네트워크 분석 · 2 min read · Dec 17, 2025
와이어샤크 원격 캡처
와이어샤크 원격 캡처
Falko는 와이어샤크의 기본 사용법에 대한 몇 가지 스크린샷이 포함된 멋진 튜토리얼을 작성했습니다.
이 짧은 튜토리얼은 스크린샷 없이 약간 더 고급 사용 사례인 한 박스에서 캡처를 수행하고 다른 박스에서 캡처된 데이터를 실시간으로 시각화하는 방법에 대해 설명합니다.
사전 준비
다음 기사는 제가 소프트웨어를 설치하고 사용하는 방법을 설명합니다. 이 방법이 여러분에게도 동일하게 작동할 것이라는 보장은 하지 않습니다. 셸에서 작업하는 기본 지식이 필요합니다. 와이어샤크는 다양한 플랫폼에서 실행되므로, 와이어샤크와 Open-SSH가 지원하는 거의 모든 플랫폼에서 작동해야 합니다. 제 경우에는 Debian과 Ubuntu가 포함되었습니다.
1. 문제
DNS와 관련된 미세한 문제가 발생했습니다. 특히 역방향 DNS와 관련된 문제입니다. 우리의 설정은 간단합니다. 우리는 로컬 DNS 서버를 가지고 있으며, 이 서버는 해결할 수 없는 모든 쿼리를 업링크 DNS로 전달합니다. 업링크 DNS는 다른 조직에서 관리하며, 이는 일반적인 비난의 원인이 되었습니다. “우리는 잘못이 없다, 우리의 장비는 잘 작동한다, 우리는 당신에게 비용을 청구해야 한다, 블라블라…” 한숨. 그래서 이 문제를 어떻게 더 분석할 수 있을지 생각해 보았고, https://www.howtoforge.com/trafficanalysis-using-debian-lenny에 설명된 제 시스템이 떠올랐습니다. 완벽하다고 생각했습니다. 그 박스는 이미 업링크 옆에 위치하고 있으며, 업링크를 통해 흐르는 모든 트래픽을 모니터링하고 DNS 관련 트래픽을 살펴보는 것이 쉬울 것입니다.
제 첫 번째 아이디어는 이 박스에 와이어샤크를 직접 설치하고, 약간의 X11 포워딩을 통해 업링크에서 무슨 일이 일어나고 있는지 보는 것이었습니다. 그러나 와이어샤크와 전체 X11 관련 라이브러리를 설치할 충분한 디스크 공간이 없었습니다.
2. 해결책
다음 아이디어는 프로브에서 트래픽을 파일로 캡처하고, 이 파일을 제 일반 박스로 복사한 다음, 와이어샤크에서 읽는 것이었습니다. 하지만 얼마나 번거롭고 장황한지, 파일을 복사하거나 최소한 네트워크를 통해 드라이브를 마운트해야 했습니다. 그러나 해결책은 매우 간단합니다. 프로브에 tshark(와이어샤크의 텍스트 모드 관련 작은 형제)를 설치하고, ssh의 도움으로 원격으로 호출한 다음, tshark의 출력을 와이어샤크로 직접 파이프하는 것입니다! 이 솔루션은 와이어샤크 위키에서 가져온 것이지만, 그 단순함에 감동받아 이 짧은 튜토리얼을 작성하게 되었습니다.
- 프로브에서 비밀번호 없는 ssh 로그인을 설정하고, 작동하는지 확인합니다.
- 와이어샤크가 있는 로컬 박스에서 다음과 같이 간단히 호출합니다:
wireshark -k -i <( ssh -l root IP-of-probe /usr/bin/tshark -i eth0 -w - port 53 )그리고 즐기세요. 트래픽은 프로브에서 필터링되므로, 업링크를 통해 이동할 수 있는 방대한 양의 패킷에 의해 압도당하지 않습니다. 캡처된 트래픽은 프로브에서 시각화 박스로 안전하고 암호화된 ssh 연결을 통해 전송되며, 업링크에서 무슨 일이 일어나고 있는지 실시간으로 볼 수 있습니다.
제 경우에는 ssh 트래픽을 필터링할 필요가 없었습니다(와이어샤크 위키의 예와 같이), 왜냐하면 스니핑은 eth0에서 수행되고 ssh 트래픽은 eth1을 통해 흐르기 때문입니다.
와이어샤크 위키에는 이름이 있는 파이프를 사용하는 다른 방법이 설명되어 있지만, ssh를 사용하는 이 방법이 저에게는 설정하기 가장 쉬운 방법처럼 보였습니다.
이 작업을 수행하는 동안 제가 겪었던 작은 문제는 와이어샤크를 종료해도 프로브에서 tshark가 종료되지 않았다는 것입니다. 그러나 프로브에서 다음 명령어를 입력하면 도움이 되었습니다:
pkill tshark또는 프로브에 로그인하지 않은 경우
ssh root@probe pkill tshark이것도 작동해야 합니다.
우리의 DNS 문제와 관련하여 즉시 무슨 일이 일어나고 있는지 볼 수 있었습니다. ;-)
3. URL
- Falko의 와이어샤크 튜토리얼: https://www.howtoforge.com/network-analysis-with-wireshark-on-ubuntu-9.10
- 제 ntop 프로브: https://www.howtoforge.com/trafficanalysis-using-debian-lenny
- 와이어샤크 + tshark: http://www.wireshark.org/
- 와이어샤크 위키: http://wiki.wireshark.org/
- libpcap + tcpdump: http://www.tcpdump.org/
- SSH: http://www.openssh.org/
- 비밀번호 없는 SSH: http://www.debian-administration.org/articles/152
새 게시물을 받은 편지함에서 받기
스팸은 없습니다. 언제든지 구독 해지 가능합니다.