래픽 찾기
___4.2 디폴트 디스플레이 필터의 편집과 사용
______실습 16: 새로운 필터를 위한 '표본'으로 디폴트 필터 사용
___4.3 HTTP 트래픽의 적절한 필터링
______TCP 포트 번호 기반의 애플리케이션 필터 시험하기
______TCP 기반의 애플리케이션 이름 필터를 사용할 때 조심하라
______실습 17: 정확한 방법으로 HTTP 트래픽 필터링
___4.4 dhcp 디스플레이 필터가 동작하지 않는 이유
___4.5 IP 주소, 주소 범위, 서브넷 기반으로 디스플레이 필터 적용
______단순 IP 주소 호스트에게/로부터의 트래픽 필터링
______주소 범위에게/로부터의 트래픽 필터링
______IP 서브넷에게/으로부터의 트래픽 필터링
______실습 18: 온라인 백업 서브넷에게/으로부터의 트래픽 필터링
___4.6 패킷 안에 있는 필드를 이용한 빠른 필터링
______빠르게 작업하기: 오른쪽 클릭 후 Apply as Filter를 사용한다
______오른쪽 클릭 후 Prepare a Filter로 만들어라
______'…' 필터 강화를 사용하려면 한 번 더 오른쪽 클릭한다
______실습 19: DNS Name Errors나 HTTP 404 Responses를 필터링
___4.7 단순 TCP나 UDP 대화 필터링
______오른쪽 클릭으로 대화 필터링
______오른쪽 클릭으로 스트림을 따라가기
______와이어샤크 통계에서 대화 필터링
______스트림 인덱스 필드를 기반으로 TCP 대화 필터링
______실습 20: 기동 시에 백그라운드 파일 전송 탐지
___4.8 다중 포함/배제 조건으로 디스플레이 필터 확장
______논리 연산자 사용
______ip.addr != 필터가 동작하지 않는 이유
______!tcp.flags.syn==1 필터가 동작하지 않는 이유
___4.9 괄호를 사용해 필터 의미 변경
______실습 21: 클라이언트로의 TCP 연결 시도 횟수 계산
___4.10 디스플레이 필터 영역이 황색인 이유
______적색 백그라운드: 문법 검사 실패
______녹색 백그라운드: 문법 검사 통과
______황색 백그라운드: 문법 검사는 통과했지만 경고(!=)가 있다
___4.11 추적 파일 안의 주제어로 필터링
______전체 프레임에서 단순 주제어 필터 안에 contains를 사용한다
______필드 기반의 단순 주제어 필터 안에 contains를 사용한다
______대문자나 소문자 문자열을 찾으려면 주제어 필터 안에 matches and (?i)를 사용한다
______복수 단어 검색을 위해 matches를 사용한다
______실험 22: 추적 파일 안의 주제어 집합을 찾는 필터
___4.12 디스플레이 필터에 와일드카드 사용
______'.'을 가진 정규 표현식 사용
______반복되는 와일드카드 문자 검색에서 변수 길이 설정
______실습 23: 단어 사이를 와일드카드로 필터링
___4.13 통신 지연에 집중하기 위한 필터
______큰 시간 차(frame.time_delta)로 필터링
______큰 TCP 시간차(tcp.time_delta)로 필터링
______실습 24: 디스플레이 필터를 프로파일로 가져오기
___4.14 핵심 디스플레이 필터를 버튼으로 변경
______필터 표현식 버튼 생성
______필터 표현식 버튼의 편집, 재정렬, 삭제, 비활성화
______preferences 파일 안의 필터 표현식 영역 편집
______실습 25: HTTP 필터 표현식 버튼 생성과 불러오기
___도전 과제

5장 기술: 컬러링과 관심있는 패킷 내보내기
___5.1 적용된 컬러링 규칙 확인
______실습 26: 사용 중인 디스플레이 컬러링 규칙에 칼럼 추가
___5.2 검사합 오류 컬러링 규칙 해제
______개별 컬러링 규칙 비활성화
______모든 패킷 컬러링 비활성화
___5.3 Highlight Delays에 컬러링 규칙 적용
______최초로 컬러링 규칙 생성
______컬러링 규칙 생성에 오른쪽 클릭 방법 사용
______실습 27: FTP 사용자 이름, 패스워드 등을 하이라이트하기 위한 컬러링 규칙 설정
___5.4 단일 대화의 신속한 컬러링
______오른쪽 클릭으로 대화 임시 컬러링
______임시 컬러링 제거
______실습 28: 대화 임시 컬러링 규칙 생성
___5.5 관심 있는 패킷 내보내기
______실습 29: 단일 TCP 대화 내보내기
___5.6 패킷 세부 정보 내보내기
______패킷 분석 내보내기
______무엇을 내보낼지 정의하라
______텍스트 출력 예
______CSV 출력 예
______실습 30: 추적 파일에서 HTTP 호스트 필드 값 목록 내보내기
___도전 과제

