소장자료검색

책소개

와이어샤크(Wireshark)는 지난 10여 년간 산업계와 교육기관에서 가장 많이 사용하는 사실상의 표준이다. 이 책은 IT 전문가들이 트러블슈팅, 보안과 네트워크 최적화를 위해 사용하는 필수 도구인 와이어샤크를 설명한 책 중 최고의 지침서가 될 것이다. 이 책의 저자인 로라 채플(Laura Chappell)은 HTCIA와 IEEE의 회원으로, 1996년부터 네트워크와 보안 관련 책을 10여권 이상 집필한 유명한 IT 교육 전문가이자 네트워크 분석 전문가다.

목차

1장 네트워크 분석의 세계
___네트워크 분석에 대한 정의
___분석 예제 따라 하기
______네트워크 분석가가 해야 하는 문제점 해결 작업
______네트워크 분석가가 해야 하는 보안 작업
______네트워크 분석을 위한 최적화 작업
______네트워크 분석가를 위한 애플리케이션 분석 작업
___네트워크 분석과 관련된 보안 이슈 이해
______네트워크 분석에 정책 정의
______네트워크 트래픽이 들어있는 파일의 안전성
______원치 않은 '스니퍼'로부터 네트워크 보호
______네트워크 트래픽 리스닝에 대한 법적 이슈 알아보기
___'건초더미에서 바늘 찾기 문제' 극복하기
___분석 작업 체크리스트 검토
___네트워크 트래픽 흐름 이해
______스위칭 개요
______라우팅 개요
______프록시, 방화벽, NAT/PAT 개요
______패킷에 영향을 미치는 기타 기술
______'잘 구축된' 인프라 장치에 대한 경고
___분석 세션 시작
___사례 연구: '필요 없는 패킷' 제거
___사례 연구: '안전하게 감춰진' 네트워크
___정리
___학습한 내용 복습
___연습 문제

2장 와이어샤크 소개
___와이어샤크란?
______와이어샤크 최신 버전
______와이어샤크 공개 버전과 개발자 버전 비교
______와이어샤크 개발자들에 대한 감사!
______와이어샤크 코드의 가치 계산
______와이어샤크 버그 리포트와 개선안 제출
______수출 규제 준수
______와이어샤크 기능에 영향을 주는 제품의 확인
___유/무선 네트워크에서 패킷 캡처
______Libpcap
______WinPcap
______AirPcap
___다양한 유형의 추적 파일 열기
___와이어샤크가 패킷을 처리하는 방법
______코어 엔진
______해독기, 플러그인, 디스플레이 필터
______그래픽 툴킷
___시작 페이지 사용
______캡처 영역
______파일 영역
______온라인 영역
______캡처 도움말 영역
___9개의 GUI 요소 식별
______타이틀 바 커스터마이징
______무선 툴바 표시
______창 열고 닫기
______상태 바 해석
___와이어샤크의 메인 메뉴
______File 메뉴 항목
______Edit 메뉴 항목
______View 메뉴 항목
______Go 메뉴 항목
______Capture 메뉴 항목
______Analyze 메뉴 항목
______Statistics 메뉴 항목
______Telephony 메뉴 항목
______Tools 메뉴 항목
______Help 메뉴 항목
___메인 툴바의 효과적 사용
______툴바 아이콘 정의
___필터 툴바를 이용한 빠른 작업
___무선 툴바 보이게 하기
___오른쪽 클릭 기능을 통한 옵션 접근
______오른쪽 클릭과 복사
______오른쪽 클릭과 칼럼 적용
______오른쪽 클릭과 Wiki 프로토콜 페이지(패킷 상세 정보 창)
______오른쪽 클릭과 필터 필드 참조(패킷 상세 정보 창)
______오른쪽 클릭과 이름 변환(패킷 상세 정보 창)
______오른쪽 클릭과 프로토콜 참조
___와이어샤크 메일링 리스트 가입
___와이어샤크 관련 사이트
___사례 연구: 데이터베이스가 동작하지 않음을 탐지
___정리
___학습한 내용 복습
___연습문제

