JD Securtiry Expert

패킷 (Packet) 이란 무엇일까요?

패킷은 패키지(package)와

덩어리를 뜻하는 버킷(bucket)의 합성어로

통신망을 통해 전송하기 쉽도록 데이터를 잘게 나눈 전송 단위입니다.

본래 패킷은 소포를 뜻하는 용어인데

우체국에서 화물을 적당한 덩어리로 나누어 행선지를 표시하여

꼬리표를 붙이는 작업을 데이터 통신에 접목한 용어로 사용하고 있습니다.

즉 패킷은 UDP TCP IP 등 모두가 가지고 있는

데이터 조각이라고 이해하시면 편하십니다.

Ping을 아시나요?

ping google.com
142.251.42.174의 응답: 바이트=32 시간=62ms TTL=116
142.251.42.174의 응답: 바이트=32 시간=62ms TTL=116
142.251.42.174의 응답: 바이트=32 시간=62ms TTL=116
142.251.42.174의 응답: 바이트=32 시간=62ms TTL=116
142.251.42.174에 대한 Ping 통계:
    패킷: 보냄 = 4, 받음 = 4, 손실 = 0 (0% 손실),
왕복 시간 (밀리초):
    최소 = 61ms, 최대 = 65ms, 평균 = 62ms

이렇게 저희는 자신의 컴퓨터에서 간단하게 cmd 혹은 터미널을 통해

구글에 ping 요청을 보내서 네트워크가 잘 이어지고 있는지

패킷을 보내고 받음으로써 검증합니다.

이처럼 패킷은 네트워크 간 주고받는 "무언가"입니다.

네트워크에서 그만큼 패킷이라는 개념은 생각보다 매우 중요합니다.

인터넷에서 하는 모든 작업에는 패킷이 사용되기 때문이죠,

인터넷에선 사용자 간 데이터를 주고받을 때 데이터는 패킷으로 전달됩니다.

패킷의 구조

그렇다면 패킷은 어떻게 생겼을까요?

네트워크 패킷은 헤더(Header), 페이로드(Payload), 트레일러(Trailer) 세 부분으로 구성됩니다.

헤더는

패킷 길이, 프로토콜, 보낸/받는 사람의 IP 주소 등이

포함되며 UDP TCP IP 등 모두가 가지고 있는

데이터의 머리, 즉 중요한 게 담겨있는

데이터의 가장 앞부분이라고이라고 이해하시면 편하십니다.

헤더에는 주로 데이터 형식에 대한 정보나 시간 데이터, 주소 데이터로 구성되어 있고

데이터의 종류에 따라 정리되기 쉽게 규격화해 놓은 데이터입니다.

오늘은 패킷이 이런 거구나 하고 대략적으로만

알고 넘어가 주시면 좋을 것 같습니다.

패킷의 내용은 데이터로 전송될 때

인캡슐레이션과 디캡슐레이션을 하여전송하게 되는데요

인캡슐 레이션과 디캡슐레이션에 대한 내용이 궁금하시다면

아래 링크를 통해 확인해 주세요

https://jdcyber.tistory.com/28

오늘의 정리

IP가 들어간 데이터는 패킷이라고 부르고 이 패킷은 데이터를 잘게 나눠 소분한 것이다.

패킷의 헤더에는 IP 주소 등 중요한 정보가 담겨있다.

위 정보들을 데이터로 교환할 때는 인캡슐레이션 디캡슐레이션을 한다.

궁금하신 사항은 댓글에 남겨주세요

댓글에 남겨주신 내용은

추후 정리해서 올려드리겠습니다

구독 신청하시면 업로드 시 알려드릴게요!

-

조금이라도 도움이 되셨다면

공감&댓글 부탁드리겠습니다

감사합니다!

와이어샤크 WhireShark 란?

초창기에는 ' Ethereal '이라는 이름으로 나왔다가

이후 상표 문제로 ' Wireshark '로 바뀌게 되었습니다.

