티샤크(TShark)는 가장 강력한 네트워크 분석 툴인 와이어샤크(Wireshark)와 동일한 기능을 제공하는 커맨드라인 툴이다. 다시 말해 GUI의 한계를 넘어 네트워크 패킷과 프로토콜 분석 업무를 자동화하고자 하는 보안 및 네트워크 전문가에게 보석 같은 존재다. 이 책에는 티샤크를 사용해 업무 효율성을 높이는 네트워크 분석 업무의 정수가 담겨있다.

그림 수록

이 책에서 다루는 내용

■ 티샤크의 기본적인 사용법과 동작 원리. 다른 툴과의 의존성
■ 네트워크 성능과 관련된 문제의 정확한 원인을 찾는 방법
■ IDS를 우회하는 네트워크 공격 트래픽을 분석하기 위한 SSL 트래픽의 복호화
■ 네트워크 침입을 분석하고 보안 사고의 피해를 최소화하는 방법
■ 소켓을 이용하는 애플리케이션 감사 방법
■ 스크립트를 이용한 작업 자동화
■ 악성코드나 다양한 네트워크 공격으로 인해 발생한 문제를 빠르고 정확하게 찾아내는 데 유용한 필터

이 책의 대상 독자

이 책은 일상 업무에서 다양한 네트워크 문제와 보안 사고를 처리해야 하는 네트워크 관리자와 보안 담당자에게 가장 적합하지만, 트래픽 데이터와 통신에 관한 이론적인 개념을 매우 심도 있게 이해하고 구현하고자 하는 시스코(Cisco) 장비를 공부하는 학습자에게도 좋은 참고서다.

이 책의 구성

티샤크로 데이터 캡처(기초)에서는 티샤크와 데이터 수집 과정의 기본적인 이론과 개념을 다룬다. 트래픽 캡처 시 시스템이 잠재적인 취약점에 노출되지 않도록 티샤크의 권한을 적절히 설정하는 방법도 설명한다.

트래픽 캡처(기초)에서는 네트워크 인프라나 분석가의 목적에 따라 사용할 수 있는 다양한 데이터 수집 방법을 설명한다.

네트워크 문제 원인 찾아내기(핵심)에서는 대다수 네트워킹 문제의 원인을 빠른 시간 내에 찾아낼 수 있도록 특정 네트워크 트래픽을 정의하고 식별하는 예제를 다룬다.

유용한 필터 구현(핵심)에서는 네트워크 관리자와 보안 담당자의 업무에 광범위하게 활용할 수 있는 유용한 예를 설명한다.

프로토콜 디코딩(고급)에서는 특정 디섹터(dissector)의 사용을 강제하는 방법과 SSL 트래픽을 복호화하는 방법을 다룬다.

네트워크 공격 감사(고급)에서는 ARP 스푸핑, 서비스 거부(DoS) 공격, DHCP/DNS 스푸핑 등의 네트워크 공격을 식별하는 데 유용한 필터들을 설명한다. 공격을 빠른 시간 안에 발견하면 알맞은 대응책을 사용해서 피해를 최소화할 수 있다.

네트워크 포렌식 데이터 분석(고급)에서는 수상한 네트워크 트래픽에서 증거를 확보하는 방법을 설명한다. 보안 기법을 우회하는 데 사용되는 터널링 기술(ICMP를 이용한 데이터 유출, UDP 터널 등)과 함께 기타 다양한 장악 후 공격 기술도 살펴본다.

네트워크 애플리케이션 감사(기초)에서는 소켓을 사용하는 애플리케이션의 동작을 이해하고 감사하는 데 유용한 예제를 다룬다.

악성코드 트래픽 분석(기초)에서는 악성코드에 감염된 컴퓨터를 찾아낼 때 활용 가능한 필터를 설명한다. 같은 맥락에서 C&C 서버로의 네트워크 연결을 차단하는 서명을 생성할 때 티샤크를 어떻게 이용할 수 있는지도 살펴본다.

작업 자동화(기초)에서는 티샤크와 파이썬 스크립트를 이용해서 작업을 자동화할 때 유용한 몇 가지 트릭을 다룬다.