3장 트래픽 캡처
___네트워크를 살펴보는 위치
___로컬에서 와이어샤크 실행
______휴대용 와이어샤크
______와이어샤크 U3
___교환형 네트워크에서 트래픽 캡처
______반이중 네트워크에서 단순 허브 사용
______전이중 네트워크에서 테스트 액세스 포트 사용
______원격 캡처용 분석기 에이전트 사용
______스위치에서 포트 스패닝/포트 미러링 설정
______SPAN 명령어의 예
______VLAN 스패닝
___라우터에 연결된 네트워크 분석
___무선 네트워크 분석
______모니터 모드
______본래의 어댑터 캡처 문제
___동시에 두 위치에서 캡처하기(듀얼 캡처)
___오른쪽 캡처 인터페이스 선택
______인터페이스 상세 정보
___원격으로 트래픽 캡처
______rpcapd에 대한 파라미터 환경 설정
______원격 캡처: 능동 모드와 수동 모드 환경 설정
______원격 캡처 환경 설정의 저장과 사용
___하나 이상의 파일에 자동으로 패킷 저장
______빠른 접속을 위한 파일 집합 생성
______저장되는 파일 수 제한을 위한 링 버퍼 사용
______자동으로 정지 기준 정의
___패킷 누락을 피하기 위한 와이어샤크 최적화
______최적화를 위한 캡처 옵션
______최적화 표시 옵션
___커맨드라인 캡처를 이용한 메모리 절약
___사례 연구: 이중 캡처 포인트 찾아내기
___사례 연구: 집에서 트래픽 캡처하기
___정리
___학습한 내용 복습
___연습 문제

4장 캡처 필터 생성과 적용
___캡처 필터의 목적
___자신에게 맞는 캡처 필터 생성
______식별자
______한정자
___프로토콜에 의한 필터링
___MAC/IP 주소나 호스트 네임 캡처 필터 생성
______애플리케이션 분석을 위한 'My MAC' 캡처 필터 사용
______추적 파일을 제외한 자신의 트래픽 필터링(배제 필터)
___하나의 애플리케이션 트래픽만 캡처
___캡처 필터를 조합하기 위한 연산자 사용
___바이트 값을 찾기 위한 캡처 필터 생성
___캡처 필터 파일의 수동 편집
______샘플 cfilters 파일
___캡처 필터 공유
___사례 연구: Kerberos UDP에서 TCP 이슈
___정리
___학습한 내용 복습
___연습 문제

5장 전역 환경 설정과 개인 환경 설정 정의
___환경 설정 폴더 찾기
___전역 환경 설정과 개인 환경 설정
___사용자 인터페이스 설정 커스터마이징
______'파일 열기(File Open)' 대화상자 동작
______목록 엔트리 최대화하기
______창 환경 설정
______칼럼
___캡처 환경 설정 정의
______빠른 캡처 시작을 위한 기본 인터페이스 선택
______다른 호스트의 트래픽을 분석하기 위해 무차별 모드 활성화
______차세대 추적 파일 형식: Pcap-ng
______실시간으로 트래픽 보기
______캡처하는 동안 자동 스크롤
___자동으로 IP와 MAC 이름 변환
______하드웨어 주소 변환(MAC 주소 변환)
______IP 주소 변환(네트워크 이름 변환)
______포트 번호 변환(전송 이름 변환)
______SNMP 정보 변환
______세계 지도에 IP 주소 표시
___통계 설정 구성
___ARP, TCP, HTTP/HTTPS, 기타 프로토콜 설정
______중복 IP 주소와 ARP 스톰 탐지
______와이어샤크가 TCP 트래픽을 처리하는 방법 정의
______HTTP와 HTTPS 분석에 대한 추가 포트 설정
______RTP 설정으로 VoIP 분석 강화
______SSL 트래픽을 해독하기 위한 와이어샤크 환경 설정
___오른쪽 클릭을 이용한 프로토콜 환경 설정
___사례 연구: 비표준 웹 서버 설정
___정리
___학습한 내용 복습
___연습 문제

6장 트래픽 컬러링
___트래픽을 구분하기 위한 컬러 사용
___컬러링 규칙 공유와 관리
___패킷이 특정 색상으로 된 이유 확인
___대화를 구분하기 위한 컬러링
___관심 있는 패킷을 일시적으로 마크
___스트림 재조립 컬러링 변경
___사례 연구: 로그인 동안 공유점 연결 컬러링
___정리
___학습한 내용 복습
___체크섬 Offloading 다루기
___연습 문제

