패킷 스니핑은 네트워크 트래픽의 세부 정보를 디코딩하여 분석하는 심층 유형의 네트워크 분석입니다. 네트워크 관리자가 보유해야 하는 가장 중요한 문제 해결 기술 중 하나입니다. 네트워크 트래픽을 분석하는 것은 복잡한 작업입니다. 신뢰할 수 없는 네트워크에 대처하기 위해 데이터는 하나의 연속 스트림으로 전송되지 않습니다. 대신 개별적으로 전송되는 조각으로 잘립니다. 네트워크 트래픽을 분석하려면 이러한 데이터 패킷을 수집하고 의미 있는 것으로 재조립할 수 있어야 합니다. 이것은 패킷 스니퍼와 네트워크 분석기가 생성되도록 수동으로 수행할 수 있는 것이 아닙니다. 오늘은 최고의 패킷 스니퍼 및 네트워크 분석기 7가지를 살펴보겠습니다.
패킷 스니퍼가 무엇인지에 대한 배경 정보를 제공함으로써 오늘의 여정을 시작하겠습니다. 패킷 스니퍼와 네트워크 분석기 간의 차이점이 무엇인지 파악하려고 노력할 것입니다. 그런 다음 주제의 핵심으로 이동하여 7가지 선택 항목을 나열할 뿐만 아니라 간략하게 검토합니다. 다양한 운영 체제에서 실행되는 GUI 도구와 명령줄 유틸리티의 조합이 있습니다.
목차
패킷 스니퍼 및 네트워크 분석기에 대한 몇 마디
일단 뭔가를 정하는 것부터 시작합시다. 이 기사에서는 패킷 스니퍼와 네트워크 분석기가 하나라고 가정합니다. 어떤 사람들은 그것들이 다르고 그것이 옳을 수도 있다고 주장할 것입니다. 그러나 이 기사의 맥락에서 우리는 그것들을 함께 살펴볼 것입니다. 주로 그들이 다르게 작동할 수 있지만 실제로는 동일한 목적을 수행하기 때문입니다.
패킷 스니퍼는 일반적으로 세 가지 작업을 수행합니다. 첫째, 네트워크 인터페이스에 들어오거나 나갈 때 모든 데이터 패킷을 캡처합니다. 둘째, 선택적으로 필터를 적용하여 일부 패킷을 무시하고 나머지는 디스크에 저장합니다. 그런 다음 캡처된 데이터에 대한 분석을 수행합니다. 패킷 스니퍼의 마지막 기능이 가장 다릅니다.
데이터 패킷의 실제 캡처를 위해 대부분의 도구는 외부 모듈을 사용합니다. 가장 일반적인 것은 Unix/Linux 시스템의 libpcap과 Windows의 Winpcap입니다. 일반적으로 다른 도구 설치 프로그램에 의해 설치되므로 일반적으로 이러한 도구를 설치할 필요가 없습니다.
알아야 할 또 다른 중요한 사실은 패킷 스니퍼(최고의 패킷 스니퍼라 할지라도)가 모든 작업을 수행하지는 않는다는 것입니다. 그것들은 단지 도구일 뿐입니다. 스스로 못을 박지 않는 망치와 같다. 따라서 각 도구를 가장 잘 사용하는 방법을 배워야 합니다. 패킷 스니퍼는 트래픽을 볼 수 있도록 하지만 해당 정보를 사용하여 문제를 찾는 것은 사용자의 몫입니다. 패킷 캡처 도구 사용에 대한 전체 책이 있습니다. 나 자신도 한때 이 주제에 대해 3일 코스를 수강한 적이 있습니다. 당신을 실망시키려는 것이 아닙니다. 나는 단지 당신의 기대치를 정확히 맞추려고 노력할 뿐입니다.
패킷 스니퍼를 사용하는 방법
설명했듯이 패킷 스니퍼는 트래픽을 캡처하고 분석합니다. 따라서 특정 문제를 해결하려는 경우(일반적으로 이러한 도구를 사용하는 이유) 먼저 캡처한 트래픽이 올바른 트래픽인지 확인해야 합니다. 모든 사용자가 특정 응용 프로그램이 느리다고 불평하는 상황을 상상해 보십시오. 이러한 유형의 상황에서 가장 좋은 방법은 응용 프로그램 서버의 네트워크 인터페이스에서 트래픽을 캡처하는 것입니다. 그러면 요청이 서버에 정상적으로 도착하지만 서버가 응답을 보내는 데 시간이 오래 걸린다는 것을 알게 될 것입니다. 이는 서버 문제를 나타냅니다.
