네트워크(5)
업데이트:
날짜: 2025/02/05
주제: 네트워크
키워드:
수업 내용:
Wireshark Filter
Capture Filter
- 패킷이 캡처될 때 지정
- 수집 자체를 제한
| 필터 | 설명 |
|---|---|
host 192.168.1.1 |
특정 IP 주소의 패킷만 캡처 |
src host 192.168.1.1 |
출발지가 특정 IP인 패킷만 캡처 |
dst host 192.168.1.1 |
목적지가 특정 IP인 패킷만 캡처 |
net 192.168.1.0/24 |
특정 네트워크(192.168.1.x) 트래픽만 캡처 |
port 80 |
특정 포트(HTTP) 트래픽만 캡처 |
tcp |
TCP 패킷만 캡처 |
udp |
UDP 패킷만 캡처 |
icmp |
Ping(ICMP) 트래픽만 캡처 |
tcp[13] & 2 != 0 |
TCP SYN 패킷만 캡처 |
| 필터 | 설명 |
|---|---|
host 192.168.1.1 and port 443 |
특정 IP의 HTTPS 트래픽만 캡처 |
not port 22 |
SSH(22번 포트)를 제외한 트래픽 캡처 |
(tcp or udp) and not port 53 |
TCP/UDP 트래픽 중 DNS(53번 포트)를 제외한 트래픽 캡처 |
Display Filter
- 원하지 않은 패킷을 숨김
- 수집된 패킷 중에서 원하는 것을 보고 싶을 때
| 필터 | 설명 |
|---|---|
ip.addr == 192.168.1.1 |
특정 IP 주소 관련 트래픽만 보기 |
ip.src == 192.168.1.1 |
특정 IP가 출발지인 패킷만 보기 |
ip.dst == 192.168.1.1 |
특정 IP가 목적지인 패킷만 보기 |
tcp.port == 80 |
특정 포트(예: HTTP) 트래픽만 보기 |
tcp.flags.syn == 1 |
TCP SYN 패킷(연결 시도)만 보기 |
http |
HTTP 프로토콜 패킷만 보기 |
tls |
TLS(SSL) 트래픽만 보기 |
dns |
DNS 요청 및 응답 패킷만 보기 |
tcp contains "GET" |
HTTP GET 요청 포함 패킷 찾기 |
| 필터 | 설명 | ||
|---|---|---|---|
ip.addr == 192.168.1.1 && tcp.port == 443 |
특정 IP + HTTPS(443) 트래픽만 보기 | ||
!(ip.addr == 192.168.1.1) |
특정 IP를 제외한 트래픽 보기 | ||
| (http | dns) | HTTP 또는 DNS 트래픽 보기 |
암호화 와 인증서
암호화
- Confidentiality (기밀성) : 인가된 자만 읽을 수 있다
- Authenticity (신뢰성) : 인증
- Integrity (무결성) : 일관성,변조
- 변조 : 내용을 변경
- 위조 : 새로운 걸 만듬
개인키
- 혼자만 가지고 있는 키
공개키
- 누구나 볼 수 있는 키
SSL/TLS
- 응용계층을보호하는프로토콜
SSL/TLS 처리 과정
| 단계 | 설명 |
|---|---|
| 1. Client Hello | 클라이언트가 TLS 연결 요청 (지원 가능한 암호화 알고리즘 포함) |
| 2. Server Hello | 서버가 TLS 연결 응답 (암호화 방식 선택) |
| 3. Server Certificate | 서버가 SSL 인증서 제공 (공개키 포함) |
| 4. 키 교환(Key Exchange) | 클라이언트가 세션키 정보를 서버 공개키로 암호화하여 전송 |
| 5. 세션키 생성 & 교환 완료 | 서버는 개인키로 세션키 정보를 복호화, 이제 대칭키 암호화로 통신 |
| 6. 암호화된 데이터 전송 | 이후 모든 데이터는 세션키로 암호화되어 안전하게 전송됨 |
