2009년 12월 21일 월요일

패킷 분석 시작, 다섯가지 이것만은 알고 시작하자

바이너리 데이터로 가득한 패킷파일 복잡하고 어렵게만 느껴지는가? 이것만은 알고 시작하면 처음 접근은 어렵지 않을 것이다.

첫째, 패킷 분석에 앞서 필요한 것은 도구의 선택이다.

도구의 도움 없이 분석하는 것은 현실적으로 어렵다. 선택한 도구는 내 자신의 것으로 만들어라.
사용하는 도구의 기능을 알아야 빠르고 효율적인 분석이 가능해 진다. 만약 와이어샤크를 선택했다면
이 도구가 지원하는 많은 기능을 가급적 내 것으로 익히고 직접 수행해 보아야 한다.
the-swiss-army-knife.jpg

이미지출처 : palscience.com


둘째, 분석의 목적은 무엇인지 판단해라

패킷 분석을 통해 어떤 정보를 얻으려는 것인지 명확해야 한다.
목적에 따라 분석의 방법이 달라진다. 몇 십메가에 이르는 데이터라면 분석하는데 많은 시간이 소요된다. 왜(Why) 이것을 분석해야 하고 무엇을 얻어야 하는 것인지 명확하게 해야 한다.

셋째, 분석의 범위를 파악해라

모든 패킷을 세부적으로 분석하는 것은 많은 시간을 필요로 한다. 분석의 범위를 한정하여 필요한 내용만을 걸러내자. 예를 들어, 개발중인 특정 포트의 애플리케이션에 문제가 있다면 해당 포트번호로 필터를 사용한다. 또 일반적으로 발생하는 브로드캐스팅 및 기타 프로토콜을 제외하고 시작하는 것 만으로도 첫 접근이 보다 쉬워질 것이다.

넷째, 끈기와 인내가 필요하다

패킷파일의 분석을 시작한다고 바로 분석하고자 하는 문제의 해답을 얻을 수 있는 것은 아니다. 여러분이 100 메가가 되는 패킷파일의 분석의뢰를 받았다고 가정해 보자. 100 메가! 생각만 해도 답답하다. 여기서 찾고자 하는 데이터를 찾는 것은 쉽지 않다. 그만큼 끈기와 인내가 필요로 한다.

다섯째, 패킷파일은 모든 문제의 해결책이 되지는 못한다.

패킷파일을 들여다 보면 문제의 원인이 다 해결될 것이라고 믿는 사람도 있다. 그러나 이것은 어디까지나 하나의단서가 되거나 여러가지 가능성에 대해 단지 약간의 실마리만을 제공할지도 모른다. 문제의 해결은 종합적인 관점에서 접근해라.

일단 필자가 생각하는 관점에서 이 정도만 갖고 시작하면 패킷 분석 막연하지만은 않을것이다.

@Rigel

댓글 없음:

댓글 쓰기