7장 시간 값 지정과 요약 해석
___네트워크 문제점 식별을 위한 시간 사용
______와이어샤크의 패킷 시간 측정 방법
______이상적인 시간 표시 형식 선택
______시간 정확성과 분석 이슈
___시간 영역으로 추적 파일 전송
___시간 값으로 지연 식별
______시간 칼럼 추가 생성
______시간 기준을 이용한 패킷 도착 시간 측정
___클라이언트 지연, 서버 지연, 경로 지연 식별
______종단-대-종단 경로 지연 계산
______느린 서버 응답 찾기
______오버로드된 클라이언트 찾기
___트래픽률, 패킷 크기, 전송되는 전체 바이트의 요약 보기
______단일 요약 창에서 3개의 트래픽 유형 비교
______두개 이상의 추적 파일에 대한 요약 정보 비교
___사례 연구: 시간 칼럼으로 지연된 ACK 찾기
___정리
___학습한 내용 복습
___연습 문제

8장 기본 추적 파일 통계 해석
___와이어샤크 통계 창 시작
___네트워크 프로토콜과 애플리케이션 식별
___가장 활발한 대화 식별
___종단점 나열과 지도에 표시
___특정 트래픽 유형에 대한 대화와 종단점 나열
___패킷 길이 평가
___트래픽의 모든 IP 주소 나열
___트래픽의 모든 목적지 나열
___사용된 모든 UDP와 TCP 포트 나열
___UDP 멀티캐스트 스트림 분석
___트래픽 흐름과 그래프
___HTTP 통계 수집
___모든 WLAN 통계 검사
___사례 연구: 애플리케이션 분석: Aptimize Website Accelerator™
___사례 연구: VoIP 품질 문제 찾기
___정리
___학습한 내용 복습
___연습 문제

9장 디스플레이 필터 생성과 적용
___디스플레이 필터의 목적
___자동 완성 기능을 이용한 디스플레이 필터 생성
___저장된 디스플레이 필터 적용
___필터 지원을 위한 표현식 사용
___오른쪽 클릭 필터링을 사용해 디스플레이 필터 빠른 생성
______필터 적용
______필터 준비
______Copy As Filter
___대화와 종단점에서의 필터
___디스플레이 필터 구문
___비교 연산자를 이용한 디스플레이 필터 결합
___괄호로 디스플레이 필터의 의미 변경
___패킷에서 특정 바이트 필터링
___와이어샤크 디스플레이 필터의 실수 잡아내기
___복잡한 필터링을 위한 디스플레이 필터 매크로 사용
___일반적인 디스플레이 필터 실수 피하기
___dfilters 파일 직접 수정
___사례 연구: 데이터베이스 문제를 해결하기 위해 필터와 그래프 사용
___사례 연구: 복잡하고 어수선한 브라우저
___사례 연구: 바이러스와 웜 잡기
___정리
___학습한 내용 복습
___연습 문제

10장 스트림 추적과 데이터 조립
___트래픽 조립
___UDP 대화 추적과 조립
___TCP 대화 추적과 조립
______일반 파일 형식 식별
______FTP 파일 전송 재조립
___SSL 대화 추적과 재조립
___사례 연구: 식별된 알 수 없는 호스트
___정리
___학습한 내용 복습
___연습 문제

11장 와이어샤크 프로파일 변경
___프로파일로 와이어샤크를 취향에 맞게 변경
______프로파일 새로 생성
______프로파일 공유
______회사 프로파일 생성
______WLAN 프로파일 생성
______VoIP 프로파일 생성
______보안 프로파일 생성
___사례 연구: 고객을 위해 와이어샤크를 취향에 맞게 변경하기
___정리
___학습한 내용 복습
___연습 문제

12장 패킷 저장, 추출과 인쇄
___필터링, 마킹, 범위가 지정된 패킷 저장
___다른 프로그램에서 사용하기 위해 패킷 내보내기
___대화, 종단점, IO 그래프, 흐름 그래프 정보 저장
___패킷 바이트 내보내기
___사례 연구: 문제를 분리하기 위해 트래픽의 일부를 저장
___정리
___학습한 내용 복습
___연습 문제

