(개정판) 와이어샤크 네트워크 완전 분석

1장 네트워크 분석의 세계
__네트워크 분석에 대한 정의
__분석 예제 따라 하기
__문제점 해결 세션의 예행연습
__전형적인 보안 시나리오(일명 네트워크 포렌식) 살펴보기
__네트워크 분석과 관련된 보안 이슈 이해
__'건초더미에서 바늘 찾기 문제' 극복
__분석 작업 점검표 검토
__네트워크 트래픽 흐름 이해
__분석 세션 시작
__사례 연구: '필요 없는 패킷' 제거
__사례 연구: '안전하게 감춰진' 네트워크
__정리
__학습한 내용 복습
__연습문제
__연습문제 답

2장 와이어샤크 소개
__와이어샤크 생성과 유지 보수
__유/무선 네트워크에서 패킷 수집
__다양한 유형의 추적 파일 열기
__와이어샤크가 패킷을 처리하는 방법 이해
__시작 페이지 사용
__9개의 GUI 요소 파악
__와이어샤크의 메인 메뉴
__메인 툴바의 효과적인 사용
__필터 툴바를 이용한 빠른 작업
__무선 툴바 보이게 하기
__오른쪽 클릭 기능을 통한 옵션 접근
__와이어샤크 메일링 리스트 가입
__ask.wireshark.org 가입
__리소스 바로 알기
__일부 추적 파일 얻기
__사례 연구: 데이터베이스가 동작하지 않음을 탐지
__정리
__학습한 내용 복습
__연습문제
__연습문제 답

3장 트래픽 수집
__네트워크를 살펴보는 위치 찾기
__로컬에서 와이어샤크 실행
__교환형 네트워크에서 트래픽 수집
__라우터에 연결된 네트워크 분석
__무선 네트워크 분석
__동시에 두 위치에서 수집(이중 수집)
__오른쪽 수집 인터페이스 선택
__동시에 여러 어댑터 수집
__인터페이스 상세 정보(윈도우만 가능)
__원격으로 트래픽 수집
__하나 이상 파일에 자동으로 패킷 저장
__패킷 누락을 피하기 위해 와이어샤크 최적화
__커맨드라인 수집을 이용한 메모리 절약
__사례 연구: 이중 수집 포인트 찾아내기
__사례 연구: 집에서 트래픽 수집하기
__정리
__학습한 내용 복습
__연습문제
__연습문제 답

4장 수집 필터 생성과 적용
__수집 필터의 목적
__인터페이스에 대해 수집 필터 적용
__자신에게 맞는 수집 필터 만들기
__프로토콜에 의한 필터링
__들어오는 연결 시도 필터
__MAC/IP 주소나 호스트 이름 수집 필터 생성
__하나의 애플리케이션 트래픽만 수집
__수집 필터를 조합하기 위한 연산자 사용
__바이트 값을 찾기 위한 수집 필터 생성
__수집 필터 파일을 수동으로 편집
__다른 사람과 수집 필터 공유
__사례 연구: Kerberos UDP에서 TCP 이슈
__정리
__학습한 내용 복습
__연습문제
__연습문제 답

5장 전역 및 개인 환경설정
__환경설정 폴더 찾기
__전역 및 개인 환경설정
__사용자 인터페이스 설정 기호에 맞게 변경
__수집 환경설정 정의
__자동으로 IP와 MAC 이름 변환
__GeoIP로 세계 지도에 IP 주소 표시
__포트 번호 변환(전송 이름 변환)
__SNMP 정보 변환
__필터 표현식 구성
__통계 설정 구성
__오른쪽 클릭을 이용한 프로토콜 설정 환경설정
__사례 연구: 비표준 웹 서버 설정
__정리
__학습한 내용 복습
__연습문제
__연습문제 답

6장 트래픽 컬러링
__트래픽 유형을 구분하기 위해 컬러 사용
__하나 이상의 컬러링 규칙 기능 억제
__컬러링 규칙 공유와 관리
__패킷이 특정 색상인 이유 확인
__HTTP 오류에 대한 '눈에 띄는' 컬러링 규칙 작성
__대화를 구분하기 위한 컬러 대화
__관심 있는 패킷을 일시적으로 마크
__스트림 재조립 컬러링 변경
__사례 연구: 로그인 동안 SharePoint 연결 컬러링
__정리
__학습한 내용 복습
__연습문제
__연습문제 답

