진단을 위해 Wireshark로 네트워크 트래픽 캡처 및 분석

다운로드 옵션

  • PDF     (281.3 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (79.4 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (64.5 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2025년 10월 22일
문서 ID:225250

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

목차

소개

이 문서에서는 Wireshark를 사용하여 진단용으로 네트워크 트래픽을 캡처하고 분석하는 방법을 설명합니다.

개요

Wireshark는 패킷 캡처("TCP 덤프"라고도 함)를 읽고 분석하는 데 사용할 수 있는 무료 애플리케이션입니다. 패킷 캡처는 패킷 레벨에서 네트워크 어댑터를 통한 모든 통신을 표시하므로 DNS, HTTP, ping 및 기타 트래픽 유형을 볼 수 있습니다. 패킷 캡처는 심층적인 문제 해결을 위한 진단 단계로서 특히 유용하며, 이제 SIG의 도입으로 진단 프로세스의 기본적인 부분이 되었습니다.

alt-tag-for-image

참고: Wireshark는 선택한 어댑터의 모든 트래픽을 캡처합니다. 패킷 캡처에는 PII(개인 식별 정보)가 포함되어 있는 경우가 많으므로, 항상 Box 링크와 같은 보안 방법을 사용하여 지원 기능과 캡처 파일을 공유합니다.

Wireshark 받기

Windows, macOS 또는 Linux용 Wireshark는 다음 사이트에서 다운로드할 수 있습니다. https://www.wireshark.org/

패킷 캡처 수집

  1. 인터넷에 연결된 네트워크 어댑터를 선택하고 Wireshark에서 캡처를 시작합니다.
  2. 캡처하는 동안 진단할 문제를 재현합니다.
  3. 완료되면 캡처를 중지하고 파일을 a.pcap 저장합니다.

기본 포트 및 프로토콜

  • 대부분의 패킷은 전송 레이어 프로토콜 TCP 또는 UDP에서 통신합니다
    • 예를 들어 "DNS"는 기본적으로 "on top of" UDP를 실행합니다. TCP가 실패할 경우 UDP로 전환됩니다.
  • HTTP 및 DNS는 전송 프로토콜 + 포트의 조합에서 실행되는 일반적인 프로토콜입니다.

전송 계층 프로토콜

포트

프로토콜 이름

사용
TCP 22 SSH 원격 VA 액세스
TCP 25 SMTP VA 모니터링
IP 50 ESP(보안 페이로드 캡슐화) 기밀성, 데이터 무결성, 원본 인증
IP 51 AH(인증 헤더) 데이터 무결성, 원본 인증
UDP 53 DNS DNS 기본값
TCP 53 DNS DNS 장애 조치
TCP 80 HTTP 웹 트래픽(암호화되지 않음), API
UDP 123 NTP VA 시간 동기화
TCP 443 HTTPS 암호화된 웹 트래픽, API, VA에 대한 AD 커넥터
UDP 443 HTTPS RC 암호화 DNS 쿼리
UDP 500 IKE IPsec 터널 협상
UDP 4500 NAT-T IPsec 터널에 대한 NAT 통과
TCP 8080 HTTP VA 통신에 대한 AD 커넥터

프로토콜 이름, 포트 및 용도를 알면 Wireshark에서 관련 트래픽을 식별하고 분석하는 데 도움이 됩니다.

기본 연산자

Wireshark에서 필터 문자열을 작성할 때 다음 연산자를 사용합니다.

  • ==: 같음(예:ip.dst==1.2.3.4)
  • !=: 같지 않음(예:ip.dst!=1.2.3.4)
  • &&: 및 (예:ip.dst==1.2.3.4 && ip.src==208.67.222.222)
  • ||: 또는 (예:ip.dst==1.2.3.4) | ip.dst==1.2.3.5)

고급 필터 옵션은 Wireshark 설명서를 참조하십시오. 6.4. 표시 필터 표현식 작성

필터

패킷 캡처에는 수천 개의 패킷이 포함될 수 있습니다. 필터는 특정 트래픽 유형에 초점을 맞출 수 있도록 지원합니다.

  • 프로토콜별:

    • dns - DNS 트래픽만 표시
    • http || dns - HTTP 또는 DNS 트래픽 표시

  • IP 주소별:

    • ip.addr==<IP>—<IP>와(과) 주고받는 모든 트래픽
    • ip.src==<IP>—<IP>의 모든 트래픽
    • ip.dst==<IP>—<IP>에 대한 모든 트래픽

  • 기타:

    • tcp.flags.reset==1 - TCP 재설정(시간 제한)을 확인합니다.
    • dns.qry.name contains "[domain]" — 도메인과 일치하는 DNS 쿼리
    • tcp.port==80 || udp.port==80— 포트 80의 TCP 또는 UDP 트래픽

패킷 보기 및 분석

패킷을 찾은 후 Wireshark 내의 세그먼트를 확장하여 세부 정보를 분석합니다. 프로토콜 구조에 익숙하면 이러한 세부 정보를 해석하고 필요한 경우 데이터를 재구성하는 데 도움이 됩니다.

데이터 스트림 팔로잉

패킷 목록을 사용하여 요청 및 응답 쌍을 찾을 수 있습니다. 패킷을 마우스 오른쪽 버튼으로 클릭하고 Follow > TCP Stream, UDP Stream, TLS Stream 또HTTP Stream을 선택하여 관련 요청 및 응답 시퀀스를 확인합니다.

  • 이는 단일 요청 프로토콜(예: DNS)보다 여러 교환(예: HTTP)이 있는 프로토콜에서 더 유용합니다.

개정 이력

개정 게시 날짜 의견
1.0
22-Oct-2025
최초 릴리스
TAC Authored

Cisco 엔지니어가 작성

  • TAC

이 문서가 도움이 되셨습니까?

Feedback피드백

지원 문의

이 문서가 적용되는 제품