13장 와이어샤크의 전문가 시스템 사용
___와이어샤크의 전문가 정보 가이드
______전문가 정보의 빠른 실행
______전문가 정보 요소 색상화
______TCP 전문가 정보 요소에 대한 필터
___TCP 전문가 정보 이해
______TCP 재전송 트리거
______이전 세그먼트 손실 트리거
______ACKed 손실 패킷 트리거
______킵 얼라이브 트리거
______중복 ACK 트리거
______제로 창 트리거
______제로 창 탐색 트리거
______제로 창 탐색 ACK 트리거
______킵 얼라이브 ACK 트리거
______고장 난 트리거
______빠른 재전송 트리거
______윈도우 업데이트 트리거
______윈도우가 가득 찼음 트리거
______재생된 TCP 포트 트리거
___사례 연구: 전문가 정보가 원격 액세스 골칫거리를 잡다.
___정리
___학습한 내용 복습
___연습 문제

14장 TCP/IP 분석 개요
___TCP/IP 기능의 개요
______모두 올바르게 동작할 때
______다중 단계 결정 프로세스
______단계 1: 포트 번호 결정
______단계 2: 네트워크 이름 결정(옵션)
______단계 3: 대상이 로컬일 때 라우터 결정
______단계 4: 로컬 MAC 주소 결정
______단계 5: 경로 결정(대상이 원격일 때)
______단계 6: 게이트웨이에 대한 로컬 MAC 주소 결정
___패킷 구축
___사례 연구: 네트워크 책임 회피하기
___정리
___학습한 내용 복습
___연습 문제

15장 DNS 트래픽 분석
___DNS의 목적
___일반적인 DNS 쿼리/응답 분석
___DNS 문제 분석
___DNS 패킷 구조 분석
______Transaction ID
______Flags
______Question Count
______Answer Resource Record(RR) Count
______Authority RRs Count
______Additional RRs Count
______Questions
______Answer RRs
______RR Time to Live
______Authority RRs
______Additional RRs
___DNS/MDNS 트래픽에서 필터링
___사례 연구: DNS가 웹 브라우징 성능을 저하시키다.
___정리
___학습한 내용 복습
___연습 문제

16장 ARP 트래픽 분석
___ARP의 목적
___일반적인 ARP 요청/응답 분석
___쓸모없는 ARP 분석
___ARP 문제 분석
___ARP 패킷 구조 분석
______하드웨어 유형
______프로토콜 유형
______하드웨어 주소 길이
______프로토콜 주소 길이
______Opcode
______발신자 하드웨어 주소
______발신자의 프로토콜 주소
______대상 하드웨어 주소
______대상 프로토콜 주소
___ARP 트래픽 필터링
___사례 연구: ARP에 의한 죽음
___정리
___학습한 내용 복습
___연습 문제

17장 IPv4 트래픽 분석
___IPv4의 용도
___일반적인 IPv4 트래픽 분석
___IPv4 문제 분석
___IPv4 패킷 구조 분석
______버전 필드
______헤더 길이 필드
______차별화된 서비스 필드와 명시적 혼잡 알림
______전체 길이 필드
______식별 필드
______플래그 필드
______Fragment 오프셋 필드
______Time to Live 필드
______프로토콜 필드
______헤더 체크섬 필드
______발신지 주소 필드
______목적지 주소 필드
______옵션 필드
______브로드캐스트/멀티캐스트 트래픽
___추적 파일에서 불필요한 IP 주소 삭제
___IP 프로토콜 환경 설정
______단편화된 IP 데이터그램 재조립
______GeoIP 조회 기능 사용
______예약된 플래그를 보안 플래그로써 해석(RFC 3514)
___암호화된 통신 문제 해결
___IPv4 트래픽 필터링
___사례 연구: 모두가 라우터를 탓했다.
___사례 연구: 이것은 네트워크 문제가 아니야!
___정리
___학습한 내용 복습
___연습 문제

