와이어샤크 트러블슈팅
도서명:와이어샤크 트러블슈팅
저자/출판사:로라,채플/에이콘출판
쪽수:424쪽
출판일:2016-08-30
ISBN:9788960778948
목차
1부. 문제 해결 준비
1장. 효과적인 문제 해결 기법 사용
__4단계 분석 방법론 예제
____1단계: 문제 정의
____2단계: 시스템, 애플리케이션, 경로 정보 수집
____3단계: 패킷 흐름 캡처 분석
____4단계: 다른 도구 검토
__문제 해결 체크리스트 사용
____추적 파일 무결성과 기본 대화 확인
____불만 있는 사용자의 트래픽에 집중
____지연 탐지 및 우선순위 지정
____처리율 문제 찾기
____기타 트래픽 특성 확인
____TCP 기반 애플리케이션: TCP 연결 문제/능력 결정
____TCP 기반 애플리케이션: TCP 문제 확인
____UDP 기반 애플리케이션: 통신 문제 확인
____애플리케이션 오류 발견
2장. 핵심 와이어샤크 문제 해결 작업 정복
__문제 해결 프로파일 작성
____와이어샤크 실습 1. 문제 해결 프로파일 작성
__패킷 목록 창 칼럼 개선
____와이어샤크 실습 2. HTTP 지연을 찾기 위해 사용자 칼럼 사용
__Time 칼럼 설정 변경
____와이어샤크 실습 3. 경로 대기 시간 탐지를 위해 Time 칼럼 설정
__호스트, 서브넷, 대화 필터링
____와이어 샤크 실습 4. 단일 대화 추출 및 저장
__포트 기반 애플리케이션 필터링
____와이어샤크 실습 5. 포트 기반 트래픽 필터링
__필드 존재 또는 필드 값 필터링
____와이어샤크 실습 6. HTTP Request Method 필드 필터링으로 클라이언트 요청 보기
____와이어샤크 실습 7. 윈도우 크기 필드 필터링으로 버퍼 문제 찾기
__ ‘정상’ 트래픽 필터링(배제 필터)
____!와 ==을 사용할 때와 !=을 사용할 때
____와이어샤크 실습 8. 애플리케이션과 프로토콜 필터링 제외
__필터 표현식 버튼 생성
____와이어샤크 실습 9. 누락 TCP 기능 탐지 버튼 생성
__전문가 정보 실행과 탐색
____와이어샤크 실습 10. 네트워크 문제 확인에 전문가 정보 사용
__해석기 동작 변경(Preference 설정)
____와이어샤크 실습 11. HTTP 응답 시간 측정을 위해 TCP 해석기 재조립 설정 변경
__최다 대화자 찾기
____와이어샤크 실습 12. 가장 활동적인 대화 찾기(바이트 수)
__기본 IO 그래프 작성
____와이어샤크 실습 13. IO 그래프에서 처리율 문제 빠르게 찾기
__컬러링 규칙 추가
____와이어샤크 실습 14. DNS 오류를 강조하기 위한 컬러링 규칙 작성
3장. 적절한 캡처 기법 사용
__캡처 위치 선정 팁
__스위치 네트워크의 캡처 옵션
____사용자 컴퓨터에 와이어샤크(또는 다른 캡처 도구) 설치
____스위치 포트 스패닝
____TAP 사용
____최후의 선택 - 허브
__높은 트래픽률 링크의 캡처
__무선 캡처 옵션 고려
____기본 어댑터 기능 확인
____와이어샤크 실습 15. 기본 무선랜 어댑터 캡처 기능 테스트
____AirPcap 어댑터 사용
__높은 트래픽률일 때 파일 집합으로 캡처
____와이어샤크 실습 16. 파일 집합 캡처 및 작업
__필요 시 캡처 필터 사용
____와이어샤크 실습 17. MAC 주소 필터 생성 및 적용
2부. 증상 기반 문제 해결
4장. 확인 문제