6장 표와 그래프 작성과 해석
___6.1 네트워크에서 대화 중인 사람 찾기
______네트워크 대화 확인
______대화의 신속한 필터링
___6.2 최다 대화자 찾아내기
______가장 활동적인 대화를 찾기 위한 정렬
______가장 활발한 호스트를 찾기 위한 정렬
______실습 31: 가장 활동적인 TCP 대화 필터링
______실습 32: 글로벌 지도에 목표물을 표시하기 위한 GeoIP 설정
___6.3 네트워크에 보이는 애플리케이션 나열
______프로토콜 계층 구조 살펴보기
______필터 오른쪽 클릭이나 목록화된 프로토콜과 애플리케이션 컬러링
______의심되는 프로토콜, 애플리케이션 또는 '데이터' 찾기
______프로토콜 계층 구조 비율 해독
______실습 33: 의심스런 프로토콜이나 애플리케이션 탐지
___6.4 그래프 응용과 호스트 대역폭 사용
______그래프화하기 전에 애플리케이션이나 호스트 트래픽 내보내기
______IO Graph에 ip.addr 디스플레이 필터 적용
______IO 그래프에 ip.src 디스플레이 필터 적용
______IO Graph에 tcp.port와 udp.port 디스플레이 필터 적용
______실습 34: 서브넷상 트래픽과 다른 트래픽 비교
___6.5 네트워크상 TCP 오류 탐지
______상태 바 위의 Expert Infos 버튼 이용
______Expert에서 'Unreassembled'로 나타난 현상 처리
______TCP 분석 플래그 패킷 필터링
___6.6 Expert Infors 오류의 의미 이해
______패킷 손실, 회복과 결함 있는 추적 파일
______비동기와 다중 경로 경보
______Keep-Alive 경보
______버퍼 혼잡 경보 수신
______TCP 연결 포트 재사용 경보
______라우터 문제 가능성 경보
______설정 오류나 ARP 포이즈닝 경보
______실습 35: 오버로드된 클라이언트 구별
___6.7 다양한 네트워크 오류 그래프
______모든 TCP 분석 플래그 패킷 그래프로 그리기(윈도우 업데이트 제외)
______그래프에서 TCP 분석 플래그 패킷 유형 분류
______실습 36: 추적 파일에서 HTTP 호스트 필드 값 목록 내보내기
___도전 과제

7장 기술: 빠른 분석을 위한 트래픽 재조립
___7.1 웹 브라우징 세션 재조립
______Follow TCP Stream 사용
______스트림에 Find, Save, Filter 사용
______실습 37: 웹사이트의 은닉된 HTTP 메시지를 찾기 위한 재조립 사용
___7.2 FTP로 전송된 파일 재조립
______실습 38: FTP 파일 전송에서 파일 추출
___6.3 웹 브라우징 세션에서 전송된 HTTP 객체 내보내기
______TCP 선호 설정 점검
______추적 파일 내의 모든 HTTP 객체 관찰
______실습 39: 웹 브라우징 세션에서 HTTP 객체 찾기
___도전 과제
___
___8장 기술: 추적 파일과 패킷에 주석 추가
___8.1 추적 파일에 주석 추가
___8.2 개별 패킷에 자신의 주석 추가
______주석에 .pcapng 형식 사용
______빠른 읽기를 위한 주석 칼럼 추가
______실습 40: 악성 재지정 추적 파일 안의 분석 주의 사항 읽기
___8.3 보고서로 패킷 주석 내보내기
______먼저 주석을 포함하는 패킷을 필터링하라
______다음으로 Packet Dissections를 평문으로 내보내기
______실습 41: 악성 재지정 패킷 주석 내보내기
___도전 과제

9장 기술: 커맨드라인 도구로 트래픽 수집, 분리, 통합
___9.1 대규모 추적 파일을 파일 세트로 분리
______자신의 경로에 와이어샤크 프로그램 디렉터리 추가
______Capinfos로 파일 크기와 패킷 번호를 얻기
______추적 파일당 패킷에 기반을 둔 파일 분리
______추적 파일당 시간에 기반을 둔 파일 분리
______와이어샤크에서 파일 세트 열기와 작업
______실습 42: 파일 분리와 필터된 파일 세트로 작업
___9.2 여러 추적 파일의 통합
______와이어샤크 프로그램 디렉터리가 경로에 존재함을 보증
______-w 매개변수로 Mergecap을 구동
______실습 43: 와일드카드를 이용한 파일 세트 통합
___9.3 커맨드라인에서 트래픽 수집
______덤프캡인가 티샤크인가?
______덤프캡으로 커맨드라인에서 수집
______티샤크로 커맨드라인에서 수집
______호스트 정보 저장과 기존 추적 파일로 작업
______실습 44: 자동 정지가 설정된 파일 세트에 티샤크를 적용해 수집
___9.4 커맨드라인 수집 과정에서 수집 필터 사용
___9.5 커맨드라인 수집 과정에서 디스플레이 필터 사용
______실습 45: 티샤크로 HTTP GET 요청 추출
___9.6 티샤크로 특정 필드 값과 추적 파일의 통계 자료 내보내기
______필드 값 내보내기
______트래픽 통계 자료 내보내기
______HTTP 호스트 필드 값 내보내기
______실습 46: 티샤크로 HTTP 호스트 이름과 IP 주소 추출
___9.7 와이어샤크와 네트워크 분석의 계속적인 학습
___도전 과제

부록 A 도전 과제 해답
부록 B 추척 파일 설명
네트워크 분석 용어 사전