패킷 분석

TrusGuard를 지나는 패킷을 실시간으로 저장하고 패킷의 내용을 확인할 수 있습니다. 저장한 패킷은 *.pcap 파일로 내보낼 수 있습니다. *.pcap 파일의 내용은 패킷 분석 프로그램을 이용하여 분석할 수 있습니다.

패킷 캡처

원하는 패킷을 캡처하는 방법은 다음과 같습니다.

1. 메뉴에서 정책->유틸리티->패킷 분석을 선택합니다.

2. <패킷 분석>이 나타나면 분석을 위해 캡처할 패킷의 조건을 설정합니다.

• 네트워크 포트: 선택한 네트워크 포트를 통과하는 패킷을 캡처합니다.

• 프로토콜: 프로토콜을 선택합니다. 기본 값은 모두이며, 모두, TCP, UDP, ICMP, ARP 중에서 선택할 수 있습니다.

• 모두: TCP, UDP, ICMP, ARP을 모두 캡처합니다.

• TCP: TCP 프로토콜 패킷만 캡처합니다.

• UDP: UDP 프로토콜 패킷만 캡처합니다.

• ICMP: ICMP 프로콜 패킷만 캡처합니다.

• ARP 목록: ARP 프로토콜 패킷만 캡처합니다.

• 방향: 패킷이 전달되는 방향을 선택합니다. 기본 값은 ->이며, ->, <-, <-> 중에서 선택할 수 있습니다.

• ->: 출발지 IP 주소에 입력한 IP 주소에서 목적지 IP 주소에 입력한 IP 주소로 가는 패킷을 캡처합니다.

• <-: 목적지 IP 주소에 입력한 IP 주소에서 출발지 IP 주소에 입력한 IP 주소로 가는 패킷을 캡처합니다.

• <->: 출발지 IP 주소와 목적지 IP 주소에 입력한 IP 주소를 오고 가는 패킷을 모두 캡처합니다.

• 출발지 IP 주소: 출발지 IPv4 또는 IPv6 주소를 입력합니다. IP 주소를 입력하지 않으면 모든 출발지 IP 주소에 대해 캡처합니다.

• 목적지 IP 주소: 목적지 IPv4 또는 IPv6 주소를 입력합니다. IP 주소를 입력하지 않으면 모든 목적지 IP 주소에 대해 캡처합니다.

• 출발지 포트: 출발지 포트를 입력합니다. 포트를 입력하지 않으면 모든 출발지 포트에 대해 캡처합니다.

• 목적지 포트: 목적지 포트를 입력합니다. 포트를 입력하지 않으면 모든 목적지 포트에 대해 캡처합니다.

3. 패킷 캡처를 누릅니다.

4. 필요한 만큼 패킷을 캡처했으면 중지를 눌러 패킷 캡처를 마칩니다.

5. 캡처된 패킷의 목록이 나타납니다.

6. 설정이 올바르지 않으면 다음과 같은 메시지가 나타날 수 있습니다.

• 올바른 출발지/목적지 IP 주소를 입력하십시오.: 입력된 값이 일반적인 IPv4 또는 IPv6 주소가 아닐 때

• 올바른 출발지/목적지 포트를 입력하십시오.: 잘못된 포트 값을 입력했을 때

패킷 목록

캡처한 패킷의 목록에서는 다음과 같은 정보를 확인할 수 있습니다.

• 페이지: 패킷 목록 전체 화면의 개수와 현재 화면의 페이지 번호입니다. 한 화면에는 50개의 항목만 나타납니다. 더 많은 목록을 보려면 목록 아래에 있는 화살표를 누르거나 페이지 번호를 입력합니다.

• 번호: 캡처된 패킷의 일련 번호입니다.

• 시간: 패킷이 캡처된 시간입니다.

• 출발지 IP 주소: 패킷의 출발지 IP 주소입니다.

• 포트: 패킷의 출발지 포트입니다.

• 목적지 IP 주소: 패킷의 목적지 IP 주소입니다.