__침묵은 금이 아니다: 대상 호스트 트래픽 확인
____캡처 과정 확인
____TCP/IP 확인 플로우 차트
____포트 확인
____이름 확인
____위치 확인 - 로컬 또는 원격
____MAC 주소 확인 - 로컬 대상
____경로 확인
____MAC 주소 확인 - 원격 대상
__확인 문제로 침묵한 클라이언트
____이름 확인 문제
____경로 확인 문제
____MAC 주소 확인 문제
____와이어샤크 실습 18. 이름 확인 문제 식별
____와이어샤크 실습 19. 로컬 주소 확인 문제 발견
__서버 응답 부재 분석
____와이어샤크 실습 20. TCP 연결 요청 무응답
____와이어샤크 실습 21. 서비스 요청 무응답
5장. 시간 문제 해결
__'정상' 또는 허용 가능한 지연에 집중하지 마라
____DNS 쿼리 전 지연
____TCP FIN 또는 RST 패킷 전 지연
____클라이언트가 서버에 요청 보내기 전 지연
____Keep-Alive 또는 Zero Window Probe 전 지연
____TCP FIN 또는 RST 앞에 오는 TLS 암호화된 경고 전 지연
____주기적 연결 패킷 전 지연
__정말 중요한 지연을 살펴라
____서버의 SYN/ACK 응답 전 지연
____클라이언트의 3방향 TCP 핸드셰이크 종료 전 지연
____서버 응답 전송 전 지연
____데이터 스트림의 다음 패킷 전 지연
____TCP 피어로부터의 ACK 전 지연
____윈도우 업데이트 전 지연
__UDP 대화 지연 탐지
____디스플레이 필터 값
____UDP 지연 탐지 방법
____와이어샤크 실습 22. UDP 대화 통계 확인 및 UDP 대화 필터링
____와이어샤크 실습 23. 시간차 칼럼 추가 및 정렬
____와이어샤크 실습 24. 표시 시간차 칼럼 추가 및 정렬
____와이어샤크 실습 25. UDP 지연 그래프
__TCP 대화의 지연 탐지
____디스플레이 필터 값
____TCP 환경 설정: 대화 타임스탬프 계산
____와이어샤크 실습 26. TCP 대화 통계 확인
____와이어샤크 실습 27. 스트림 인덱스 필드에 의한 TCP 대화 필터링
____와이어샤크 실습 28. TCP 스트림 인덱스 칼럼 추가
____와이어샤크 실습 29. TCP 시간 차 칼럼 추가 및 정렬
____와이어샤크 실습 30. ‘TCP Delay’ 버튼 추가
____와이어샤크 실습 31. TCP 핸드셰이크를 이용한 왕복 시간(RTT) 계산
____SYN과 SYN/ACK 패킷 필터(TCP 핸드셰이크의 패킷 1과 2)
____SYN/ACK와 ACK 패킷 필터(TCP 핸드셰이크의 패킷 2와 3)
____SYN과 ACK 패킷 필터(TCP 핸드셰이크의 패킷 1과 3)
____와이어샤크 실습 32. 디스플레이 필터로 RTT 계산
____와이어샤크 실습 33. TCP 지연 그래프
__긴 DNS 응답 시간 찾기
____디스플레이 필터 값
____와이어샤크 실습 34. dns.time 칼럼 추가 및 정렬로 DNS 응답 시간 찾기
____와이어샤크 실습 35. 긴 DNS 응답 시간 탐지 버튼 생성
____와이어샤크 실습 36. DNS 응답 시간 그래프
__긴 HTTP 응답 시간 찾기
____디스플레이 필터 값
____와이어샤크 실습 37. TCP 스트림 재조립에 해석기 사용 환경 설정 비활성화
____와이어샤크 실습 38. HTTP 응답 시간 칼럼 추가 및 정렬로 HTTP 응답 시간 찾기
____와이어샤크 실습 39. 