반면에 서버가 적시에 응답하는 것을 보면 문제가 클라이언트와 서버 사이의 네트워크 어딘가에 있음을 의미할 수 있습니다. 그런 다음 패킷 스니퍼를 클라이언트에 한 홉 더 가깝게 이동하고 응답이 지연되는지 확인합니다. 그렇지 않은 경우 더 많은 홉을 클라이언트에 더 가깝게 이동하는 식입니다. 결국 지연이 발생하는 지점에 도달하게 됩니다. 문제의 위치를 파악했다면 문제 해결에 한 걸음 더 다가간 것입니다.
이제 특정 지점에서 패킷을 캡처하는 방법이 궁금할 것입니다. 매우 간단합니다. 포트 미러링 또는 복제라고 하는 대부분의 네트워크 스위치 기능을 활용합니다. 이것은 특정 스위치 포트에서 들어오고 나가는 모든 트래픽을 동일한 스위치의 다른 포트로 복제하는 구성 옵션입니다. 서버가 스위치의 포트 15에 연결되어 있고 동일한 스위치의 포트 23을 사용할 수 있다고 가정해 보겠습니다. 패킷 스니퍼를 포트 23에 연결하고 포트 15에서 포트 23으로 모든 트래픽을 복제하도록 스위치를 구성합니다. 결과적으로 포트 23에서 얻는 것은 포트 15를 통과하는 것의 미러 이미지(따라서 포트 미러링 이름)입니다.
최고의 패킷 스니퍼 및 네트워크 분석기
이제 패킷 스니퍼와 네트워크 분석기가 무엇인지 더 잘 이해했으므로 우리가 찾을 수 있는 7가지 최선을 살펴보겠습니다. 다양한 운영 체제에서 실행되는 도구는 물론 명령줄 및 GUI 도구를 혼합하여 포함하려고 했습니다. 결국 모든 네트워크 관리자가 Windows를 실행하는 것은 아닙니다.
1. SolarWinds 심층 패킷 검사 및 분석 도구(무료 평가판)
SolarWinds는 많은 유용한 무료 도구와 최신 네트워크 관리 소프트웨어로 잘 알려져 있습니다. 도구 중 하나는 심층 패킷 검사 및 분석 도구입니다. 이것은 SolarWinds의 주력 제품인 Network Performance Monitor의 구성 요소로 제공됩니다. 그 작동은 유사한 목적을 제공하지만 더 “전통적인” 패킷 스니퍼와 상당히 다릅니다.
이 도구의 기능을 요약하면 네트워크 대기 시간의 원인을 찾아 해결하고, 영향을 받는 응용 프로그램을 식별하고, 속도 저하가 네트워크 또는 응용 프로그램에 의해 발생하는지 확인하는 데 도움이 됩니다. 소프트웨어는 또한 심층 패킷 검사 기술을 사용하여 1200개 이상의 애플리케이션에 대한 응답 시간을 계산합니다. 또한 범주, 비즈니스 대 소셜, 위험 수준별로 네트워크 트래픽을 분류하여 필터링하거나 제거해야 할 수 있는 비비즈니스 트래픽을 식별하는 데 도움이 됩니다.
또한 SolarWinds 심층 패킷 검사 및 분석 도구가 네트워크 성능 모니터의 일부로 제공된다는 사실을 잊지 마십시오. 흔히 NPM이라고 하는 NPM은 전체 기사가 이에 전념할 수 있을 정도로 많은 구성 요소를 가진 인상적인 소프트웨어입니다. 기본적으로 SNMP 및 심층 패킷 검사와 같은 최고의 기술을 결합하여 네트워크 상태에 대한 최대한 많은 정보를 제공하는 완벽한 네트워크 모니터링 솔루션입니다. 합리적인 가격의 이 도구는 30일 무료 평가판과 함께 제공되므로 구매하기 전에 필요에 맞는지 확인할 수 있습니다.
