패킷 스니핑은 심층 네트워크입니다.네트워크 트래픽의 세부 사항을 분석하여 분석하는 분석. 네트워크 관리자가 보유해야하는 가장 중요한 문제 해결 기술 중 하나입니다. 네트워크 트래픽 분석은 복잡한 작업입니다. 신뢰할 수없는 네트워크에 대처하기 위해 하나의 연속 스트림으로 데이터가 전송되지 않습니다. 대신 개별적으로 보낸 조각으로 잘립니다. 네트워크 트래픽을 분석하려면 이러한 데이터 패킷을 수집하여 의미있는 것으로 재 조립할 수 있어야합니다. 이것은 패킷 스니퍼와 네트워크 분석기가 만들어 지도록 수동으로 할 수있는 것이 아닙니다. 현재 우리는 7 가지 최고의 패킷 스니퍼 및 네트워크 분석기를 살펴보고 있습니다.
우리는 당신에게 오늘 여행을 시작합니다패킷 스니퍼가 무엇인지에 대한 배경 정보. 우리는 패킷 스니퍼와 네트워크 분석기 사이의 차이점 또는 차이가 있는지 파악하려고 노력할 것입니다. 그런 다음 주제의 핵심으로 진행하여 7 가지 추천 항목을 모두 나열하고 간단히 검토합니다. 우리에게 필요한 것은 다양한 운영 체제에서 실행되는 GUI 도구와 명령 줄 유틸리티의 조합입니다.
패킷 스니퍼 및 네트워크 분석기에 대한 몇 마디
무엇인가를 시작하여 시작하겠습니다. 이 기사에서는 패킷 스니퍼와 네트워크 분석기가 동일하다고 가정합니다. 어떤 사람들은 그들이 다르다고 주장 할 것이고 그들은 옳을 수도 있습니다. 그러나이 기사의 맥락에서 우리는 그것들이 서로 다르게 작동 할지라도 (그러나 실제로 작동합니까?) 동일한 목적을 달성하기 때문에 함께 살펴볼 것입니다.
패킷 스니퍼는 일반적으로 세 가지 작업을 수행합니다. 먼저 네트워크 인터페이스를 시작하거나 종료 할 때 모든 데이터 패킷을 캡처합니다. 둘째, 선택적으로 필터를 적용하여 일부 패킷을 무시하고 다른 패킷을 디스크에 저장합니다. 그런 다음 캡처 된 데이터를 분석합니다. 패킷 스니퍼의 마지막 기능에서 가장 큰 차이가 있습니다.
데이터 패킷의 실제 캡처를 위해 대부분도구는 외부 모듈을 사용합니다. 가장 일반적인 것은 Unix / Linux 시스템의 libpcap과 Windows의 Winpcap입니다. 일반적으로 이러한 도구는 일반적으로 다른 도구 설치 프로그램에 의해 설치되므로 이러한 도구를 설치할 필요가 없습니다.
알아야 할 또 다른 중요한 것은스니퍼는 심지어 최고의 스니퍼도 모든 것을 해주지는 않습니다. 그들은 단지 도구 일뿐입니다. 그 자체로는 손톱을 움직이지 않는 망치와 같습니다. 따라서 각 도구를 가장 잘 사용하는 방법을 배워야합니다. 패킷 스니퍼는 트래픽을 볼 수 있도록하지만 해당 정보를 사용하여 문제를 찾는 것은 사용자의 책임입니다. 패킷 캡처 도구 사용에 대한 전체 책이 있습니다. 나 자신도 한 번 주제에 대해 3 일 과정을 밟았다. 나는 당신을 낙담 시키려고하지 않습니다. 나는 당신의 기대를 바로 잡으려고 노력하고 있습니다.
패킷 스니퍼를 사용하는 방법
우리가 설명했듯이, 패킷 스니퍼는트래픽을 분석합니다. 따라서 특정 문제 (일반적으로 이러한 도구를 사용하는 이유)를 해결하려는 경우 먼저 캡처하는 트래픽이 올바른 트래픽인지 확인해야합니다. 모든 사용자가 특정 응용 프로그램이 느리다고 불평하는 상황을 상상해보십시오. 이러한 상황에서는 응용 프로그램 서버의 네트워크 인터페이스에서 트래픽을 캡처하는 것이 가장 좋습니다. 그러면 요청이 정상적으로 서버에 도착하지만 서버가 응답을 보내는 데 시간이 오래 걸린다는 것을 알 수 있습니다. 서버 문제를 나타냅니다.