긴 HTTP 응답 시간 탐지 버튼 생성
____와이어샤크 실습 40. HTTP 응답 시간 그래프
__긴 SMB 응답 시간 찾기
____디스플레이 필터 값
____와이어샤크 실습 41. SMB 응답 시간 칼럼 추가 및 정렬
____와이어샤크 실습 42. SMB 통계 검토(Statistics 〉 Service Response Times 〉SMB)
____와이어샤크 실습 43. 긴 SMB 및 SMB2 응답 시간 탐지 버튼 생성
____와이어샤크 실습 44. SMB 응답 시간 그래프
6장. 와이어샤크 전문가를 이용한 문제 식별
__와이어샤크 전문가 정보 시스템 개요
__캡처되지 않은 이전 세그먼트
____디스플레이 필터 값
____와이어샤크 패킷 손질 탐지 프로세스 개요
____패킷 손실 원인은?
____패킷 손실 복구 방법 1 - 빠른 복구
____패킷 손실 복구 방법 2 - 송신자 재전송 시간 초과(RTO)
____packet-tcp.c의 코드와 주석
____와이어샤크 실습 45. ‘캡처되지 않은 이전 세그먼트’ 알림 개수 필터 사용
____와이어샤크 실습 46. TCP 순서 확인 칼럼 추가
____와이어샤크 실습 47. ‘Bad TCP’ 필터 표현식 버튼 생성
____와이어샤크 실습 48. 전문가 정보로 패킷 손실 횟수 발견
____와이어샤크 실습 49. 패킷 손실 위치 발견
__중복 ACK
____디스플레이 필터 값
____트래픽 분석 개요
____중복 ACK의 원인
____packet-tcp.c의 코드와 주석
____와이어샤크 실습 50. 중복 ACK 개수 필터 사용
____와이어샤크 실습 51. 전문가 정보로 중복 ACK 발견
____와이어샤크 실습 52. 선택적 ACK 사용 여부 확인
__순서 바뀐 패킷
____디스플레이 필터 값
____트래픽 분석 개요
____순서 바뀐 패킷의 원인
____packet-tcp.c의 코드와 주석
____와이어샤크 실습 53. 순서 바뀐 패킷 개수 필터 사용
____와이어샤크 실습 54. 전문가 정보로 순서 바뀐 패킷 발견
__빠른 재전송
____디스플레이 필터 값
____트래픽 분석 개요
____빠른 재전송의 원인
____packet-tcp.c의 코드와 주석
____와이어샤크 실습 55. 빠른 재전송 패킷 개수 필터 사용
____와이어샤크 실습 56. 전문가 정보로 빠른 재전송 패킷 발견
__재전송
____디스플레이 필터 값
____트래픽 분석 개요
____재전송의 원인
____packet-tcp.c의 코드와 주석
____와이어샤크 실습 57. 재전송 패킷 개수 필터 사용
____와이어샤크 실습 58. 전문가 정보로 재전송 패킷 발견 및 전문가 정보 비교에 시간 참고 사용
__미도착 세그먼트 확인 응답
____디스플레이 필터 값
____트래픽 분석 개요
____미도착 세그먼트 확인 응답의 원인
____packet-tcp.c의 코드와 주석
____와이어샤크 실습 59. 미도착 세그먼트 확인 응답 경고 개수 필터 사용
____와이어샤크 실습 60. 전문가 정보로 미도착 세그먼트 확인 응답 알림 발견
__Keep Alive와 Keep Alive ACK
____디스플레이 필터 값
____트래픽 분석 개요
____Keep Alive의 원인
____packet-tcp.c의 코드와 주석
____와이어샤크 실습 61. Keep Alive/Keep Alive ACK 패킷 개수 필터 사용
____와이어샤크 실습 62. 전문가 정보로 Keep Alive/Keep Alive ACK 패킷 발견
____와이어샤크 실습 63. 