공식 다운로드 링크: https://www.solarwinds.com/topics/deep-packet-inspection
2. TCP 덤프
Tcpdump 아마도 원래 패킷 스니퍼 일 것입니다. 1987년에 만들어졌습니다. 그 이후로 유지 관리 및 개선되었지만 최소한 사용 방식은 본질적으로 변경되지 않았습니다. 거의 모든 유닉스 계열 운영 체제에 사전 설치되어 있으며 패킷 캡처를 위한 빠른 도구가 필요할 때 사실상의 표준이 되었습니다. Tcpdump는 실제 패킷 캡처를 위해 libpcap 라이브러리를 사용합니다.
기본적으로. tcpdump는 지정된 인터페이스의 모든 트래픽을 캡처하고 이를 화면에 “덤프”(따라서 이름)합니다. 덤프는 캡처 파일로 파이프되어 나중에 사용 가능한 여러 도구 중 하나 또는 조합을 사용하여 분석할 수도 있습니다. tcpdump의 강점과 유용성의 핵심은 모든 종류의 필터를 적용하고 그 출력을 추가 필터링을 위해 grep(또 다른 일반적인 Unix 명령줄 유틸리티)에 파이프할 수 있다는 것입니다. tcpdump, grep 및 명령 셸에 대한 지식이 있는 사람은 모든 디버깅 작업에 적합한 트래픽을 정확하게 캡처할 수 있습니다.
3. 윈덤
윈덤 본질적으로 Windows 플랫폼에 대한 tcpdump의 포트입니다. 따라서 거의 동일한 방식으로 작동합니다. 한 플랫폼에서 다른 플랫폼으로 성공적인 유틸리티 프로그램의 포트를 보는 것은 드문 일이 아닙니다. Windump는 Windows 응용 프로그램이지만 멋진 GUI를 기대하지 마십시오. 이것은 명령줄 전용 유틸리티입니다. 따라서 Windump를 사용하는 것은 기본적으로 Unix를 사용하는 것과 동일합니다. 명령줄 옵션은 동일하고 결과도 거의 동일합니다. Windump의 출력은 나중에 타사 도구를 사용하여 분석할 수 있도록 파일에 저장할 수도 있습니다.
tcpdump와의 주요 차이점 중 하나는 Windump가 Windows에 내장되어 있지 않다는 것입니다. 에서 다운로드해야 합니다. 윈덤 웹사이트. 소프트웨어는 실행 파일로 제공되며 설치가 필요하지 않습니다. 그러나 tcpdump가 libpcap 라이브러리를 사용하는 것처럼 Windump는 대부분의 Windows 라이브러리와 마찬가지로 별도로 다운로드하여 설치해야 하는 Winpcap을 사용합니다.
4. 와이어샤크
와이어샤크 패킷 스니퍼의 참조입니다. 사실상의 표준이 되었으며 대부분의 다른 도구에서 이를 에뮬레이트하는 경향이 있습니다. 이 도구는 트래픽을 캡처할 뿐만 아니라 매우 강력한 분석 기능도 갖추고 있습니다. 너무 강력하여 많은 관리자가 tcpdump 또는 Windump를 사용하여 파일에 대한 트래픽을 캡처한 다음 분석을 위해 파일을 Wireshark에 로드합니다. 이것은 Wireshark를 사용하는 일반적인 방법으로 시작 시 기존 pcap 파일을 열거나 트래픽 캡처를 시작하라는 메시지가 표시됩니다. Wireshark의 또 다른 장점은 관심 있는 데이터에 정확히 집중할 수 있도록 하는 모든 필터가 통합되어 있다는 것입니다.
솔직히 말해서, 이 도구는 학습 곡선이 가파르지만 배울 가치가 있습니다. 그것은 몇 번이고 귀중한 것임을 증명할 것입니다. 그리고 일단 배우면 거의 모든 운영 체제에 이식되었으며 무료이며 오픈 소스이므로 어디에서나 사용할 수 있습니다.
