PCAP 의 각 프로토콜을 분석하는 방법에 대해 자세히 설명하기 전에 PCAP 파일을 수집하는 방법을 이해해야 합니다. Wireshark 자체에서 PCAP를 수집하는 기본 단계는 간단할 수 있지만 트래픽을 가져오는 것은 어려운 부분일 수도 있고 재미있는 부분일 수도 있습니다. 여기에는 탭, 포트 미러링, MAC 플러드, ARP 중독이 포함될 수 있습니다. 이 강의실에서는 실시간 패킷 캡처의 다양한 전략을 설정하는 방법을 다루지 않고 각각의 기본 이론만 다룰 것입니다.
수집 방법 개요
실시간 패킷 캡처를 수집하고 모니터링하기 전에 먼저 생각해 봐야 할 몇 가지 사항입니다.
먼저 샘플 캡처부터 시작하여 모든 것이 올바르게 설정되어 있고 트래픽을 성공적으로 캡처하고 있는지 확인하세요.
네트워크 크기에 따라 패킷 수를 처리할 수 있는 충분한 컴퓨팅 성능이 있는지 확인하십시오. 이는 분명히 네트워크마다 다릅니다.
모든 패킷 캡처를 저장할 충분한 디스크 공간을 확보하십시오.
이러한 기준을 모두 충족하고 수집 방법을 선택하면 네트워크에서 패킷을 적극적으로 모니터링하고 수집할 수 있습니다.
네트워크 탭
네트워크 탭은 케이블 사이를 물리적으로 탭하는 물리적 임플란트입니다. 이러한 기술은 Threat Hunting/DFIR 팀과 레드팀이 패킷을 스니핑하고 캡처하기 위해 일반적으로 사용합니다.
와이어를 태핑하는 데에는 두 가지 주요 방법이 있습니다. 첫 번째는 하드웨어를 사용하여 회선을 탭하고 트래픽이 통과할 때 이를 가로채는 것입니다. 이에 대한 예는 아래 그림과 같은 뱀파이어 탭입니다.
네트워크 탭을 설치하는 또 다른 옵션은 두 개의 네트워크 장치 사이에 설치하거나 '인라인'하는 인라인 네트워크 탭입니다. 탭은 패킷이 탭을 통과할 때 패킷을 복제합니다. 이 탭의 예로는 매우 일반적인 Throwing Star LAN Tap이 있습니다.
MAC 홍수
MAC Floods는 레드팀이 적극적으로 패킷을 스니핑하는 방법으로 일반적으로 사용하는 전술입니다. MAC Flooding은 스위치에 스트레스를 가하여 CAM 테이블을 채우기 위한 것입니다. CAM 테이블이 채워지면 스위치는 더 이상 새로운 MAC 주소를 허용하지 않으므로 네트워크를 활성 상태로 유지하기 위해 스위치는 스위치의 모든 포트로 패킷을 보냅니다.
참고: 이 기술은 극도의 주의와 명시적인 사전 동의를 얻어 사용해야 합니다.
ARP 중독
ARP 중독은 레드팀이 적극적으로 패킷을 스니핑하기 위해 사용하는 또 다른 기술입니다. ARP 중독을 통해 호스트에서 모니터링 중인 시스템으로 트래픽을 리디렉션할 수 있습니다. 이 기술은 MAC Flooding과 같은 네트워크 장비에 스트레스를 주지 않지만 네트워크 탭과 같은 다른 기술을 사용할 수 없는 경우에만 주의해서 사용해야 합니다.
이러한 방법을 이전 작업의 트래픽 캡처에 대한 이전 지식과 결합하면 처음부터 실시간 패킷 캡처를 사전에 모니터링하고 수집할 수 있습니다.
