패킷 분석기

패킷 분석기, 패킷 애널라이저(packet analyzer/network analyzer), 패킷 스니퍼(packet sniffer/network sniffer)^{[1][2][3][4][5][6][7][8]}는 컴퓨터 프로그램 또는 패킷 캡처 어플라이언스와 같은 컴퓨터 하드웨어로, 컴퓨터 망 또는 네트워크의 일부를 통과하는 트래픽을 분석하고 기록할 수 있다.^[9] 패킷 캡처는 트래픽을 가로채서 기록하는 과정이다. 데이터 스트림이 네트워크를 가로질러 흐를 때, 분석기는 각 패킷을 캡처하고, 필요한 경우 패킷의 원시 데이터를 디코딩하여 패킷의 다양한 필드 값을 표시하고, 해당 RFC 또는 기타 사양에 따라 내용을 분석한다.

와이어샤크 네트워크 프로토콜 분석기 스크린샷

무선 네트워크에서 트래픽을 가로채는 데 사용되는 패킷 분석기는 무선 분석기로 알려져 있으며, 특히 와이파이 네트워크용으로 설계된 것은 와이파이 분석기이다.^[a] 패킷 분석기는 네트워크 분석기 또는 프로토콜 분석기라고도 할 수 있지만, 이 용어들은 다른 의미를 가질 수도 있다. 프로토콜 분석기는 기술적으로 패킷 분석기 및 스니퍼를 포함하는 더 광범위하고 일반적인 클래스일 수 있다.^[10] 그러나 이 용어들은 자주 상호 교환적으로 사용된다.^[11]

기능

이더넷, 토큰링, FDDI와 같은 유선 공유 매체 네트워크에서는 네트워크 구조(허브 또는 스위치)에 따라^[12][b] 단일 컴퓨터에서 네트워크의 모든 트래픽을 캡처할 수 있다. 최신 네트워크에서는 포트 미러링을 사용하는 네트워크 스위치를 통해 트래픽을 캡처할 수 있는데, 이는 스위치가 포트 미러링을 지원하는 경우 지정된 스위치 포트를 통과하는 모든 패킷을 다른 포트로 미러링한다. 네트워크 탭은 탭이 높은 트래픽 부하 중 패킷을 떨어뜨릴 가능성이 적으므로 모니터링 포트보다 훨씬 더 신뢰할 수 있는 솔루션이다.

무선랜에서는 한 번에 한 채널에서 트래픽을 캡처하거나 여러 어댑터를 사용하여 동시에 여러 채널에서 트래픽을 캡처할 수 있다.

유선 브로드캐스트 및 무선 랜에서 다른 기기 간의 유니캐스트 트래픽을 캡처하려면 트래픽을 캡처하는 네트워크 어댑터가 무차별 모드에 있어야 한다. 무선 랜에서는 어댑터가 무차별 모드에 있더라도 어댑터가 구성된 서비스 세트용이 아닌 패킷은 일반적으로 무시된다. 이러한 패킷을 보려면 어댑터가 모니터 모드에 있어야 한다. 패킷 분석기가 이미 모니터링 중인 멀티캐스트 그룹에 대한 멀티캐스트 트래픽이나 브로드캐스트 트래픽을 캡처하는 데 특별한 조항은 필요하지 않다.

트래픽이 캡처될 때 패킷의 전체 내용이나 헤더만 기록된다. 헤더만 기록하면 저장 공간 요구 사항이 줄어들고 일부 개인 정보 보호 법적 문제를 피할 수 있지만, 문제를 진단하기에 충분한 정보를 제공하는 경우가 많다.

캡처된 정보는 원시 디지털 형식에서 사람이 읽을 수 있는 형식으로 디코딩되어 엔지니어가 교환된 정보를 검토할 수 있도록 한다. 프로토콜 분석기는 데이터를 표시하고 분석하는 능력에서 다양하다.

일부 프로토콜 분석기는 트래픽을 생성할 수도 있다. 이는 프로토콜 테스터 역할을 할 수 있다. 이러한 테스터는 기능 테스트를 위해 프로토콜에 맞는 트래픽을 생성하며, 오류 처리 능력을 테스트하기 위해 의도적으로 오류를 도입할 수도 있다.^[13][14]

프로토콜 분석기는 또한 프로브 형식으로 또는 점점 더 흔하게 디스크 어레이와 결합된 하드웨어 기반일 수도 있다. 이러한 장치는 패킷 또는 패킷 헤더를 디스크 어레이에 기록한다.