7장 시간 값 지정과 요약 해석
__네트워크 문제점을 파악하기 위한 시간 사용
__시간 영역으로 추적 파일 전송
__시간 값으로 지연 식별
__클라이언트 지연, 서버 지연, 경로 지연 식별
__트래픽률, 패킷 크기, 전송되는 전체 바이트의 요약
__사례 연구: 시간 칼럼이 지연된 ACK 찾기
__정리
__학습한 내용 복습
__연습문제
__연습문제 답

8장 기본 추적 파일 통계 해석
__와이어샤크 통계 창 시작
__네트워크 프로토콜과 애플리케이션 식별
__네트워크 프로토콜과 애플리케이션 식별
__가장 활발한 대화 식별
__종단점 나열과 지도에 표시
__GeoIP로 의심스러운 대상을 발견
__특정 트래픽 유형에 대한 대화와 종단점 나열
__패킷 길이 평가
__트래픽에서 모든 IPv4/IPv6 주소 나열
__트래픽에서 모든 목적지 나열
__사용된 모든 UDP와 TCP 포트 나열
__UDP 멀티캐스트 스트림 분석
__트래픽 흐름 그래프로 작성
__HTTP 통계 수집
__모든 WLAN 통계 검사
__사례 연구: VoIP 품질 문제 찾기
__정리
__학습한 내용 복습
__연습문제
__연습문제 답

9장 디스플레이 필터 생성과 적용
__디스플레이 필터의 목적 이해
__자동 완성 기능을 이용한 디스플레이 필터 작성
__저장된 디스플레이 필터 적용
__필터 지원을 위한 표현식 사용
__오른쪽 클릭 필터링을 사용해 빨리 디스플레이 필터 생성
__대화와 종단점에서 필터링
__프로토콜 계층 창에 대한 필터
__디스플레이 필터 구문 이해
__비교 연산자를 이용해 디스플레이 필터 결합
__괄호를 적용해 디스플레이 필터의 의미 변경
__필드의 실체 필터링
__패킷에 있는 특정 바이트 필터링
__대/소문자로 핵심 단어 찾기
__흥미로운 정규식 필터
__와이어샤크 디스플레이 필터의 실수 잡아내기
__복잡한 필터링을 위한 디스플레이 필터 매크로 사용
__일반적인 디스플레이 필터 실수 방지
__dfilters 파일을 수동으로 편집
__사례 연구: 데이터베이스 문제를 해결하기 위해 필터와 그래프 사용
__사례 연구: 복잡하고 어수선한 브라우저
__사례 연구: 바이러스와 웜 잡기
__정리
__학습한 내용 복습
__연습문제
__연습문제 답

10장 스트림 추적과 데이터 조립
__트래픽 조립
__UDP 대화 추적과 조립
__TCP 대화 추적과 재조립
__SSL 대화 추적과 재조립
__SMB 전송 재조립
__사례 연구: 파악된 알 수 없는 호스트
__정리
__학습한 내용 복습
__연습문제
__연습문제 답

11장 와이어샤크 프로파일 사용지 기호에 맞게 변경
__프로파일을 이용해 와이어샤크를 사용자 기호에 맞게 변경
__사례 연구: 고객을 위해 와이어샤크 기호에 맞게 변경
__정리
__학습한 내용 복습
__연습문제
__연습문제 답

12장 패킷 저장, 추출, 인쇄
__패킷이나 전체 추적 파일에 주석 달기
__필터링되고 마크되고 범위가 지정된 패킷 저장
__다른 프로그램에서 사용하기 위해 패킷의 내용 내보내기
__SSL 키 내보내기
__대화, 종단점, IO 그래프, 흐름 그래프 정보 저장
__패킷 바이트 내보내기
__사례 연구: 문제를 분리시키기 위해 트래픽의 일부분 저장
__정리
__학습한 내용 복습
__연습문제
__연습문제 답

13장 와이어샤크의 전문가 시스템 사용
__와이어샤크의 전문가 정보 가이드
__TCP 전문가 정보 이해
__사례 연구: 전문가 정보가 원격 접속 골칫거리를 해결하다.
__정리
__학습한 내용 복습
__연습문제
__연습문제 답

14장 TCP/IP 분석 개요
__TCP/IP 기능의 개요
__패킷 구축
__사례 연구: 네트워크 책임 회피
__정리
__학습한 내용 복습
__연습문제
__연습문제 답

15장 DNS 트래픽 분석
__DNS의 목적
__일반적인 DNS 조회/응답 분석
__DNS 문제 분석
__DNS 패킷 구조 분석
__DNS/MDNS 트래픽 필터링
__사례 연구: DNS가 웹 브라우징 성능을 저하시키다.
__정리
__학습한 내용 복습
__연습문제
__연습문제 답

