[개발 지식] PCAP 파일이 무엇인지 알아보고 분석해보자

들어가며

자자 오늘은 PCAP 파일에 대해서 알아보도록 하자.

우선 이 친구가 어디에 사용되는 지 알 필요가 있다.

데이터 통신이나 컴퓨터망 수업에서 Packet(패킷)이라는 용어를 들어본 적이 있을 거다. (없다면 반성하자. 수업 시간에 그만 좀 자라.)

간단하게 설명하자면, 커다란 냉장고를 배송한다고 할 때, 냉장고를 통째로 배송하지는 않는다. (만약 그렇다면 쉽지 않을 거다.)

따라서, 효율적인 배송을 위해서 제품을 분해하고 배송을 진행할 것이다.

데이터도 마찬가지이다.

잘게 잘게 잘라서 전송하는 것이 효율적인데, 이 때 작은 데이터들을 Packet이라고 한다.

PCAP는 이러한 Packet을 캡쳐한 파일이다.

네트워크 분석을 위해서는 반드시 참고해야하는 자료 중에 하나이다.

 

분석 방법

1. 패킷 캡처
앞서 PCAP 파일은 Packet을 분석하는 자료라고 말했었다.

따라서, 우선 Packet을 찾아서 저장해야한다.

대표적인 PCAP 파일 분석 도구인 Wireshark를 사용하여, PCAP 파일을 생성해준다.

Wireshark 내에서 ctrl+s를 통해 쉽게 저장할 수 있고, 위의 사진처럼 010101이 적힌 파일이 생성된 것을 확인할 수 있다.

 

2. 패킷 열기

Wireshark에서 PCAP 파일을 열어 패킷의 목록을 확인한다.

이때, 패킷을 시간순으로 정렬하거나 검색을 통해서 특정 프로토콜(예: TCP, UDP, ICMP) 필터를 적용하여 관심 있는 데이터를 선별할 수 있다.

출처: Wireshark(사내 보안 문제로 공식 홈페이지에서 사용하는 이미지를 사용하였습니다.)

3. 헤더 정보 분석

Packet을 처음 열어보면 상당히 난감할 것이다.

왜냐하면 숫자로 가득차있기 때문이다. (필자는 쫄지 않았다.)

하지만, 통신이라는 것이 사람들간의 일정한 규칙으로 만들어진 하나의 약속이기 때문에 각각 의미가 존재한다. 

숫자가 오밀조밀하게 붙어있다보니, 가독성이 좋은 편은 아니지만 나름대로 분석한 결과이다. (일부러 데이터가 큰 패킷을 선정한 것도 가독성이 떨어지는 데 한 몫 했다.)

여러 내용들이 있지만, 그 중에서도 굵직한 것들을 살펴보자면, 보내는 IP와 받는 IP와 같이 송수신자의 정보가 존재한다는 것이다.

데이터 통신에서 다양한 프로토콜이 존재하지만, 이는 공통적으로 확인할 수 있는 요소였다.

 

TTL?

그리고 필자가 개인적으로 신기했던 부분은 바로 'Time to live'라는 요소였다.

처음에는 밀리 초나 마이크로 초와 같이 일정 시간에서만 데이터의 효력이 있는 것이라고 생각했는데, 그런 개념은 아니였다.

TTL은 바로, 데이터 패킷이 라우터를 통과할 수 있는 최대 횟수를 나타낸다.

예를 들어, TTL이 5라면, 해당 패킷은 라우터를 최대 5번 밖에 통과할 수 없다.

만약 TTL이 0인 상태에서 목적지에 도착하지 못한다면, 해당 데이터는 의미가 없어지는 것이다. (데이터 미아 ㅠ)

 

Data Payload

그리고 헤더 파일을 지나가게 되면, 완전 큰 16진수 데이터가 등장하게 된다.

이는 Payload라고 불리며, 데이터의 알맹이이자 본문에 해당한다.

패킷의 헤더는 데이터를 어떻게 처리하고 어디로 보내야 하는지와 같은 메타 정보를 포함하지만, payload는 실제로 전송하고자 하는 데이터의 내용인 것이다.

웹 페이지 요청이나 이메일 내용, 파일 전송 등 모든 중요한 데이터 정보가 여기에 포함된다.

 

마치며

오늘은 이렇게 PCAP 파일에 대해서 알아보고 간단하게 분석해보았다.

이를 통해 뭔가 느낀 점이 없는가?

필자는 개인적으로 중요한 정보는 통신을 통해서 전달하는 것보다 외장 하드나 USB로 전달하는 것이 좋겠다는 생각이 들었다. (소중하잖아요)

안전하다고 생각했던 데이터 통신이 그렇지만은 않다고 몸으로 느낄 수 있는 시간이었다.

사진과 같은 데이터도 낚아채서 볼 수가 있고 이메일 내용도 그대로 보여지니 참으로 무서울 따름이다. (사실 안무섭다)

무튼무튼 본격적으로 더 공부해서 열심해 해야겠다 !