와이어 샤크는 네트워크 패킷을 캡처하고 분석하는 패킷을 분석하는 프로그램입니다.

와이어 샤크는 현재 통신 중인, 실제 흘러가고 있는 데이터,

패킷을 캡처하여 데이터의 흐름을 살펴볼때 사용하는 분석 프로그램입니다.

즉, 내가 보내거나 받는 데이터가 케이블을 타고 흘러갈 때

그 내용을 찍어서 분석하고 알아본다는 이야기입니다.

패킷이 무엇일까요?

아래 글을 읽어주세요!

https://jdcyber.tistory.com/12

주로 네트워크 문제를 조사하거나

좀처럼 원인을 찾기 힘든 네트워크에 대한 트러블

(장애)을 해결할 때 사용됩니다.

강력하고 쉬운 사용법 때문에 해킹뿐만 아니라

보안 취약점 분석, 보안 컨설팅, 개인정보 영향 평가 등

여러 분야에서 폭넓게 사용되고 있으며 특히 교육용으로 널리 사용되고 있습니다.

주요기능

응? 뭐라고요?

 

PC로 홈페이지를 보거나 이메일을 보낼 때에

전송되는 데이터는 실제로는 LAN 케이블을 통해 전기 신호 형태로 바뀌어 흐르게 됩니다.

와이어 샤크 (LAN 분석기)는 LAN 케이블을 지나는

전기 신호를 데이터를 패킷 형태로 가져와서 패킷의 의미를 조사할 수 있기 때문에,

나의 컴퓨터와 네트워크 사이 케이블 속을 지나다니는 내용/정보 들을 살펴보고 직접 확인해 볼 수 있습니다.

LAN 케이블을 지나는 전기신호를 데이터 형태로 가져오는 것을 패킷 캡처라고 하고,

가져온 패킷의 의미를 조사하는 것은 덤프 분석이라고 합니다

와이어샤크 설치

아래 사이트에 접속하신 후

stable release에서 운영체제에 맞는 것을 설치합니다.

https://www.wireshark.org/download.html

다음 쭉 눌러서 설치하시는데

아래 체크박스는 꼭 해주세요

pcap를 이용해서 패킷을 캡쳐하기 때문에 반드시 설치해야합니다.

(WinPcap도 설치해주세요)

와이어 샤크의 필터 검색 방법 및 세부 내용은

다음 글에서 연습해 보도록 하겠습니다.

https://jdcyber.tistory.com/9

궁금하신 사항은 댓글에 남겨주세요

댓글에 남겨주신 내용은

추후 정리해서 올려드리겠습니다

구독 신청하시면 업로드 시 알려드릴게요!

-

조금이라도 도움이 되셨다면

공감&댓글 부탁드리겠습니다

감사합니다!

와이어샤크란?

오늘은 와이어샤크 사용법에 대해 간단히 알아보겠습니다.

그전에 혹시 와이어샤크에 대해 모르시는 분들은

와이어샤크의 개념과 설치법도 함께 적어놨으니

아래 글을 읽어보고 와주시길 바랍니다

https://jdcyber.tistory.com/10

와이어 샤크 사용법

와이어 샤크를 실행하시면 아래와 같은 창이 뜨실겁니다.

Capture라고 쓰여있는 곳 아래는

제 화면과 다르게 뜨실 수도 있는데

저곳에 떠있는 내용들은 와이어샤크가

자동으로 찾아준 현재 사용하고 계시는 네트워크를 표시하고 있는 것이니

저와 다르시더라도 걱정하지 마시기 바랍니다.

저곳에서 살펴보고 싶은 네트워크를 선택하고

상단 왼쪽에 상어 지느러미를 클릭해 주세요

(이러한 행위를 와이어샤크에서 네트워크를 캡처했다고 부릅니다.)

