소규모에서 대규모 네트워크를 위한 5가지 전체 패킷 캡처 및 분석 도구

게시 됨: 2022-04-19

패킷 캡처 및 분석은 네트워크 상호 작용을 검사하고 비효율적인 전송과 위험한 사이버 위협을 식별하는 데 매우 유용합니다.

패킷 캡처는 네트워크 연결을 통해 이동할 때 데이터 패킷을 가로채서 수집하는 것을 말합니다. 데이터 패킷이 기록되고 검사되어 높은 대기 시간 및 결함과 같은 네트워크 문제를 식별하고 관리합니다. 패킷 분석에서 얻은 정보는 네트워크 관리자가 문제를 해결하고 네트워크 오류를 더 짧은 시간에 수정하는 데 사용됩니다.

패킷 분석은 다음 작업 중 일부에 사용됩니다.

  • 보안 위험 감지
  • DNS 문제 해결
  • 네트워크 연결 문제 식별 및 해결
  • 네트워크 결함 감지
  • 패킷 누출 감지 및 수정
  • 악성코드 탐지 및 예방

전체 데이터 패킷 또는 패킷의 특정 세그먼트를 캡처할 수 있습니다. 전체 데이터 패킷은 페이로드와 헤더의 두 부분으로 구성됩니다. 페이로드 세그먼트에는 패킷의 실제 내용이 포함되는 반면 헤더 세그먼트에는 패킷의 소스 및 대상 주소와 같은 정보가 포함됩니다.

전체 패킷 캡처 및 분석을 수행하는 몇 가지 응용 프로그램 목록을 요약했습니다.

굴려봅시다.

콜라소프트 캡사

Capsa는 유무선 네트워크를 위한 실시간 휴대용 네트워크 분석기, 모니터링 및 진단 도구입니다. 데이터 패킷 검사는 정기적 또는 매월과 같이 지정된 시간에 실행되도록 예약할 수 있습니다. 정기적인 검사는 발생하는 성능 문제를 놓치지 않도록 합니다. 누락된 항목이 있으면 네트워킹 세션에 참여가 필요할 때마다 이메일 및 오디오 경고가 알려줍니다.

Capsa는 사용자가 서비스 중단을 초래할 수 있는 취약성과 위협에 대한 최신 정보를 받을 수 있도록 지원합니다. 통화 코덱 유형 및 이벤트 배포와 같은 모든 중요한 VoIP(Voice over Internet Protocol) 메트릭은 이 도구를 사용하여 잘 추적됩니다. 패킷 검사에 참여하고 네트워크 문제를 감지하고 네트워크 보안을 개선하는 방법을 배우려는 개인을 위한 훌륭한 도구입니다.

특징:

  • 패킷 생성 및 재생, IP 주소 스캔 및 핑을 위한 무료 내장 유틸리티.
  • 네트워크 문제를 진단하고 솔루션을 자동으로 추천합니다.
  • 느린 응답 시간 및 CRM(고객 관계 관리) 트랜잭션과 같은 네트워크 문제를 진단하는 데 사용할 수 있는 VoIP 및 TCP 흐름 분석을 지원합니다.
  • DDoS 공격, ARP 공격, TCP 포트 스캐닝을 탐지할 수 있으며 사용자가 네트워크의 기술적 결함을 발견할 수 있습니다.
  • 이 도구는 1800개 이상의 프로토콜을 지원하므로 네트워크의 프로토콜을 간단하게 검사하고 진행 상황을 이해할 수 있습니다.
  • 모든 데이터 패킷을 수집하고 전체 패킷 시퀀싱 정보를 16진수 및 ASCII 형식으로 표시합니다. (심층 패킷 디코딩)
  • 네트워크 트래픽 및 처리량 정보를 그래프 형식으로 표시할 수 있습니다.

Colasoft는 nChronos(Network Performance Analysis System) 및 Colasoft UPM(Unified Performance Management Solution)과 같은 다른 도구를 제공합니다. 30일 무료 체험판을 제공하여 구매 전 기능을 확인할 수 있습니다.

TCP덤프

TCPDump는 TCP, UDP 및 ICMP(Internet Control Message Protocol)와 같은 프로토콜을 캡처하는 강력한 오픈 소스 명령줄 패킷 분석기 도구입니다. 이 도구는 모든 Unix 계열 운영 체제에 사전 설치되어 제공됩니다. TCPDump는 BSD 라이선스에 따라 출시됩니다. tcpdump를 사용하여 TCP/IP 패킷의 헤더를 쉽게 검사할 수 있습니다. 각 데이터 전송에 대한 정보를 출력하며 스크립트는 Ctrl+C 옵션으로 종료할 때까지 실행됩니다.

Tcpdump는 설정이 매우 간단하며 도구 사용법, 플래그 및 인수를 배운다면 이 도구를 사용하여 연결 문제를 해결하고 네트워크를 보호할 수 있습니다. 기록된 데이터 패킷은 tcpdump를 사용한 추가 분석을 위해 파일에 저장됩니다. 파일을 PCAP 확장자 형식으로 저장하며 PCAP(패킷 캡처의 약어) 형식 파일을 읽는 tcpdump 또는 Wireshark로 쉽게 검사할 수 있습니다.

특징:

  • 캡처한 데이터 패킷을 소스, 대상 및 프로토콜별로 필터링할 수 있습니다.
  • 무료 및 오픈 소스

다음은 tcpdump로 네트워크 트래픽을 캡처하고 분석하는 방법에 대한 기사입니다.

파에슬러 PRTG

가장 널리 사용되는 네트워크 모니터링 및 트래픽 분석 도구 중 하나는 Paessler PRTG 네트워크 모니터입니다. 이 도구는 네트워크 인프라 및 성능에 대한 중요한 정보를 제공합니다.