16장 ARP 트래픽 분석
__ARP의 목적
__정상적인 ARP 요청/응답 분석
__쓸모없는 ARP 분석
__ARP 문제 분석
__ARP 패킷 구조 분석
__ARP 트래픽 필터링
__사례 연구: ARP에 의한 죽음
__사례 연구: 누락된 ARP 이야기
__정리
__학습한 내용 복습
__연습문제
__연습문제 답

17장 인터넷 프로토콜(IPv4/IPv6) 트래픽 분석
__IP의 목적
__일반적인 IPv4 트래픽 분석
__IPv4 문제 분석
__IPv4 패킷 구조 분석
__IPv6 트래픽 개요
__IPv6 패킷 구조 분석
__기본 IPv6 주소
__추적 파일에서 불필요한 IP 주소 삭제
__IPv4 프로토콜 환경설정
__암호화된 통신 문제 해결
__IPv4 트래픽 필터링
__IPv6 트래픽 필터링
__사례 연구: 모두가 라우터를 탓했다.
__사례 연구: 이것은 네트워크 문제가 아니야!
__사례 연구: IPv6의 주소 대혼란
__정리
__학습한 내용 복습
__연습문제
__연습문제 답

18장 인터넷 제어 메시지 프로토콜(ICMP4/ICMP6) 트래픽 분석
__ICMP의 목적
__기본 ICMP 트래픽 분석
__ICMP 문제 분석
__ICMP 패킷 구조 분석
__기본적인 ICMPv6 기능
__ICMP와 ICMPv6 트래픽 필터링
__사례 연구: Dead-End 라우터
__정리
__학습한 내용 복습
__연습문제
__연습문제 답

19장 사용자 데이터그램 프로토콜(UDP) 트래픽 분석
__UDP의 목적
__일반 UDP 트래픽 분석
__UDP 문제 분석
__UDP 패킷 구조 분석
__UDP 트래픽 필터링
__사례 연구: 시간 동기화 문제 해결
__정리
__학습한 내용 복습
__연습문제
__연습문제 답

20장 전송 제어 프로토콜(TCP) 트래픽 분석
__TCP의 목적
__일반적인 TCP 통신 분석
__TCP 문제 분석
__TCP 패킷 구조 분석
__TCP 트래픽 필터링
__TCP 프로토콜 환경설정
__사례 연구: 연결에는 4개의 시도가 필요하다
__정리
__학습한 내용 복습
__연습문제
__연습문제 답

21장 IO 비율과 TCP 트렌드 그래프
__트렌드를 보기 위한 그래프 사용
__기본 IO 그래프 생성
__IO 그래프 필터
__고급 IO 그래프 생성
__IO 그래프에서 트래픽 동향 비교
__왕복 시간 그래프
__처리율 그래프
__시간상의 TCP 순서 번호 그래프
__사례 연구: 성능 레벨 'Drop' 관찰
__사례 연구: 회사 사무실 왕복 시간 그래프 만들기
__사례 연구: QoS 정책 테스트
__정리
__학습한 내용 복습
__연습문제
__연습문제 답

22장 DHCP 트래픽 분석
__DHCP 목적
__정상적인 DHCP 트래픽 분석
__DHCP 문제점 분석
__DHCP 패킷 구조 분석
__DHCPv6 소개
__BOOTH-DHCP 통계 디스플레이
__DHCP/DHCPv6 트래픽 필터
__사례 연구: 클라이언트 거절
__정리
__학습한 내용 복습
__연습문제
__연습문제 해답

23장 HTTP 트래픽 분석
__HTTP의 목적
__정상적인 HTTP 통신 분석
__HTTP 문제점 분석
__HTTP 패킷 구조 분석
__HTTP/HTTPS 트래픽 필터
__HTTP 객체 내보내기
__HTTP 통계 디스플레이
__HTTP 트래픽 흐름 그래픽
__HTTP 환경설정
__HTTPS 통신 분석
__사례 연구: HTTP 프록시 문제점
__정리
__학습한 내용 복습
__연습문제
__연습문제 답

24장 FTP 트래픽 분석
__FTP의 목적
__정상적인 FTP 통신 분석
__FTP 문제점 분석
__FTP 패킷 구조 분석
__FTP 트래픽 필터
__FTP 트래픽 재조립
__사례 연구: 비밀 FTP 통신
__정리
__학습한 내용 복습
__연습 문제
__연습문제 답

25장 Email 트래픽 분석
__POP의 목적
__정상적인 POP 통신 분석
__POP 문제점 분석
__POP 패킷 구조 분석
__POP 트래픽 필터
__SMTP의 목적
__정상적인 SMTP 통신 분석
__SMTP 문제점 분석
__SMTP 패킷 구조 분석
__SMTP 트래픽 필터
__사례 연구: SMTP 문제점(Scan2Email 작업)
__정리
__학습한 내용 복습
__연습문제
__연습문제 답

