Wireshark로 실시간 해킹 탐지하는 법｜보안 전문가가 쓰는 필터와 설정 공개

 

 

Wireshark로 실시간 공격 탐지하는 방법을 정리해줄게.

단순히 패킷 캡처하는 수준이 아니라, 공격 징후를 빠르게 잡아내는 노하우 중심으로 설명할게.

 

🚨 Wireshark로 실시간 공격 탐지하는 방법

 

 

1️⃣ 기본 설정부터 최적화하기

 

🔧 캡처 시 주의할 점

• 필터 없이 무작정 캡처하면 수천~수만 개의 패킷에 공격을 놓칠 수 있어.
• 실시간 탐지를 위해선 적절한 필터링과 디스플레이 설정이 중요.

---

2️⃣ 주요 공격 유형별 실시간 필터링 기법

 

① 포트 스캔 탐지 (Nmap 등)

• 공격자는 열려있는 포트를 찾기 위해 SYN 패킷을 여러 포트로 전송.
• Wireshark 필터: tcp.flags.syn == 1 and tcp.flags.ack == 0
• 특정 IP가 짧은 시간 안에 여러 포트로 SYN 패킷을 보내면 의심.

 

Tip)
Wireshark 상단 메뉴에서 Statistics > Conversations 확인하면 IP별 연결 시도를 한눈에 볼 수 있어!

 

---

② DoS/DDoS 탐지

• 과도한 트래픽 발생 시 감지.
• 예시: SYN Flood, ICMP Flood 등
• SYN Flood 필터: tcp.flags.syn == 1 and tcp.flags.ack == 0
• ICMP Flood 필터 (핑 폭탄 공격): icmp
• 짧은 시간 안에 수백~수천 개 패킷이 쏟아지면 바로 의심.

---

③ 패스워드 탈취 (평문 프로토콜 감시)

• FTP, Telnet, HTTP 같은 비암호화 트래픽을 노리는 공격.
• 필터로 민감 정보가 노출되는지 확인.
• FTP 로그인 감시: ftp.request.command == "PASS"
• HTTP에서 로그인 정보 탐지:http contains "password"

 

주의: HTTPS는 암호화돼서 패킷 안에 평문 데이터가 안 보여.

 

---

④ ARP 스푸핑 탐지

• 내부 네트워크 공격의 대표 사례.
• 비정상적인 ARP 응답을 다수 발생시키는 공격.
• 필터: arp
• 같은 IP에 대한 ARP 응답이 반복되거나, MAC 주소가 자주 바뀌면 의심!

---

3️⃣ Wireshark 실시간 알림 기능 활용 (Coloring Rules)

 

🎨 Coloring Rules 로 의심 패킷을 눈에 띄게 표시

• 메뉴: View > Coloring Rules 에서 설정 가능.
• 예를 들어, SYN 패킷이나 비정상적인 ARP 패킷을 빨간색으로 표시!

이렇게 하면 실시간으로 캡처 중에도 위험 패킷을 바로 시각적으로 확인 가능.

---

4️⃣ 통계 기능으로 패턴 분석

• Statistics > Protocol Hierarchy
  ➔ 어떤 프로토콜이 비정상적으로 많은지 확인.
• Statistics > Endpoints
  ➔ 트래픽이 집중된 IP 파악.
• Statistics > IO Graphs
  ➔ 트래픽 급증 구간을 그래프로 시각화.
  (DoS 공격 징후 탐지에 유용)

---

✅ 정리

공격 유형탐지 방법 (Wireshark 필터)

공격 유형	탐지 방법(Wireshark 필터)
포트 스캔	tcp.flags.syn == 1 and tcp.flags.ack == 0
SYN Flood	위와 동일
ICMP Flood	icmp
평문 패스워드	ftp, http contains "password"
ARP 스푸핑	arp

• Coloring Rules 로 실시간 시각화.
• 통계 기능으로 이상 징후 빠르게 확인.
• 무조건 많은 패킷을 보는 게 아니라, 패턴과 반복을 잡아내는 게 핵심!