캡처 (Capture)

와이어샤크에서 네트워크를 캡처하기 시작하면

해당 네트워크에서 오고 가는

패킷들이 보이기 시작합니다.

패킷이 아직 뭔지 모르신다면

아래 글을 읽어주세요!

https://jdcyber.tistory.com/12?category=1076407

위 사진이 현재 컴퓨터가 네트워크를 통해 쪼개진 데이터 즉 패킷을 주고받는 모습입니다.

(아래 메뉴 및 카테고리 설명은 중요한 내용이 아닙니다)

상단에 메뉴를 먼저 살펴보겠습니다.

그 아래 있는 카테고리를 한번 살펴보도록 하겠습니다

필터 (Filter)

와이어 샤크를 실행하고 배우는 이유는

어떠한 네트워크 상의 문제나 특정 데이터의 흐름을 찾아보고 싶어서 실행한 거잖아요?

그런데 네트워크 상의 모든 내용을 캡처하면 내가 보고 싶은 데이터를 보기가 어려울 수 있습니다.

이때 필요한 기능이 바로 필터라는 것입니다.

패킷 필터를 적용하는 것을 패킷 필터링이라고 부릅니다

(어떻게 부르던 자유니 외우시거나 할 필요는 없습니다)

캡처 방법에는 2가지가 있는데,

원하는 내용만 처음부터 캡처하는 캡처 필터 (Capture Filter)와

전체를 캡처하고 필터를 걸어 검색하는 디스플레이 캡처 (Display Filter)가 있습니다.

우리는 캡처 필터는 사용하지 않겠습니다.

위 방법들이 크게 중요하지도 않고

디스플레이 캡처만 알고 계셔도 됩니다

이런 방법이 있구나 알고만 넘어갑시다.

프로토콜 (Protocol) 별 필터 검색

프로토콜로 데이터를 검색하는 방법입니다.

논리 연산자 필터 검색

쉽게 알려주세요

지금 우리가 원하는 건 지금 위의 내용이 아니라

데이터의 흐름을 직접 검색해서 보고 싶어요

그래서 어떻게 하는건가요??

정말 쉬운 예시 하나로 같이 살펴볼게요!

CMD 프롬프트 혹은 터미널 Terminal에서

nslookup www.naver.com를 한번 쳐봅시다

아이피가 23.35.221.113이네요?

(아이피는 계속 달라지니 직접 nslookup 해보시고 시도해 주세요)

아이피를 알아냈으니 와이어샤크로 검색해 봅시다

위에 논리연산자라고 적어놓은 것 중에 IP 필터라고 있죠?

그걸 앞에 입력하고 위와 같이 입력해 봅시다.

ip.addr == 23.35.221.113

(nslookup에 나온 ip를 치시면 됩니다)

필터를 검색하면 해당 아이피와 통신했던 데이터 패킷만 출력되게 됩니다.

저희가 검색한 패킷에서 Three Way Hand Shake을

한번 찾아볼까요?

3-Way Hand Shake가 뭔지 모르신다면

아래 글을 읽어봐주세요!

(작성 중)

위 사진을 보면 오른쪽에 SYN과 ACK를 주고받으며

3-way hand shake를 수행하여 신뢰관계를 맺은 데이터의 흐름을 확인할 수 있습니다.

와이어샤크는 얼마나 필터 검색을 잘 하느냐에 따라 전문가와 비전문가로 결정됩니다.

많은 데이터 검색을 해보시고 연산자를 조합해서 원하는 데이터를 검색해낼 수 있다면

성공적인 와이어샤크 전문가가 되실 것입니다.

궁금하신 사항은 댓글에 남겨주세요

댓글에 남겨주신 내용은

추후 정리해서 올려드리겠습니다

구독 신청하시면 업로드 시 알려드릴게요!

-

조금이라도 도움이 되셨다면

공감&댓글 부탁드리겠습니다

감사합니다!