26장 802.11(WLAN) 분석 소개
__WLAN 트래픽 분석
__신호 강도와 간섭 분석
__WLAN 트래픽 수집
__802.11 프레임 구조 분석
__모든 WLAN 트래픽 필터
__프레임 제어 유형과 서브 유형 분석
__WLAN 분석을 위한 와이어샤크 사용자 정의
__사례 연구: 지저분한 바코드 통신
__사례 연구: WLAN 조작
__정리
__학습한 내용 복습
__연습문제
__연습문제 답

27장 VoIP 분석 소개
__VoIP 트래픽 흐름 이해
__세션 대역폭과 RTP 포트 정의
__VoIP 문제점 분석
__SIP 트래픽 검사
__RTP 트래픽 검사
__VoIP 대화 재생
__플레이어 마커 정의
__VoIP 프로파일 생성
__VoIP 트래픽 필터
__사례 연구: VoIP 톤 손실
__정리
__학습한 내용 복습
__연습문제
__연습 문제 답
28장 '정상' 트래픽 패턴 베이스라인
__베이스라인의 중요성 이해
__사례 연구: 로그인 로그 잼
__사례 연구: SAN 연결 해제 해결
__정리
__학습한 내용 복습
__연습문제
__연습문제 답

29장 성능 문제의 가장 큰 원인 찾기
__성능 문제 트러블슈팅
__높은 지연시간 확인
__프로세스 시간을 느려지게 하는 지점
__시간 문제 작업 연습
__패킷 손실 위치 찾기
__구성 에러 신호 관찰
__재지정 트래픽 분석
__작은 페이로드 크기 관찰
__혼잡 검색
__애플리케이션 결함 확인
__모든 이름 변환 실패 인지
__성능 문제 분석 시 중요 사항
__사례 연구: 한 방향 문제
__사례 연구: 네트워크 문제의 완벽한 폭풍
__정리
__학습한 내용 복습
__연습문제
__연습문제 답

30장 네트워크 포렌식 개요
__호스트 포렌식와 네트워크 포렌식 비교
__증거 수집
__탐지 회피
__올바른 증거 취급
__비정상 트래픽 패턴 인식
__비정상 트래픽 패턴 컬러링
__보완적 포렌식 도구 확인
__사례 연구: SSL/TLS 취약점 연구
__정리
__학습한 내용 복습
__연습문제
__연습문제 답

31장 스캐닝 탐지와 발견 처리
__발견과 점검 처리의 목적
__ARP 스캔(일명 ARP 스윕) 탐지
__ICMP Ping 스윕 탐지
__다양한 타입의 TCP 포트 스캔 탐지
__UDP 포트 스캔 탐지
__IP 프로토콜 스캔 탐지
__아이들 스캔 이해
__ICMP 유형과 코드
__엔맵 스캔 명령 시도
__Traceroute 경로 발견 분석
__동적 라우터 발견 탐지
__애플리케이션 매핑 프로세스 이해
__수동 OS 핑거프린팅을 위한 와이어샤크 사용
__능동 OS 핑거프린팅 탐지
__공격 도구 식별
__스캔에서 스푸핑된 주소 식별
__사례 연구: Conficker 레슨으로 배운 점
__정리
__학습한 내용 복습
__연습문제
__연습 문제 답

32장 의심스런 트래픽 분석
__'의심스런' 트래픽이란?
__TCP/IP 해석 프로세스의 취약점 식별
__수용 불가 트래픽 식별
__IDS 규칙으로 필터와 컬러링 규칙 생성
__사례 연구: 플러딩 호스트
__사례 연구: 키로깅 트래픽 잡아내기
__사례 연구: 수동으로 악성 소프트웨어 찾기
__정리
__학습한 내용 복습
__연습문제
__연습문제 답

33장 커맨드라인 도구의 효과적인 사용
__커맨드라인 도구의 효력 이해
__Wireshark.exe(커맨드라인 실행) 사용
__티샤크를 이용한 트래픽 수집
__Capinfos로 추적 파일 상세 정보 목록화
__Editcap로 추적 파일 편집
__Mergecap으로 추적 파일 병합
__Text2pcap로 텍스트 변환
__Dumpcap로 트래픽 수집
__Rawshark 이해
__사례 연구: GETS와 혐의자 찾기
__정리
__학습한 내용 복습
__연습문제
__연습문제 답

부록 A 이 책의 웹사이트 자원