패킷 캡처 란 무엇입니까?
패킷 캡처는 컴퓨터 네트워크를 통해 이동하는 데이터 패킷을 간단히 처리하는 프로세스입니다. 일반적인 패킷 캡처에서는 패킷의 주소 정보 또는 인터넷 프로토콜 (IP) 형식과 같은 패킷 헤더에 포함 된 보조 데이터 만 수집됩니다. DPC (deep packet capture)의 경우, 헤더 정보 및 실제 데이터 페이로드 모두의 전체 패킷이 획득된다. 이 프로세스는 종종 패킷 스니핑이라고도합니다.
패킷 캡처 방법에 관계없이 프로세스는 물리 계층이 계층 1보다 위에있는 개방 시스템 상호 연결 (OSI) 모델의 모든 계층에서 발생할 수 있습니다. 물리 계층은 물리적 신호가 전기 신호 형태의 비트로 만 작동하기 때문입니다. 패킷 캡처는 1과 0의 해당 스트림이 다시 데이터 패킷으로 변환되어 수집 될 수있을 때까지 발생하지 않습니다. 특정 네트워크 인터페이스에서 인터페이스가 무차별 모드로 알려진 구성이 아닌 한 해당 인터페이스에 속하는 주소로 향하는 패킷에 대해서만 수집이 수행 될 수 있습니다. 무차별 적으로 작동하는 네트워크 인터페이스는 자체 패킷뿐만 아니라 다른 사람을 대상으로하는 패킷도 캡처 할 수 있습니다.
네트워크 관리자가 네트워크 인터페이스를 통해 들어오는 패킷을 얻으려면 전체 수집 또는 필터링 된 수집 옵션이 있습니다. 완전한 컬렉션에는 경계가 없으므로 인터페이스를 가로 지르는 모든 패킷이 사용됩니다. 그러나 패킷을 필터링 할 때 인터페이스를 통과 할 때 평가되며 특정 기준을 충족하는 특정 패킷 만 수집됩니다. 이를 통해 관리자는 관심있는 패킷 유형이나 특정 주소로 향하는 패킷 만 저장할 수 있습니다. 필터링 된 컬렉션은 또한 하드웨어 리소스를 보존하며 나중에 culpability를 증명하기 위해 필요할 수있는 패킷을 반올림하는 데 사용될 수 있습니다.
패킷 캡처에는 많은 목적이 있으며,이 모든 목적은 DPI (Deep Packet Inspection) 개념과 관련이 있습니다. 패킷이 수집 될 때 패킷은 여러 가지 이유로 검사 및 분석되는데,이 중 대부분은 침입 감지, 데이터 보안 및 무결성 또는 네트워크 성능과 관련이 있지만 패킷 캡처의 사악한 목적이 존재합니다. 결과적으로 깊은 패킷 캡처 및 검사를 고려할 때 개인 정보 보호에 대한 강력한 우려가 발생할 수 있습니다.
패킷이 실제로 인터페이스를 가로 질러 이동하여 패킷 캡처 및 검사 소프트웨어가 결정을 내릴 수 있기 때문에 분석 프로세스가 필요할 때 즉시 발생할 수 있습니다. 또는 컴퓨터의 하드 드라이브에 무기한 저장할 수 있습니다. 실시간 분석의 경우 패킷은 알려진 보안 문제 또는 우려 사항에 대해서만 평가할 수있는 반면, 스토리지에서 수집 될 때 나중에 데이터 포렌식 전문가가 분석하여 보안 위반이 발생한시기와 방법을 결정할 수 있습니다.
사용 가능한 수많은 패킷 캡처 프로그램이 있습니다. 일부 네트워크 하드웨어 제조업체는 Cisco Systems® 하드웨어에서 제공하는 IOS (Internetwork Operating System)의 내장 패킷 캡처 기능과 같은 장치의 기능을 포함합니다. 패킷 스니퍼는 간단한 수집에서보다 자세한 분석에 이르기까지 여러 형태로 존재합니다. 가장 많이 사용되는 패킷 스니퍼는 Wireshark 및 WinPcap과 같은 오픈 소스 소프트웨어 프로젝트로, 패킷을 캡처 할뿐만 아니라 패킷 검사 및 분석 작업도 처리합니다. 최신 보안 문제를 파악하기 위해 다양한 커뮤니티에서 자주 업데이트합니다.