• 포트: 패킷의 목적지 포트입니다.

• 프로토콜: 패킷의 프로토콜입니다.

• ID: 패킷 ID입니다.

• 오프셋: 패킷의 단편화 오프셋입니다. 전체 데이터그램에서의 상대적인 위치를 나타냅니다.

• TTL: 패킷의 TTL(Time To Live)입니다.

• 패킷 분할: 패킷 분할에 대한 정보입니다.

• 0: 일반적인 패킷입니다.

• F: 분할 가능한 패킷입니다.

• DF: 분할할 수 없는 패킷입니다.

• MF: 마지막 패킷입니다.

• 플래그: 패킷의 TCP 플래그입니다. 플래그가 없을 경우 -로 표시되며 플래그가 있을 경우 아래와 같이 구분하여 표시됩니다.

• U: 긴급히 데이터를 처리해야 할 때 사용하는 플래그(URG)입니다.

• A: 접속에 대해 응답하는 플래그(ACK)입니다.

• P: 데이터를 빨리 보내고자 할 경우에 사용하는 플래그(PSH)입니다.

• R: 원인을 알 수 없는 장애로 통신을 복구할 수 없는 경우 일방적으로 TCP의 가상 회선을 끊기 위해 사용하는 플래그(RST)입니다.

• S: 접속 요청을 할 때 사용하는 플래그(SYN)입니다.

• F: 데이터의 전송을 완료한 다음 연결 종료를 요청을 할 때 사용하는 플래그(FIN)입니다.

• 크기: 패킷의 크기입니다.

• 로그 ID: 패킷에 적용된 방화벽 정책의 로그 ID를 보여줍니다.

• NAT 우선 순위: NAT 유형과 NAT 우선 순위 번호를 보여줍니다. 표시되는 NAT 유형은 다음과 같습니다.

• PB_NAT: 정책 기반 NAT가 적용된 패킷

• IB_NAT: 네트워크 포트 기반 NAT가 적용된 패킷

• IPv6_NAT: IPv6 NAT가 적용된 패킷

패킷 내용 보기

1. 캡처한 패킷 목록에서 항목을 누르면 해당 패킷에 대한 자세한 정보를 볼 수 있는 <Packet Viewer>가 나타납니다.

• Packet Header: 패킷의 헤더에 있는 정보를 확인할 수 있습니다.

• Ethernet Header: MAC 주소나 이더넷 형태에 대해 확인할 수 있습니다.

• ARP Header: ARP 헤더에 있는 정보를 확인할 수 있습니다.

• ICMP Header: ICMP 헤더에 있는 정보를 확인할 수 있습니다.

• IP Header: IP 헤더에 있는 정보를 확인할 수 있습니다.

• TCP Header: TCP 헤더에 있는 정보를 확인할 수 있습니다.

• UDP Header: UDP 헤더에 있는 정보를 확인할 수 있습니다.

• Hexa Code: 패킷의 내용을 헥사 코드로 확인할 수 있습니다. 각 Ethernet Header, ARP Header, ICMP Header, IP Header, TCP Header, UDP Header에 출력된 필드 값에 커서를 올려 놓으면 HEXA Code에서 해당하는 부분의 배경색을 변경하여 해당 코드를 보여줍니다.

• ASCII Code: 패킷에 포함된 ASCII 코드를 확인할 수 있습니다.

2. 닫기를 눌러 창을 닫습니다.

패킷 목록 저장

패킷을 저장한 목록을 *.pcap 파일로 내보낼 수 있습니다. 패킷 분석 프로그램을 이용하면 *.pcap 파일의 내용을 다양하게 분석할 수 있습니다.

1. 패킷 캡처를 마치고 목록 오른쪽 위의 목록 저장을 누릅니다.

2. <파일 다운로드>가 나타납니다. 저장을 누릅니다.

3. <다른 이름으로 저장>에서 저장 위치, 파일 이름을 설정한 다음 저장을 누릅니다.

4. 지정한 위치에 파일이 저장됩니다.