맨위로가기

패킷 분석기

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
목차

1. 개요

패킷 분석기는 네트워크에서 전송되는 데이터 패킷을 캡처하고 분석하는 데 사용되는 도구이다. 이더넷, 토큰 링, 무선 LAN 등 다양한 네트워크 환경에서 트래픽을 모니터링하며, 포트 미러링, 네트워크 탭, 모니터 모드 등의 기술을 활용하여 패킷을 캡처한다. 캡처된 패킷은 전체 내용 또는 헤더만 기록될 수 있으며, 사람이 읽을 수 있는 형식으로 디코딩되어 네트워크 문제 분석, 침입 탐지, 개인 정보 보호, 법 집행, 네트워크 사용 감시 등 다양한 목적으로 활용된다. 패킷 분석기는 하드웨어 기반 또는 소프트웨어 형태로 존재하며, 프로토콜 테스터 역할을 수행하기도 한다.

더 읽어볼만한 페이지

  • 네트워크 분석기 - 와이어샤크
    와이어샤크는 다양한 네트워크 유형을 지원하며 800개 이상의 프로토콜 분석이 가능한 자유-오픈 소스 패킷 분석기로, 실시간 네트워크 트래픽 캡처 및 분석, GUI/터미널 기반 데이터 탐색, 플러그인 확장 기능 등을 제공하는 널리 사용되는 네트워크 분석 도구이다.
  • 네트워크 분석기 - Aircrack-ng
    Aircrack-ng는 크리스토프 데빈이 개발하고 토마스 D'Otreppe에 의해 포크된 무선 네트워크 보안 분석 및 테스트 도구 모음으로, WEP, WPA, WPA2 등의 보안 취약점을 분석하고 공격하는 데 사용된다.
  • 패킷 - 프로토콜 데이터 단위
    프로토콜 데이터 단위(PDU)는 네트워크 통신에서 데이터 전송의 기본 단위로서, 각 계층은 서비스 데이터 단위(SDU)에 헤더와 제어 정보를 더해 PDU를 생성하며, 데이터 구조화, 오류 검출, 주소 지정 등의 기능을 수행하여 효율적인 통신을 지원하고, 크기는 네트워크 성능, MTU, IP 단편화, 보안 문제와 관련된다.
  • 패킷 - 셀 릴레이
    셀 릴레이는 가변 길이 사용자 패킷을 고정 길이 셀 그룹으로 분할하여 고속으로 전송하는 기술이며, 지연에 민감한 트래픽에 사용되고, 흐름 제어 및 오류 검출 기능은 없으며, 비동기 전송 방식(ATM)과 같은 고속 패킷 스위칭 기술의 구현에 사용된다.
  • 네트워크 보안 - 스파이웨어
    스파이웨어는 사용자의 동의 없이 설치되어 개인 정보를 수집하거나 시스템을 감시하며, 다양한 형태로 존재하여 광고 표시, 정보 탈취, 시스템 성능 저하 등의 피해를 유발하는 악성 프로그램이다.
  • 네트워크 보안 - 가상 사설 서버
    가상 사설 서버(VPS)는 공유 웹 호스팅과 전용 호스팅의 중간 단계 서비스로, 가상화 기술을 기반으로 슈퍼유저 수준의 접근 권한, 높은 운용 자유도와 향상된 보안성을 제공하지만, 환경 유지 관리 필요성, 상대적으로 높은 비용, 회선 공유 문제 등의 단점도 가진다.
패킷 분석기
개요
종류컴퓨터 네트워크 장비 또는 소프트웨어
다른 이름패킷 분석기
프로토콜 분석기
네트워크 분석기
이더넷 스니퍼
기능
주요 기능네트워크 트래픽 분석
사용 목적네트워크 문제 해결
보안 분석
애플리케이션 디버깅
데이터 가로채기 (악의적인 목적)
기술적 세부 사항
작동 방식네트워크 인터페이스를 통해 전송되는 모든 패킷을 캡처하고 분석함.
캡처 방식일반적으로 promiscuous 모드를 사용하여 네트워크의 모든 트래픽을 감시함.
분석 정보소스 및 대상 주소
프로토콜 유형
데이터 내용 (암호화되지 않은 경우)
합법성 및 윤리적 고려 사항
합법적 사용네트워크 관리자가 네트워크 성능을 모니터링하고 문제를 진단하는 데 사용될 수 있음.
불법적 사용암호화되지 않은 데이터 (예: 비밀번호)를 가로채는 데 사용될 수 있음.
개인 정보 침해 및 데이터 유출을 초래할 수 있음.
윤리적 고려 사항네트워크 트래픽을 감시하기 전에 사용자 동의를 얻는 것이 중요함.
소프트웨어 도구
주요 도구Wireshark
tcpdump
tshark
Microsoft Network Monitor
기타 도구Fiddler
Ettercap
Dsniff
활용 분야
네트워크 관리네트워크 성능 분석, 병목 현상 식별, 문제 해결.
보안악성 트래픽 탐지, 침입 시도 식별, 보안 정책 준수 여부 확인.
애플리케이션 개발애플리케이션의 네트워크 트래픽 분석, 성능 문제 진단.
포렌식네트워크 트래픽 데이터를 수집하여 법적 증거로 사용.