Windows와 호환됩니다. 여기에는 대역폭 모니터링 및 트래픽 분석을 포함한 다양한 모니터링 옵션이 포함됩니다. Paessler PRTG의 무료 버전을 사용할 수 있습니다. 네트워크 성능 메트릭을 보고하기 위해 패킷 스니퍼, WMI 및 SNMP의 조합을 사용합니다.

특징:

  • 유연한 경고 – PRTG는 SMS, 푸시 알림, 이메일, HTTP 요청 트리거 등을 포함하여 10가지 이상의 설계된 기술을 보유하고 있습니다.
  • 다중 사용자 인터페이스 – 강력한 보안 요구 사항과 함께 AJAX를 기반으로 구축, 단일 페이지 애플리케이션(SPA) 기술로 인한 고성능,
  • 클러스터 장애 조치 솔루션 – 약간 상승된 모니터링 솔루션을 구성합니다.
  • 지도 및 대시보드 – 현재 실시간 정보가 포함된 실시간 지도를 사용하여 네트워크를 시각화합니다.
  • 분산 모니터링 – 휴대용 인터셉터를 사용하여 다양한 위치에 있는 수많은 네트워크와 조직 내의 여러 네트워크를 모니터링할 수 있습니다.
  • 숫자, 통계, 그래프 형태의 심층 보고

이 도구는 SMS, 이메일 및 Slack과 같은 플랫폼에 대한 타사 연결을 포함한 다양한 경고 방법을 지원합니다. PRTG는 30일 동안 무제한 버전으로 사용할 수 있습니다. 무료 기간이 지나면 무료 형식으로 돌아갑니다.

와이어샤크

Wireshark는 실시간으로 네트워크 데이터 전송을 검사할 수 있는 무료 오픈 소스 패킷 분석기입니다. 이 도구를 사용하면 네트워크 관리자가 미시적 수준에서 네트워크를 조사하여 트래픽 문제와 실수의 원인을 정확히 찾아낼 수 있습니다. 네트워킹 개념에 대한 확실한 이해가 필요한 훌륭한 도구입니다.

특징:

  • Windows, Linux 배포판, Mac OS X 등을 포함한 모든 운영 체제에서 실제로 작동합니다.
  • 현재 통계 데이터를 기반으로 보고서를 만듭니다.
  • 타이머 및 필터와 같은 다양한 옵션을 사용하여 출력을 필터링할 수 있습니다.
  • IO 그래프 및 차트로 네트워크 패킷을 시각화합니다.
  • USB 트래픽을 기록할 수도 있습니다.
  • 무단 트래픽 핑거프린팅, 패킷 필터링 설정 등 다양한 용도를 제공합니다.
  • 색상 코딩 규칙을 적용하여 트래픽 유형을 식별할 수 있습니다.
  • 자세한 VoIP(Voice over Internet Protocol) 연구.

손실된 데이터 패킷, 네트워크 대기 시간 문제, 응용 프로그램 종속성 및 비효율적인 창 크기는 Wireshark가 도움을 줄 수 있는 일반적인 문제 해결 과제입니다. 이 도구를 사용하면 네트워크 트래픽을 모니터링하고 문제의 원인을 검색하고 정확히 찾아내는 메커니즘을 제공합니다.

네트워크의 MAC 주소 인터페이스로 전송되지 않은 유니캐스트(무연결) 트래픽도 Wireshark 도구를 사용하여 모니터링할 수 있습니다.

Wireshark로 네트워크 대기 시간 문제 해결에 대한 이 문서를 자유롭게 방문하십시오.

아르키메

Arkime은 기존 보안 시스템과 협력하여 네트워크 트래픽 및 데이터 전송을 표준 PCAP 형식으로 수집 및 색인화합니다.

기록된 모든 데이터 패킷은 일반 PCAP 형식으로 저장 및 내보내기되므로 분석 프로세스에서 Wireshark 또는 tcpdump와 같은 선호하는 PCAP 수집 도구를 사용할 수 있습니다.

PCAP 보존은 사용 가능한 센서 디스크 공간의 양에 따라 결정되는 반면 API 보존은 Elasticsearch 클러스터의 크기에 따라 결정됩니다. 이 두 매개변수는 언제든지 변경할 수 있습니다.

Arkime은 여러 시스템에서 작동하도록 설계되었으며 초당 수십 기가비트의 트래픽을 수용할 수 있습니다. Arkime 센서에 저장된 모든 PCAP 형식 파일은 설치할 수 있으며 Arkime 웹 인터페이스 또는 API를 통해서만 액세스할 수 있습니다. PCAP 파일은 Arkime을 사용하여 유휴 상태에서 암호화할 수 있습니다.

특징:

  • PCAP 파일 검사, 찾기 및 추출을 위한 사용자 친화적인 웹 인터페이스를 제공합니다.
  • 무료 및 오픈 소스
  • 다른 PCAP 수집 도구가 저장된 PCAP 파일을 검사할 수 있도록 합니다.

PCAP 데이터 및 JSON 형식의 트랜잭션 데이터는 API를 통해 직접 검색할 수 있습니다. 여기에서 Arkime 전체 API 문서를 확인하세요.

결론

패킷 캡처 데이터 분석에는 일반적으로 이러한 도구를 사용하여 수행할 수 있는 높은 수준의 기술 전문 지식이 필요합니다.

이 기사가 소규모에서 대규모 네트워크에 대한 전체 패킷 캡처 및 분석 도구를 배우는 데 매우 유용했기를 바랍니다.

또한 최고의 Wi-Fi 분석기 소프트웨어 도구에 대해 배우는 데 관심이 있을 수도 있습니다.