제로 윈도우 조건에 사용된 Keep Alive 패킷 확인
__제로 윈도우
____디스플레이 필터 값
____트래픽 분석 개요
____제로 윈도우 조건의 원인
____윈도우 크기 값 필드와 계산된 윈도우 크기 필드
____packet-tcp.c의 코드와 주석
____와이어샤크 실습 64. 제로 윈도우 패킷 분석을 위한 개수 필터 및 칼럼 사용
____와이어샤크 실습 65. 전문가 정보로 제로 윈도우 패킷 발견
____문제 발생 전 가득 찬 윈도우
____와이어샤크 실습 66. 가득 찬 윈도우 조건의 지연 측정
__가득 찬 윈도우
____디스플레이 필터 값
____트래픽 분석 개요
____가득 찬 윈도우의 원인
____packet-tcp.c의 코드와 주석
____와이어샤크 실습 67. 가득 찬 윈도우 패킷 개수 필터 사용
____와이어샤크 실습 68. 전문가 정보로 가득 찬 윈도우 패킷 발견
____와이어샤크 실습 69. ‘멈춘’ 애플리케이션 감시에 Bytes in Flight 사용
__제로 윈도우 프로브와 제로 윈도우 프로브 ACK
____디스플레이 필터 값
____트래픽 분석 개요
____제로 윈도우 프로브의 원인
____packet-tcp.c의 코드와 주석
____와이어샤크 실습 70. 제로 윈도우 프로브와 제로 윈도우 프로브 ACK 패킷 개수 필터사용
____와이어샤크 실습 71. 전문가 정보로 제로 윈도우 프로브와 제로 윈도우 프로브 ACK 패킷 발견
__윈도우 업데이트
____디스플레이 필터 값
____트래픽 분석 개요
____윈도우 업데이트의 원인
____packet-tcp.c의 코드와 주석
____와이어샤크 실습 72. 윈도우 업데이트 패킷 개수 필터 사용
____와이어샤크 실습 73. 전문가 정보로 윈도우 업데이트 패킷 발견
__포트 재사용
____디스플레이 필터 값
____트래픽 분석 개요
____포트 재사용의 원인
____packet-tcp.c의 코드와 주석
____와이어샤크 실습 74. 포트 재사용 패킷 개수 필터 사용
____와이어샤크 실습 75. 전문가 정보로 포트 재사용 패킷 발견
__체크섬 오류
____디스플레이 필터 값
____트래픽 분석 개요
____체크섬 오류의 원인
____packet-tcp.c의 코드와 주석
____와이어샤크 실습 76. 전문가 정보로 체크섬 오류 탐지
7장. 애플리케이션 오류 식별
__DNS 오류 탐지
____디스플레이 필터 값
____트래픽 분석 개요
____와이어샤크 실습 77. ‘DNS 오류’ 필터 표현식 버튼 생성 및 사용
__HTTP 오류 탐지
____디스플레이 필터 값
____트래픽 분석 개요
____와이어샤크 실습 78. ‘HTTP 오류’ 필터 표현식 버튼 생성 및 사용
__SMB/SMB2 오류 탐지
____디스플레이 필터 값
____트래픽 분석 개요
____와이어샤크 실습 79. ‘SMB/SMB2 오류’ 필터 표현식 버튼 생성 및 사용
__SIP 오류 탐지
____디스플레이 필터 값
____트래픽 분석 개요
____와이어샤크 실습 80. ‘SIP 오류’ 필터 표현식 버튼 생성 및 사용
__다른 애플리케이션의 오류 응답 탐지
____와이어샤크 실습 81. 다른 애플리케이션 오류 필터 및 필터 표현식 버튼 생성
3부. 문제 탐지에 그래프 사용하기
8장. IO 그래프 기본 및 고급 기능 마스터