18장 ICMP 트래픽 분석
___ICMP의 목적
___기본 ICMP 트래픽 분석
___ICMP 문제 분석
___ICMP 패킷 구조 분석
______유형
______코드
______체크섬
___ICMP 트래픽 필터링
___사례 연구: Dead-End 라우터
___정리
___학습한 내용 복습
___연습 문제

19장 UDP 트래픽 분석
___UDP의 목적
___일반 UDP 트래픽 분석
___UDP 문제 분석
___UDP 패킷 구조를 분석
______목적지 포트 필드
______목적지 포트 필드
______길이 필드
______체크섬 필드
___UDP 트래픽 필터링
___사례 연구: 시간 동기화 문제 해결
___정리
___학습한 내용 복습
___연습 문제

20장 TCP 트래픽 분석
___TCP의 ?도
___일반적인 TCP 통신 분석
______TCP 연결의 설정
______TCP 기반 서비스가 거부된 경우
______TCP 연결의 종료
______TCP가 패킷을 순차적으로 추적하는 방법
______패킷 손실로부터 TCP를 복구하는 방법
______선택적 확인 응답을 통해 패킷 손실 복구 능력 향상
______TCP 흐름 제어 이해
______Nagling과 지연된 ACK 이해
___TCP 문제 분석
___TCP 패킷 구조 분석
______발신지 포트 필드
______목적지 포트 필드
______순차 번호 필드
______확인 응답 번호 필드
______데이터 오프셋 필드
______플래그 필드
______윈도우 필드
______체크섬 필드
______긴급 포인터 필드(옵션)
______TCP 옵션 영역(옵션)
___TCP 트래픽 필터링
___TCP 프로토콜 환경 설정
______가능한 경우 TCP 체크섬을 입증
______TCP 스트림을 재조립하기 위해 Subdissector 허가
______TCP 순차 번호 분석
______연관된 순차 번호와 윈도우 스케일링
______여행에서 바이트의 수를 추적
______대화 타임스탬프 계산
___사례 연구: 연결은 4개의 시도를 요구한다
___정리
___학습한 내용 복습
___연습 문제

21장 그래프 IO율 TCP 트렌드
___트렌드를 보기 위한 그래프 사용
___기본 IO 그래프 생성
______필터 IO 그래프
______컬러링
______스타일과 레이어
______X축과 Y축
___고급 IO 그래프 생성
______SUM(*) Calc
______MIN(*), AVG(*), MAX(*) Calcs
______COUNT(*) Calc
______LOAD(*) Calc
___IO 그래프에서 트래픽 동향 비교
___왕복 시간 그래프
___처리율 그래프
___시간상의 TCP 순차 번호 그래프
______TCP 윈도우 크기 이슈 해석
______패킷 손실, 중복 확인 응답, 재전송 해석
___사례 연구: 성능 레벨 "Drop" 관찰
___사례 연구: 회사 사무실 왕복 시간 그래프 만들기
___사례 연구: QoS 정책 테스트
___정리
___학습한 내용 복습
___연습 문제

22장 DHCP 트래픽 분석
___DHCP의 목적
___일반적인 DHCP 트래픽 분석
___DHCP 문제점 분석
___DHCP 패킷 구조 분석
______메시지 유형
______하드웨어 유형
______하드웨어 길이
______홉
______트랜잭션 식별자
______초 단위 경과 시간
______BOOTP 플래그
______클라이언트 IP 주소
______사용자(클라이언트) IP 주소
______다음 서버 IP 주소
______중계 에이전트 IP 주소
______클라이언트 MAC 주소
______서버 호스트 이름
______부트 파일 이름
______매직 쿠키
______옵션
___DHCP 트래픽 필터
___BOOTP-DHCP 통계 디스플레이
___사례 연구: 감소하는 클라이언트
___정리
___학습한 내용 복습
___연습 문제

23장 HTTP 트래픽 분석
___HTTP의 목적
___일반적인 HTTP 통신 분석
___HTTP 문제점 분석
___HTTP 패킷 구조 분석
______HTTP 메소드
______호스트
______요청 수식자
___HTTP/HTTPS 트래픽 필터
___HTTP 객체 내보내기
___복사를 이용해 웹 페이지 재구축
___HTTP 통계 디스플레이
______HTTP 부하 분산
______HTTP 패킷 카운터
______HTTP 요청
___HTTP 트래픽 흐름 그래픽
______패킷 선택
______흐름 유형 선택
______노드 주소 유형 선택
___HTTP 환경 설정
___HTTPS 통신 분석
______HTTPS 핸드셰이크
______HTTPS 트래픽 복호화
___사례 연구: HTTP 프록시 문제점
___정리
___학습한 내용 복습
___연습 문제