반면에 서버가 표시되면적시에 응답하면 문제가 클라이언트와 서버 사이의 네트워크 어딘가에 있음을 의미 할 수 있습니다. 그런 다음 패킷 스니퍼를 하나의 홉을 클라이언트에 더 가까이 이동시키고 응답이 지연되는지 확인하십시오. 그렇지 않은 경우 클라이언트에 더 많은 홉을 더 가까이 이동시킵니다. 결국 지연이 발생하는 지점에 도달하게됩니다. 문제의 위치를 파악하면 문제를 해결하는 데 한 걸음 더 다가갑니다.
이제 우리가 어떻게 캡처를 관리하는지 궁금 할 것입니다.특정 지점에서 패킷. 매우 간단합니다. 포트 미러링 또는 복제라고하는 대부분의 네트워크 스위치 기능을 활용합니다. 이는 특정 스위치 포트의 모든 트래픽을 동일한 스위치의 다른 포트로 복제하는 구성 옵션입니다. 서버가 스위치의 포트 15에 연결되어 있고 동일한 스위치의 포트 23을 사용할 수 있다고 가정합니다. 패킷 스니퍼를 포트 23에 연결하고 포트 15에서 포트 23으로 모든 트래픽을 복제하도록 스위치를 구성하십시오. 포트 23의 결과는 포트 이미지를 통과하는 포트의 미러 이미지 (따라서 포트 미러링 이름)입니다.
최고의 패킷 스니퍼 및 네트워크 분석기
패킷이 무엇인지 더 잘 이해 했으니스니퍼와 네트워크 분석기는 우리가 찾을 수있는 가장 좋은 7 가지를 살펴 보겠습니다. 우리는 다양한 운영 체제에서 실행되는 도구뿐만 아니라 다양한 명령 줄 및 GUI 도구를 포함하려고 시도했습니다. 결국, 모든 네트워크 관리자가 Windows를 실행하는 것은 아닙니다.
1. SolarWinds 심층 패킷 검사 및 분석 도구 (무료 시험판)
태양풍 많은 유용한 무료 도구로 잘 알려져 있으며최첨단 네트워크 관리 소프트웨어. 그 도구 중 하나를 Deep Packet Inspection and Analysis Tool이라고합니다. SolarWinds의 주력 제품인 네트워크 성능 모니터의 구성 요소로 제공됩니다. 그것의 동작은 유사한 목적을 제공하지만보다 "전통적인"패킷 스니퍼와는 상당히 다르다.
도구의 기능을 요약하려면 : 네트워크 대기 시간의 원인을 찾아서 해결하고 영향을받는 응용 프로그램을 식별하며 네트워크 또는 응용 프로그램에 의해 속도 저하가 발생하는지 확인하는 데 도움이됩니다. 또한이 소프트웨어는 심층 패킷 검사 기술을 사용하여 12 개가 넘는 응용 프로그램의 응답 시간을 계산합니다. 또한 범주, 비즈니스 대 사회 및 위험 수준별로 네트워크 트래픽을 분류하여 필터링하거나 제거해야하는 비 비즈니스 트래픽을 식별 할 수 있습니다.
그리고 SolarWinds Deep Packet을 잊지 마십시오검사 및 분석 도구는 네트워크 성능 모니터의 일부로 제공됩니다. NPM은 종종 전체 기사를 다룰 수있는 구성 요소가 많은 인상적인 소프트웨어입니다. 핵심은 SNMP 및 심층 패킷 검사와 같은 최고의 기술을 결합하여 가능한 한 네트워크 상태에 대한 많은 정보를 제공하는 완벽한 네트워크 모니터링 솔루션입니다. 합리적인 가격으로 제공되는이 도구는 30 일 무료 평가판과 함께 제공되므로 구입하기 전에 실제로 요구에 맞는지 확인할 수 있습니다.