5. 샤크
티샤크 일종의 tcpdump와 Wireshark의 교차점입니다. 그들은 최고의 패킷 스니퍼 중 일부이기 때문에 이것은 훌륭한 일입니다. Tshark는 명령줄 전용 도구라는 점에서 tcpdump와 비슷합니다. 그러나 트래픽을 캡처할 뿐만 아니라 분석한다는 점에서도 Wireshark와 비슷합니다. Tshark는 Wireshark와 같은 개발자입니다. 이것은 Wireshark의 명령줄 버전입니다. Wireshark와 동일한 유형의 필터링을 사용하므로 분석에 필요한 트래픽만 빠르게 분리할 수 있습니다.
하지만 누군가가 Wireshark의 명령줄 버전을 원하는 이유는 무엇입니까? 왜 Wireshark를 사용하지 않습니까? 그래픽 인터페이스를 사용하여 사용하고 배우기 더 간단해야 합니까? 주된 이유는 비 GUI 서버에서 사용할 수 있기 때문입니다.
6. 네트워크 마이너
네트워크 마이너 진정한 패킷 스니퍼라기보다 포렌식 도구에 가깝습니다. 네트워크 광부는 TCP 스트림을 따라 전체 대화를 재구성합니다. 그것은 진정으로 하나의 강력한 도구입니다. Network Miner가 마법을 사용할 수 있도록 일부 캡처 파일을 가져오는 오프라인 모드에서 작동할 수 있습니다. 이것은 소프트웨어가 Windows에서만 실행되기 때문에 유용한 기능입니다. Linux에서 tcpdump를 사용하여 일부 트래픽을 캡처하고 Windows에서 Network Miner를 사용하여 분석할 수 있습니다.
Network Miner는 무료 버전으로 제공되지만 IP 기반 지리적 위치 및 스크립팅과 같은 고급 기능을 사용하려면 Profesional 라이선스를 구입해야 합니다. 전문가 버전의 또 다른 고급 기능은 VoIP 통화를 디코딩하고 재생할 수 있다는 것입니다.
7. 피들러(HTTP)
지식이 풍부한 독자 중 일부는 Fiddler가 패킷 스니퍼도 아니고 네트워크 분석기도 아니라고 주장할 수 있습니다. 그들은 아마도 옳았을 것이지만 우리는 이 도구가 많은 상황에서 매우 유용하기 때문에 우리 목록에 이 도구를 포함시켜야 한다고 생각했습니다. 바이올리니스트 실제로 트래픽은 캡처하지만 트래픽은 캡처하지 않습니다. HTTP 트래픽에서만 작동합니다. 오늘날 많은 애플리케이션이 웹 기반이거나 백그라운드에서 HTTP 프로토콜을 사용한다는 점을 고려할 때 한계에도 불구하고 얼마나 가치가 있는지 상상할 수 있습니다. Fiddler는 브라우저 트래픽뿐만 아니라 거의 모든 HTTP를 캡처하므로 문제 해결에 매우 유용합니다.
예를 들어 Wireshark와 같은 진정한 패킷 스니퍼보다 Fiddler와 같은 도구의 장점은 Fiddler가 HTTP 트래픽을 “이해”하도록 구축되었다는 것입니다. 예를 들어 쿠키와 인증서를 검색합니다. 또한 HTTP 기반 응용 프로그램에서 오는 실제 데이터도 찾습니다. Fiddler는 무료이며 OS X 및 Linux(Mono 프레임워크 사용)용 베타 빌드를 다운로드할 수 있지만 Windows에서만 사용할 수 있습니다.
결론
이와 같은 목록을 게시할 때 어떤 것이 가장 좋은지 묻는 경우가 많습니다. 이 특정한 상황에서 내가 그 질문을 받는다면 나는 “모두”라고 대답해야 할 것입니다. 그들은 모두 무료 도구이며 모두 가치가 있습니다. 그것들을 모두 가까이에 두고 각각에 익숙해지는 것이 어떻습니까? 그것들을 사용해야 하는 상황에 이르면 훨씬 쉽고 효율적일 것입니다. 명령줄 도구조차도 엄청난 가치를 가지고 있습니다. 예를 들어 스크립트를 작성하고 예약할 수 있습니다. 매일 오전 2시에 문제가 발생한다고 상상해보십시오. 1시 50분에서 2시 10분 사이에 Windump의 tcpdump를 실행하도록 작업을 예약하고 다음 날 아침 캡처 파일을 분석할 수 있습니다. 밤새도록 있을 필요가 없습니다.