24장 FTP 트래픽 분석
___FTP의 목적
___일반적인 FTP 통신 분석
______수동 모드 연결 분석
______능동 모드 연결 분석
___FTP 문제점 분석
___FTP 패킷 구조 분석
___FTP 트래픽 필터
___FTP 트래픽 재조립
___사례 연구: 비밀 FTP 통신
___정리
___학습한 내용 복습
___연습 문제

25장 이메일 트래픽 분석
___POP의 목적
___일반적인 POP 통신 분석
___POP 문제점 분석
___POP 패킷 구조 분석
___POP 트래픽 필터
___SMTP의 목적
___정상적인 SMTP 통신 분석
___SMTP 문제점 분석
___SMTP 패킷 구조 분석
___SMTP 트래픽 필터
___사례 연구: SMTP 문제점: Scan2Email 작업
___정리
___학습한 내용 복습
___연습 문제

26장 802.11(WLAN) 분석 개요
___WLAN 트래픽 분석
___신호 강도와 인터페이스 분석
___WLAN 트래픽 캡처
______모니터 모드와 무차별 모드 비교
______무선 인터페이스 선택
______WLAN 복호화 설정
______Radiotap이나 PPI 헤더 추가를 위한 선택
______신호 강도와 신호 대 잡음비 비교
___802.11 트래픽 기본 이해
______데이터 프레임
______관리 프레임
______제어 프레임
___일반적인 802.11 통신 분석
___802.11 프레임 구조 분석
___모든 WLAN 트래픽 필터
___프레임 제어 유형과 부유형 분석
___WLAN 분석을 위해 와이어샤크를 취향에 맞게 지정
___사례 연구: 지저분한 바코드 통신
___정리
___학습한 내용 복습
___연습 문제

27장 VoIP 분석 개요
___VoIP 트래픽 흐름 이해
___세션 대역폭과 RTP 포트 정의
___VoIP 문제점 분석
______패킷 손실
______지터
___SIP 트래픽 검사
______SIP 명령어
______SIP 응답 코드
___RTP 트래픽 검사
___VoIP 대화 재생
___VoIP 프로파일 생성
___VoIP 트래픽 필터
___사례 연구: VoIP 톤 손실
___정리
___학습한 내용 복습
___연습 문제

28장 정상 트래픽 패턴 베이스라인
___베이스라인의 중요성 이해
______브로드캐스트, 멀티캐스트 유형과 비율 베이스라인
______프로토콜과 애플리케이션 베이스라인
______부트업 순서 베이스라인
______로그인/로그아웃 순서 베이스라인
______유휴 시간 동안 트래픽 베이스라인
______애플리케이션 시작 순서와 중요 작업 베이스라인
______웹 브라우징 세션 베이스라인
______네임 분석 세션 베이스라인
______처리율 테스트 베이스라인
______무선 연결성 베이스라인
______VoIP 통신 베이스라인
___사례 연구: 로그인 로그 잼
___사례 연구: SAN 연결 해제 해결
___정리
___학습한 내용 복습
___연습 문제

29장 성능 문제의 최대 원인 찾기
___성능 문제 트러블슈팅
___높은 지연 시간 확인
______도착 시간 필터
______델타 시간 필터
______참조 시간이나 첫 번째 패킷 이후 시간 필터
___프로세스 시간을 느리게 하는 지점
___패킷 손실 위치 검색
___구성 오류 신호 관찰
___재지정 트래픽 분석
___작은 페이로드 크기 관찰
___혼잡 검색
___애플리케이션 결함 확인
___네임 해석 실패
___성능 문제 분석 시 중요 사항
___사례 연구: 한 방향 문제
___사례 연구: 네트워크 문제의 완벽한 폭풍
___정리
___학습한 내용 복습
___연습 문제