2. 기능

이더넷, 토큰 링, FDDI 등 유선 공유 매체 네트워크에서는 네트워크 구조 (허브 또는 스위치)에 따라[12] 단일 머신에서 네트워크의 모든 트래픽을 캡처하는 것이 가능하다. 최신 네트워크에서는 스위치의 지정된 포트를 통과하는 모든 패킷을 다른 포트로 미러링하는 포트 미러링을 사용하여 네트워크 스위치를 통해 트래픽을 캡처할 수 있는데, 이는 스위치가 포트 미러링을 지원하는 경우에 해당한다. 네트워크 탭은 높은 트래픽 부하 시 패킷을 드롭할 가능성이 더 적기 때문에 모니터링 포트를 사용하는 것보다 훨씬 더 안정적인 솔루션이다.

무선 LAN에서는 한 번에 하나의 채널에서, 또는 여러 어댑터를 사용하여 여러 채널에서 동시에 트래픽을 캡처할 수 있다.

유선 브로드캐스트 및 무선 LAN에서 다른 머신 간의 유니캐스트 트래픽을 캡처하려면 트래픽을 캡처하는 네트워크 어댑터가 프롬이큐어스 모드여야 한다. 무선 LAN에서는 어댑터가 프롬이큐어스 모드에 있더라도 일반적으로 어댑터가 구성된 서비스 세트에 해당하지 않는 패킷은 무시된다. 이러한 패킷을 보려면 어댑터가 모니터 모드여야 한다. 패킷 분석기가 이미 모니터링하고 있는 멀티캐스트 그룹에 대한 멀티캐스트 트래픽이나 브로드캐스트 트래픽을 캡처하는 데는 특별한 조항이 필요하지 않다.

트래픽이 캡처되면 패킷의 전체 내용 또는 헤더만 기록된다. 헤더만 기록하면 스토리지 요구 사항이 줄어들고 일부 개인 정보 보호 관련 법적 문제를 피할 수 있지만, 문제를 진단하는 데 충분한 정보를 제공하는 경우가 많다.

캡처된 정보는 원시 디지털 형식에서 엔지니어가 교환된 정보를 검토할 수 있는 사람이 읽을 수 있는 형식으로 디코딩된다. 프로토콜 분석기는 데이터를 표시하고 분석하는 기능이 다양하다.

일부 프로토콜 분석기는 트래픽을 생성할 수도 있다. 이들은 프로토콜 테스터 역할을 할 수 있다. 이러한 테스터는 기능 테스트를 위해 프로토콜에 맞는 트래픽을 생성하며, 테스트 대상 장치의 오류 처리 능력을 테스트하기 위해 의도적으로 오류를 도입하는 기능도 있을 수 있다.[13][14]

프로토콜 분석기는 프로브 형식이나 디스크 어레이와 결합된 형태로 하드웨어 기반일 수도 있다. 이러한 장치는 패킷 또는 패킷 헤더를 디스크 어레이에 기록한다.