용도

패킷 분석기는 다음을 수행할 수 있다.

• 네트워크 문제 분석
• 네트워크 침입 시도 탐지
• 내부 및 외부 사용자에 의한 네트워크 오용 탐지
• 모든 경계 및 엔드포인트 트래픽 로깅을 통한 규제 준수 문서화
• 네트워크 침입을 위한 정보 확보
• 운영 체제와 같은 소프트웨어의 데이터 수집 및 공유 식별 ( 프라이버시, 제어 및 보안 강화 목적)
• 악용된 시스템을 격리하기 위한 정보 수집 지원
• WAN 대역폭 활용 모니터링
• 네트워크 사용 모니터링 (내부 및 외부 사용자 및 시스템 포함)
• 전송 중 데이터 모니터링
• WAN 및 엔드포인트 보안 상태 모니터링
• 네트워크 통계 수집 및 보고
• 네트워크 트래픽에서 의심스러운 콘텐츠 식별
• 애플리케이션에서 네트워크 데이터를 모니터링하여 성능 문제 해결
• 일상적인 네트워크 모니터링 및 관리의 주요 데이터 소스 역할
• 다른 네트워크 사용자 감시 및 로그인 정보 또는 사용자 쿠키와 같은 민감한 정보 수집 (사용 중일 수 있는 콘텐츠 암호화 방법에 따라 다름)
• 네트워크를 통해 사용되는 독점 프로토콜 역공학
• 클라이언트-서버 통신 디버깅
• 네트워크 프로토콜 구현 디버깅
• 추가, 이동 및 변경 확인
• 내부 제어 시스템 효율성 확인 (방화벽, 접근 제어, 웹 필터, 스팸 필터, 프록시)

패킷 캡처는 법집행기관의 영장을 이행하기 위해 개인이 생성하는 모든 네트워크 트래픽을 도청하는 데 사용될 수 있다. 미국 내 인터넷 서비스 제공자 및 VoIP 제공자는 통신 지원 법 집행법 규정을 준수해야 한다. 패킷 캡처 및 저장을 사용하여 통신 사업자는 법적으로 요구되는 대상 네트워크 트래픽에 대한 안전하고 별도의 액세스를 제공하고 동일한 장치를 내부 보안 목적으로 사용할 수 있다. 영장 없이 통신사 시스템에서 데이터를 수집하는 것은 가로채기에 관한 법률로 인해 불법이다. 단대단 암호화를 사용하면 통신 사업자 및 법률 당국으로부터 통신을 기밀로 유지할 수 있다.

주목할 만한 패킷 분석기

더 완전한 목록의 경우 패킷 분석기 비교 문서를 참고하십시오.

• Allegro 네트워크 멀티미터
• 캡사 네트워크 분석기
• 찰스 웹 디버깅 프록시
• 카니보어 (소프트웨어)
• CommView
• 디스니프
• 엔데이스프로브 패킷 캡처 플랫폼
• ettercap
• 피들러
• 키스멧
• Lanmeter
• 마이크로소프트 네트워크 모니터
• NarusInsight
• 넷스카우트 시스템 nGenius Infinistream
• ngrep, 네트워크 Grep
• OmniPeek, Savvius의 Omnipliance
• SkyGrabber
• 스니퍼
• snoop
• Tcpdump
• 옵저버 분석기
• 와이어샤크 (이전에는 Ethereal로 알려짐)
• Xplico 오픈 소스 네트워크 포렌식 분석 도구

같이 보기

• 버스 분석기
• 논리 분석기
• 네트워크 감지기
• Pcap
• 신호정보
• 트래픽 생성 모델

내용주

1. 와이파이 분석기라는 용어는 무선 사이트 조사용 장비 및 소프트웨어를 설명하는 데에도 사용된다.
2. 일부 방법은 스위치에 의한 트래픽 제한을 피하여 네트워크의 다른 시스템에서 트래픽에 액세스한다(예: ARP 스푸핑