공식 다운로드 링크 : https://www.solarwinds.com/topics/deep-packet-inspection
2. tcpdump
Tcpdump는 아마도 원래 패킷 스니퍼 일 것입니다. 1987 년에 만들어졌습니다. 그 이후로 유지 관리 및 개선되었지만 근본적으로 변경되지 않은 상태로 유지됩니다 (적어도 사용 방식). 거의 모든 유닉스 계열 운영 체제에 사전 설치되어 있으며 패킷을 캡처하는 빠른 도구가 필요할 때 사실상 표준이되었습니다. Tcpdump는 실제 패킷 캡처에 libpcap 라이브러리를 사용합니다.
기본적으로. tcpdump는 지정된 인터페이스의 모든 트래픽을 캡처하여 화면에 이름을 "덤프"합니다. 덤프를 캡처 파일로 파이프하고 나중에 사용 가능한 여러 도구 중 하나를 사용하여 분석 할 수도 있습니다. tcpdump의 강점과 유용성의 핵심은 모든 종류의 필터를 적용하고 추가 필터링을 위해 다른 일반적인 Unix 명령 줄 유틸리티 인 grep에 출력을 파이프하는 가능성입니다. tcpdump, grep 및 명령 셸에 대해 잘 알고있는 사람은 디버깅 작업에 적합한 트래픽을 정확하게 캡처 할 수 있습니다.
3. 윈드 펌프
Windump는 기본적으로 tcpdump의 포트입니다.Windows 플랫폼. 따라서 거의 같은 방식으로 작동합니다. 한 플랫폼에서 다른 플랫폼으로 성공적인 유틸리티 프로그램의 포트를 보는 것은 드문 일이 아닙니다. Windump는 Windows 응용 프로그램이지만 멋진 GUI를 기대하지는 않습니다. 이것은 명령 행 전용 유틸리티입니다. 따라서 Windump를 사용하는 것은 기본적으로 Unix를 사용하는 것과 같습니다. 명령 줄 옵션은 동일하며 결과도 거의 동일합니다. Windump의 출력은 타사 도구를 사용하여 나중에 분석하기 위해 파일로 저장할 수도 있습니다.
tcpdump와의 주요 차이점은 Windump입니다.Windows에 내장되어 있지 않습니다. Windump 웹 사이트에서 다운로드해야합니다. 소프트웨어는 실행 파일로 제공되며 설치가 필요하지 않습니다. 그러나 tcpdump가 libpcap 라이브러리를 사용하는 것과 마찬가지로 Windump는 대부분의 Windows 라이브러리와 마찬가지로 별도로 다운로드하여 설치해야하는 Winpcap을 사용합니다.
4. 와이어 샤크
Wireshark는 패킷 스니퍼의 참조입니다. 사실상의 표준이되었으며 대부분의 다른 도구는이를 모방하는 경향이 있습니다. 이 도구는 트래픽을 캡처 할뿐만 아니라 매우 강력한 분석 기능도 제공합니다. 많은 관리자가 tcpdump 또는 Windump를 사용하여 파일에 대한 트래픽을 캡처 한 다음 분석을 위해 파일을 Wireshark에로드합니다. Wireshark를 사용하는 일반적인 방법으로 시작할 때 기존 pcap 파일을 열거 나 트래픽 캡처를 시작하라는 메시지가 표시됩니다. Wireshark의 또 다른 강점은 포함 된 모든 필터로, 원하는 데이터를 정확하게 입력 할 수 있습니다.
솔직히 말해서이 도구는 가파른학습 곡선이지만 좋은 학습입니다. 그것은 귀중한 시간과 시간을 다시 증명할 것입니다. 그리고 일단 배운 후에는 거의 모든 운영 체제로 포팅되었으며 무료이며 오픈 소스이므로 어디서나 사용할 수 있습니다.