유선 LAN에서 LAN 분석기를 이용하는 경우에는 관측 대상 트래픽을 네트워크 배치나 구조에 따라 LAN 분석기가 취득 가능하도록 할 필요가 있다. 과거에 사용되었던 버스형의 경우에는 전송 매체의 물리 계층 케이블을 공유하도록 LAN 분석기를 배치한다. 스타형 LAN의 HUB의 경우에는 데이터 링크 계층을 공유하도록 빈 포트에 LAN 분석기를 연결한다.

최근 표준이 된 LAN 스위치의 경우에는 모니터링 포트를 구성하여, 관측 대상 트래픽을 LAN 분석기를 연결한 포트로 공유하여 흐르도록 한다.

무선 LAN에서는 물리 계층인 공간의 전파를 공유하고 있으므로, 유선 LAN처럼 네트워크 배치나 구조를 고려할 필요는 없다.

유선 네트워크, 무선 네트워크 모두 다른 머신에 출입하는 트래픽을 받기 위해서는 모든 데이터를 수신 가능하도록 프로미스캐스터스 모드(무차별 모드)로 동작시킬 필요가 있다. 네트워크 장치 드라이버에 따라 이 모드를 지원하지 않는 것도 있다.

초기에는 단순히 물리 계층의 신호를 디지털 데이터 열로 직접 출력하는 것이 많았지만, 나중에 패킷 내용을 분석하여 번역하고 더 이해하기 쉬운 형태로 표시하는 것이 등장했다. 어디까지가 프로토콜 헤더인지와 같은 정보를 시각적으로 표시하는 것, DNS 관련 패킷의 경우 이름 해결의 요구인지 응답인지, SNMP 관련 패킷의 경우 ASN.1의 분석 및 표시 등이 대표적인 예로 꼽힌다.

3. 활용

패킷 분석기는 다음과 같은 다양한 용도로 활용될 수 있다.


  • 네트워크 문제 분석
  • 네트워크 침입 시도 감지
  • 내부 및 외부 사용자의 네트워크 오용 감지
  • 모든 주변 및 엔드포인트 트래픽을 로깅하여 규정 준수 문서화
  • 네트워크 침입을 수행하기 위한 정보 획득
  • 운영 체제와 같은 소프트웨어의 데이터 수집 및 공유 식별 (개인 정보 보호, 제어 및 보안 강화)
  • 악용된 시스템을 격리하기 위한 정보 수집 지원
  • WAN 대역폭 사용률 모니터링
  • 네트워크 사용량 모니터링 (내부 및 외부 사용자 및 시스템 포함)
  • 전송 중인 데이터 모니터링
  • WAN 및 엔드포인트 보안 상태 모니터링
  • 네트워크 통계 수집 및 보고
  • 네트워크 트래픽에서 의심스러운 콘텐츠 식별
  • 응용 프로그램의 네트워크 데이터를 모니터링하여 성능 문제 해결
  • 일상적인 네트워크 모니터링 및 관리의 주요 데이터 소스로 사용
  • 다른 네트워크 사용자를 감시하고 로그인 세부 정보 또는 사용자 쿠키와 같은 민감한 정보를 수집 (사용 중인 암호화 방법)
  • 네트워크를 통해 사용되는 독점 프로토콜의 역설계
  • 클라이언트/서버 통신 디버깅
  • 네트워크 프로토콜 구현 디버깅
  • 추가, 이동 및 변경 사항 확인
  • 내부 제어 시스템 효율성 확인 (방화벽, 접근 제어, 웹 필터, 스팸 필터, 프록시)


패킷 캡처는 법 집행 기관의 영장을 충족하기 위해 개인에 의해 생성된 모든 네트워크 트래픽을 도청하는 데 사용될 수 있다.[1] 인터넷 서비스 제공업체와 미국의 VoIP 제공업체는 통신 지원법 집행법 규정을 준수해야 한다.[1] 패킷 캡처 및 저장을 사용하여 통신 사업자는 법적으로 요구되는 대상 네트워크 트래픽에 대한 안전하고 별도의 액세스를 제공할 수 있으며, 동일한 장치를 내부 보안 목적으로 사용할 수 있다.[1] 영장 없이 통신 사업자 시스템에서 데이터를 수집하는 것은 도청에 관한 법률로 인해 불법이다.[1] 종단간 암호화를 사용하면 통신 사업자 및 법 집행 기관으로부터 통신의 기밀성을 유지할 수 있다.[1]

LAN 애널라이저는 LAN 상에서 흐르는 트래픽을 관측하는 것으로, 다음과 같은 용도로 사용된다.