__개별 대화 그래프
____와이어샤크 실습 82. 두 대화의 처리율 그래프 비교
__단일 애플리케이션의 전체 트래픽 그래프
____와이어샤크 실습 83. 두 애플리케이션의 처리율 그래프 비교
__고급 IO 그래프에서 CALC 함수 사용
____와이어샤크 실습 84. 고급 IO 그래프로 TCP 페이로드 처리율 그래프 작성
9장. 처리율 문제 그래프로 그리기
__작은 패킷 크기로 인한 지속적인 낮은 처리율 탐지
____와이어샤크 실습 85. 아주 작은 패킷 때문에 낮아진 처리율의 그래프
__경로상의 큐 지연 식별
____와이어샤크 실습 86. IO 그래프에서 큐 트래픽 패턴 식별
__처리율 감소와 TCP 문제의 상관관계 파악('골든 그래프')
____와이어샤크 실습 87. ‘골든 그래프’로 네트워크 문제 확인하기
10장. 시간 지연 그래프
__큰 시간차 그래프(UDP 기반 애플리케이션)
____와이어샤크 실습 88. 느린 DHCP 서버 응답 그래프
__큰 TCP 시간차 그래프(TCP 기반 애플리케이션)
____와이어샤크 실습 89. 큰 TCP 시간차 그래프 및 분석
11장. 기타 네트워크 문제 그래프
__윈도우 크기 문제 그래프
____와이어샤크 실습 90. TCP 분석 필터로 윈도우 크기 문제 그래프 그리기
____와이어샤크 실습 91. 계산된 윈도우 크기 필드와 윈도우 크기 그래프로 윈도우 크기 문제 그래프 그리기
__패킷 손실 및 복구 그래프
____와이어샤크 실습 92. TCP 분석 필터로 패킷 손실 및 복구 그래프 그리기
____와이어샤크 실습 93. TCP 시간-순서 번호 그래프로 패킷 손실 및 복구 그래프 그리기
12장. 타사의 그래프 도구로 트래픽 내보내기
__패킷 목록 창 칼럼을 CSV 포맷으로 내보내기
____와이어샤크 실습 94. 모든 칼럼을 CSV 포맷으로 내보내기
__추적 파일 및 패킷의 주석 리포트 내보내기
____와이어샤크 실습 95. 추적 파일과 패킷에 주석 추가하고 내보내기
__패킷을 TXT 포맷으로 내보내기
____와이어샤크 실습 96. 비정상적인 DNS 서버 오류 내보내기
4부. 와이어샤크 문제 해결의 마지막 팁
13장. 마지막 팁
__큰 추적 파일을 다루는 팁
____Editcap으로 큰 파일 나누기
____Tshark와 디스플레이 필터로 추적 파일의 부분 집합 생성
____Cascade Pilot (별칭 ‘Pilot’)에서 큰 추적 파일 열기
__추적 파일 이름 정하는 팁
__보안과 성능 문제 발견 팁
__‘골든 그래프’ 쉽게 그리는 팁
____와이어샤크 실습 97. 골든 그래프에 적용할 Bad TCP 디스플레이 필터 저장
__TCP 기반 애플리케이션 분석 팁
__일시적 문제의 원인 발견 팁
__무선랜 문제 탐지 팁
____관리, 제어 및 데이터 프레임 캡처
____Radiotap 또는 PPI 헤더를 앞에 추가
____802.11 헤더 캡처
____와이어샤크 실습 98. 무선랜 재시도 필터링과 신호 강도 검토
__추적 파일 정리 팁
____Hex 편집기로 추적 파일 편집
____TraceWrangler 사용
__더 빨리 문제 찾는 팁
__TCP/IP의 원리를 알게 되는 팁
____트래픽을 분석하라
__막혔을 때의 팁
부록 A. 와이어샤크 문제 해결 프로파일 작성
__저자의 문제 해결 프로파일 가져오기
____와이어샤크 실습 99. 문제 해결 프로파일 가져오기
__DIY: 자기만의 새 문제 해결 프로파일 만들기
____와이어샤크 실습 100. 문제 해결 프로파일 작성
부록 B. 추적 파일 해설
부록 C. 네트워크 분석 용어 사전