30장 네트워크 포렌식 개요
___호스트 포렌식과 네트워크 포렌식 비교
___증거 수집
___탐지 회피
___증거의 올바른 취급
___비정상 트래픽 패턴 인식
___비정상 트래픽 패턴의 컬러링
___보완적인 포렌식 도구 확인
___사례 연구: SSL/TLS 취약점 연구
___정리
___학습한 내용 복습
___연습 문제

31장 스캐닝 탐지와 발견 처리
___발견과 점검 처리의 목적
___ARP 스캔(일명 ARP 스윕) 탐지
___ICMP Ping 스윕 탐지
___다양한 타입의 TCP 포트 스캔 탐지
______TCP 반개방 스캔(일명 '스텔스 스캔')
______TCP 전체 연결 스캔
______널 스캔
______Xmas 스캔
______FIN 스캔
______ACK 스캔
___UDP 포트 스캔 탐지
___IP 프로토콜 스캔 탐지
___아이들 스캔 이해
___ICMP 유형과 코드 알아보기
___엔맵 스캔 명령 시도
___Traceroute 경로 발견 분석
___동적 라우터 발견 탐지
___애플리케이션 매핑 프로세스 이해
___수동적인 OS 핑거프린팅을 위한 와이어샤크 사용
___능동적인 OS 핑거프린팅 탐지
___스캔에서 스푸핑된 주소 식별
___사례 연구: Conficker로부터 배운 교훈
___정리
___학습한 내용 복습
___연습 문제

32장 수상한 트래픽 분석
___'수상한' 트래픽이란?
___TCP/IP 해결 프로세스의 취약점 식별
______포트 해결 취약점
______이름 해결 프로세스 취약성
______MAC 주소 해결 취약성
______라우트 해결 취약점
___받아들일 수 없는 트래픽 식별
______악의적으로 변형된 패킷 찾기
______유효하지 않거나 '알기 어려운' 목적지 주소 식별
______플루딩과 표준 서비스 거부 트래픽 구별
______명백한 텍스트 패스워드와 데이터 발견
______전화 홈 트래픽 식별
______이상한 프로토콜과 애플리케이션 잡아내기
______ICMP를 사용하는 라우트 재지정 위치 찾기
______ARP 오염 잡아내기
______IP 단편화와 덮어쓰기 잡아내기
______TCP 스플라이싱 발견하기
______기타 이상한 TCP 트래픽
______패스워드 크래킹 시도 식별
___보는 위치 알기: 시그니처 위치
______헤더 시그니처
______순서열 시그니처
______페이로드 시그니처
___사례 연구: 플루딩 호스트
___사례 연구: 키 로깅 트래픽 잡아내기
___사례 연구: 수동적으로 멀웨어 찾아보기
___정리
___학습한 내용 복습
___연습 문제

33장 커맨드라인 도구의 효과적인 사용
___커맨드라인 도구의 효력 이해
___wireshark.exe(커맨드라인 실행) 사용
______와이어샤크 구문
______와이어샤크의 시작의 사용자 지정
___Tshark을 이용한 트래픽 캡처하기
______Tshark 구문
______Tshark 통계 보기
______Tshark 사용 예
___Capinfos를 이용해 추적 파일 상세 정보 열거
______Capinfos 구문
______Capinfos의 예
___Editcap을 이용한 추적 파일 편집
______Editcap 구문
______Editcap의 예
___Mergecap을 이용한 추적 파일 병합
______mergecap 구문
______mergecap의 예
___text2pcap을 이용한 텍스트 변환
______Text2pcap 구문
______Text2pcap의 예
___Dumpcap를 이용한 트래픽 캡처
______Dumpcap 구문
______Dumpcap의 예
___Rawshark 이해
______Rawshark 구문
___사례 연구: GETS와 의심을 얻기
___정리
___학습한 내용 복습
___연습 문제

부록 A 참고 웹사이트
______Chanalyzer/Wi-Spy Recording(.wsr 파일)
______MaxMind GeoIP 데이터베이스 파일(.dat 파일)
______PhoneFactor SSL/TLS 취약성 문서/추적 파일
______Wireshark 사용자 지정 프로파일
______추적 파일 연습

부록 B 연습문제 풀이