  • 네트워크 이용 조사
  • 네트워크 관련 문제 해결
  • 네트워크 침입 시도를 감지
  • 네트워크 사용자의 행동을 감시하여 비밀번호 등과 같은 비밀 정보를 훔친다
  • 네트워크에서 사용되는 프로토콜을 리버스 엔지니어링 한다

4. 주요 패킷 분석기


  • Capsa 네트워크 애널라이저
  • Cain and Abel
  • Carnivore (FBI)
  • dSniff
  • ettercap
  • Fiddler
  • Lanmeter
  • 마이크로소프트 네트워크 모니터
  • NarusInsight
  • ngrep Network Grep
  • SkyGrabber
  • snoop
  • tcpdump
  • 와이어샤크 (Ethereal이라고도 한다.)
  • Allegro Network Multimeter
  • 캡사 네트워크 분석기
  • 찰스 웹 디버깅 프록시
  • 카니보어(소프트웨어)
  • CommView
  • 엔데이스프로브 패킷 캡처 플랫폼
  • 에터캡
  • 피들러
  • 키스멧
  • 마이크로소프트 네트워크 모니터
  • 나루스인사이트
  • 넷스카우트 시스템즈 nGenius Infinistream
  • ngrep, Network Grep
  • 옴니플라이언스 by Savvius
  • 스카이그래버
  • 스니퍼
  • 스눕
  • tcpdump
  • 옵저버 애널라이저
  • 와이어샤크 (과거 이더리얼로 알려짐)
  • Xplico 오픈 소스 네트워크 포렌식 분석 도구
  • 스니퍼 포터블 프로페셔널
  • 스니퍼 어댑티브 애플리케이션 애널라이저
  • 에터캡
  • 옴니피크
  • * 이더피크
  • * 에어오피크
  • PRTG
  • Ngrep
  • Xplico
  • 나루스
  • 넷VCR (어플라이언스형)
  • 클리어사이트 (소프트웨어 또는 어플라이언스형)
  • 콜라소프트 캡사

참조

[1] 서적 "(ISC)2 CISSP Certified Information Systems Security Professional Official Study Guide" https://books.google[...] John Wiley & Sons 2023-03-23
[2] 서적 Cross-Border E-Commerce Marketing and Management https://books.google[...] IGI Global 2023-03-23
[3] 서적 Practical Intrusion Analysis: Prevention and Detection for the Twenty-First Century: Prevention and Detection for the Twenty-First Century https://books.google[...] Pearson Education 2023-03-23
[4] 서적 Cyber Law, Privacy, and Security: Concepts, Methodologies, Tools, and Applications https://books.google[...] IGI Global 2023-03-23
[5] 간행물 Analysis of Various Packet Sniffing Tools for Network Monitoring and Analysis 2012
[6] 웹사이트 What is a Packet Sniffer? https://www.kaspersk[...] 2021-12-26
[7] 웹사이트 What is Network Packet Capture? https://www.endace.c[...] 2023-04-05
[8] 웹사이트 Definition of network analyzer https://www.pcmag.co[...] 2021-12-26
[9] 서적 Law of Internet Security and Privacy Aspen Publishers
[10] 간행물 Packet analysis for network forensics: A comprehensive survey 2020
[11] 서적 MCTS 70-642 Cert Guide: Windows Server 2008 Network Infrastructure, Configuring https://books.google[...] Pearson Education 2023-03-23
[12] 웹사이트 Network Segment Definition http://www.linfo.org[...] 2016-01-14
[13] 웹사이트 Lab Protocol Analyzers https://www.amilabs.[...] 2023-06-30
[14] 웹사이트 Where is Protocol analyzer used? https://prodigytechn[...] 2023-06-30
[15] 문서 この語は、英語のスニッフ(sniff、においなどを嗅ぐ)に由来しており、ネットワークを通過するトラフィックを嗅ぎ取ることから命名されている。「Sniffer」は[[NetScout Systems]](旧:Network General)が1991年5月28日米国で登録商標を取得している。
[16] 서적 Law of Internet Security and Privacy Aspen Publishers


본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com