[ 저자 서문 ]

네트워크 관리자나 보안 담당자의 주요 업무 중 하나는 네트워크 트래픽 분석이다. 그리고 네트워크 문제를 찾아내 장애를 최소화하거나 보안 사고를 해결하는 일, 라우팅 프로토콜의 정상 동작 여부를 확인하거나 소켓을 이용해 애플리케이션을 테스트하는 일 등의 업무를 수행하려면 프로토콜 분석 툴을 능숙하게 사용할 수 있어야 한다. 티샤크(Tshark)는 와이어샤크(Wireshark)의 커맨드라인 버전으로 방금 언급한 작업에 적절한 툴을 찾고 있는 전문가나, 네트워킹의 세계에 뛰어 들어 TCP/IP 네트워크 프로토콜의 동작을 심도 있게 이해하고자 하는 학생에게 딱 맞는 툴이다. 티샤크를 이용하면 유닉스나 리눅스 서버같이 GUI 환경이 제공되지 않는 경우에도 와이어샤크의 필터링 기능을 모두 이용할 수 있기 때문에 매우 다양한 방식으로 네트워크 트래픽을 식별하고 나타낼 수 있다. 이 책에서는 다수의 보안과 통신 분야 전문가들이 매일 같이 당면하는 실례를 통해 티샤크의 실질적인 활용 범주를 빠짐 없이 살펴본다.


[ 저자 소개 ]

보르카 메리노 (Borja Merino)
스페인 레온 출신의 보안 연구가다. 살라망카 폰티피시아 대학교에서 컴퓨터 과학을 전공했고 OCSP, OSWP, OSCE, CCNA Security, CCSP, Cisco Firewall, SMFE, CISSP, NSTISSI 4011 등의 자격증을 보유하고 있으며, 모의해킹과 익스플로잇 개발에 대한 논문을 다수 발표했다. 또 메타스플로잇 모듈을 개발 및 배포하고 있고, 팀 블로그 www.securityartwork.com에 정기적으로 보안 관련 글을 게재 중이다. 트위터 계정 @BorjaMerino에서 메리노의 최신 소식을 접할 수 있다.


[ 옮긴이의 말 ]

와이어샤크(Wireshark)는 분명 최고의 네트워크 패킷 분석툴이다. 게다가 GUI 기반이라 어렵지 않게 배우고 활용할 수 있다. 하지만 GUI는 고급 사용자에게 있어 툴의 활용도를 제한하는 장애물이기도 하다. 예를 들어 스크립트를 이용해서 포렌식 업무 중 일부를 자동화하는 경우에 와이어샤크를 사용하긴 좀처럼 쉽지 않다. 와이어샤크와 동일한 기능을 지닌 커맨드라인 툴인 티샤크(TShark)는 이런 경우 매우 적절히 활용할 수 있다. 고급 사용자에게 커맨드라인 툴은 무한한 가능성을 의미한다. 자신이 좋아하는 언어(파이썬, 배시 스크립트 등)로 다양한 툴을 엮어 매우 강력한 기능의 분석툴을 만들고 다양한 업무를 자동화할 수 있기 때문이다.

이 책은 와이어샤크의 커맨드라인 버전인 티샤크의 사용법을 짧고 굵게 다룬다. 네트워크 패킷과 프로토콜 분석의 기본은 가볍게 다루고 실제 상황(악성코드 패킷 분석, 공격 패킷 분석 등)에서 티샤크를 어떻게 활용하는지 간단 명료하게 설명한다. 필터나 옵션의 동작원리도 빼놓지 않았기 때문에 독자는 티샤크의 강력한 기능을 자신의 필요에 맞게 적용할 수 있다.

이 책은 네트워크 프로토콜 분석 업무의 정수만을 간추려 담았다고 감히 말할 수 있다. 패킷 분석의 고급 기술을 연마하고 싶지만 현행 업무에 치여 책 한 권(특히 네트워크 패킷 분석을 다룬 방대한 분량의 책)의 여유를 누리기 어려운 직장인이나 네트워크 포렌식 업무를 공부하고 싶지만 방향을 잡지 못한 학생에게 더할 나위 없이 좋은 참고서다. 강력히 추천한다.


[ 옮긴이 소개 ]

민병호
서울대학교 컴퓨터공학과에서 학사와 석사를 마치고 정보 보안 연구가로 활동 중이며 에이콘출판사의 해킹•보안 시리즈 에디터를 맡고 있다. 옮긴 책으로 에이콘출판사에서 펴낸 『새로 보는 프로그래밍 언어』(2008),『리눅스 방화벽』(2008),『크라임웨어』(2009),『해킹 초보를 위한 웹 공격과 방어』(2011),『BackTrack 4 공포의 해킹 툴 백트랙 4』(2011),『BackTrack 5 Wireless Penetration Testing 한국어판』(2011),『보안 전문가와 아이폰 개발자를 위한 iOS 해킹과 방어』(2012)가 있다.

목차

• 티샤크를 활용한 네트워크 트래픽 분석
  • 티샤크로 데이터 캡처(기초)
  • 트래픽 캡처(기초)
  • 네트워크 문제 원인 찾아내기(핵심)
  • 유용한 필터 구현(핵심)
  • 프로토콜 디코딩(고급)
  • 네트워크 공격 감사(고급)
  • 네트워크 포렌식 데이터 분석(고급)
  • 네트워크 애플리케이션 감사(기초)
  • 악성코드 트래픽 분석(기초)