5. 상어
Tshark는 tcpdump 사이의 십자가와 같습니다및 Wireshark. 그들이 최고의 패킷 스니퍼 중 하나이기 때문에 이것은 좋은 것입니다. Tshark는 명령 줄 전용 도구라는 점에서 tcpdump와 같습니다. 그러나 Wireshark와 마찬가지로 트래픽을 캡처 할뿐만 아니라 분석하기도합니다. Tshark는 Wireshark와 동일한 개발자입니다. Wireshark의 명령 행 버전입니다. Wireshark와 동일한 유형의 필터링을 사용하므로 분석해야하는 트래픽 만 신속하게 격리 할 수 있습니다.
그러나 왜 당신은 물어볼 수 있습니다.Wireshark의 명령 줄 버전? 왜 Wireshark를 사용하지 않습니까? 그래픽 인터페이스로 사용과 학습이 더 간단해야합니까? 주된 이유는 GUI가 아닌 서버에서 사용할 수 있기 때문입니다.
6. 네트워크 광부
Network Miner는 더 법의학 도구입니다.진정한 패킷 스니퍼보다. Network Miner는 TCP 스트림을 따르고 전체 대화를 재구성합니다. 정말 강력한 도구입니다. Network Miner가 마법을 발휘할 수 있도록 캡처 파일을 가져 오는 오프라인 모드에서 작동 할 수 있습니다. 이것은 소프트웨어가 Windows에서만 실행되므로 유용한 기능입니다. Linux에서 tcpdump를 사용하여 트래픽을 캡처하고 Windows에서 Network Miner를 분석하여 분석 할 수 있습니다.
Network Miner는 무료 버전으로 제공되지만IP 기반 지리적 위치 및 스크립팅과 같은 고급 기능을 사용하려면 Profesional 라이센스를 구입해야합니다. 프로페셔널 버전의 또 다른 고급 기능은 VoIP 통화를 디코딩하고 재생할 수 있다는 것입니다.
7. 피들러 (HTTP)
지식이 풍부한 독자 중 일부는피들러는 패킷 스니퍼가 아니며 네트워크 분석기도 아니라고 주장한다. 그것들은 아마도 맞을 것입니다. 그러나 우리는이 도구를 많은 상황에서 매우 유용하기 때문에 목록에 포함시켜야한다고 생각했습니다. Fiddler는 실제로 트래픽을 캡처하지만 트래픽은 캡처하지 않습니다. HTTTP 트래픽에서만 작동합니다. 오늘날 많은 응용 프로그램이 웹 기반이거나 백그라운드에서 HTTP 프로토콜을 사용한다고 생각할 때 제한에도 불구하고 얼마나 가치가 있는지 상상할 수 있습니다. Fiddler는 브라우저 트래픽뿐만 아니라 거의 모든 HTTP를 캡처하므로 문제 해결에 매우 유용합니다.
boiddle에 비해 Fiddler와 같은 도구의 장점예를 들어 Wireshark와 같은 fide 패킷 스니퍼는 Fiddler가 HTTP 트래픽을 "이해"하도록 만들어 졌다는 것입니다. 예를 들어 쿠키 및 인증서를 검색합니다. 또한 HTTP 기반 응용 프로그램에서 나오는 실제 데이터도 찾을 수 있습니다. Fiddler는 무료이며 OS X 및 Linux 용 베타 빌드 (Mono 프레임 워크 사용)를 다운로드 할 수 있지만 Windows에서만 사용할 수 있습니다.
결론
이와 같은 목록을 게시 할 때 종종어느 것이 가장 좋은지 물었습니다. 이 특별한 상황에서 그 질문을 받으면“모두”라고 대답해야합니다. 그들은 모두 무료 도구이며 모두 가치가 있습니다. 왜 그들 모두에게 손을 대고 각각에 익숙해 지십시오. 당신이 그들을 사용해야하는 상황에 도달하면 훨씬 쉽고 효율적입니다. 명령 줄 도구조차도 엄청난 가치가 있습니다. 예를 들어 스크립트를 작성하고 예약 할 수 있습니다. 매일 오전 2시에 문제가 발생한다고 상상해보십시오. 1:50에서 2:10 사이에 Windump의 tcpdump를 실행하고 다음날 아침 캡처 파일을 분석하도록 작업을 예약 할 수 있습니다. 밤새 머물 필요가 없습니다.
코멘트