콘텐츠로 이동

NIC 캡처

프록시 캡처가 “프록시를 거치는 트래픽의 일부”를 보여 준다면, NIC 캡처는 이 머신의 NIC를 지나는 모든 것을 보여 줍니다. DNS, QUIC, 게임, IoT, 온갖 사설 프로토콜까지 NIC를 지나는 것이라면 바로 눈앞에 있습니다. 그리고 전통 캡처 도구보다 한발 더 나아갑니다. 캡처한 HTTPS는 더 이상 암호문 더미가 아니라, 복호화하고, 누가 보냈는지 귀속시키고, 뜯어서 이해할 수 있는 것입니다.


1. 프록시 캡처와 무엇이 다른가

섹션 제목: “1. 프록시 캡처와 무엇이 다른가”

둘은 서로를 보완하는 캡처 방식으로, 각기 다른 용도가 있습니다.

프록시 캡처 NIC 캡처
어떻게 개입하는가 트래픽을 프록시로 라우팅 + 인증서 신뢰 NIC의 원시 패킷을 직접 캡처, 어떤 설정도 바꾸지 않고 인증서도 설치하지 않음
무엇을 볼 수 있는가 프록시를 거친 트래픽, 주로 HTTP(S) NIC의 모든 트래픽: DNS, QUIC, ICMP, ARP, 임의의 TCP / UDP…
기본적으로 평문인가? 기본적으로 평문 기본적으로 암호문. 필요할 때 원클릭으로 “이 프로그램 복호화”(아래 참고)
가장 적합한 용도 HTTP API 디버깅, 재작성 / 재전송 비 HTTP 트래픽 조회, 프로그램이 네트워크에서 하는 모든 일 확인, 시스템 수준 변경 회피

요컨대 프록시 캡처는 “정밀”하고, NIC 캡처는 “완전”합니다. 어떤 앱이 조용히 어떤 주소에 연결하고 어떤 프로토콜을 쓰는지 정확히 알고 싶다면, NIC 캡처가 그 모든 것을 낱낱이 드러냅니다.


2. 전통 NIC 캡처 도구와 무엇이 다른가

섹션 제목: “2. 전통 NIC 캡처 도구와 무엇이 다른가”

전통 NIC 캡처 도구도 패킷을 잡을 수는 있지만, 캡처한 HTTPS는 암호문 더미이며, 게다가 어느 프로그램이 보냈는지도 알지 못합니다. NIC 캡처는 “캡처할 수 있다”에 더해 “이해할 수 있다, 추적할 수 있다”를 채웁니다.

  • 복호화 가능: 프로그램의 HTTPS를 한 번의 클릭으로 암호문에서 평문으로 되돌립니다(4절 참고). 암호문만 바라볼 수밖에 없는 상황과 다릅니다.
  • 누가 보냈는지 앎: 모든 플로우에 발신 프로세스가 태그되어, 잡음이 많은 환경에서도 한눈에 짚어냅니다.
  • 상대의 배경 추적 가능: 원격 IP를 클릭하면 곧바로 그 호스트 프로필(귀속 / 지리 / 인증서)로 이동합니다.
  • 뜯어서 이해 가능: 캡처한 데이터는 자동으로 압축 해제되고, 포맷이 감지되며, 구조화되어 표시됩니다. 사설 프로토콜은 커스텀 디코더로 디코딩할 수 있습니다(6절 참고).
  • Wireshark에 공급도 가능: 전문가 수준의 패킷 단위 분석이 필요할 때, 한 번의 클릭으로 트래픽을 Wireshark에 실시간 전달하면 평문으로 열립니다. 다른 머신에서도 마찬가지입니다.

  1. NIC 선택: 머신의 모든 NIC가 자동으로 나열되며, 현재 활성화된 것이 기본으로 선택됩니다.
  2. 원한다면 시작 전에 필터 설정: 관심 있는 트래픽만 캡처하려면 캡처 필터를 입력합니다. 흔한 프리셋(TLS / HTTP / QUIC / DNS / TCP / UDP / ICMP / ARP / SSH 등)이 내장되어 있어 한 번의 클릭으로 적용됩니다.

    캡처 필터는 시작 전에 설정하며 캡처가 실행 중이면 바꿀 수 없습니다. 이 필터는 NIC 계층에서 “무엇을 캡처할지”를 결정합니다. 이미 캡처한 데이터 안에서 범위를 좁히려면 패킷 뷰의 “표시 필터”를 사용하세요(6절 참고).

새 세션 · NIC 캡처: NIC를 골라 캡처를 시작하며, 바꿀 설정도 설치할 인증서도 없음. 캡처한 HTTPS는 “이 프로그램 복호화”로 원클릭 복호화 가능


4. 평문 보기: 암호문을 평문으로 바꾸는 세 단계

섹션 제목: “4. 평문 보기: 암호문을 평문으로 바꾸는 세 단계”

NIC에서 캡처한 트래픽은 기본적으로 암호문입니다(중간자 없이 있는 그대로 캡처). 평문을 보는 방법은 세 단계로, 각 단계가 앞 단계를 뒷받침합니다.

  1. 자동 복호화: 브라우저나 Electron 앱 같은 흔한 프로그램은 캡처하는 순간 대개 평문이며, 별도의 단계가 필요 없습니다.
  2. 수동 “이 프로그램 복호화”: 자동으로 복호화되지 않는 프로그램은 “이 프로그램 복호화”를 클릭하고 선택하면 그 암호화 트래픽이 복호화됩니다. 여러 프로그램을 한 번에 복호화하는 것도 지원합니다.
  3. 두 개의 보강 스위치:
    • 프로그램 재시작: 대상을 처음부터 실행해 시작 초기의 암호화 트래픽까지 나머지와 함께 복호화합니다.
    • 자식 프로세스 원클릭 처리: 일부 프로그램은 자식 프로세스를 통해 트래픽을 주고받습니다. 이 체크박스를 켜면 자식 프로세스까지 처리해 놓치는 것이 없습니다.

흔한 프로그램은 캡처하는 순간 평문이고, 나머지도 “이 프로그램 복호화”를 한 번 수동으로 클릭하면 복호화됩니다. 암호문을 평문으로 바꾸는 일은 대개 한 단계로 끝납니다.


5. 두 가지 뷰: 패킷 단위, 그리고 연결 단위

섹션 제목: “5. 두 가지 뷰: 패킷 단위, 그리고 연결 단위”
  • 패킷 뷰: 전문 캡처 도구처럼 각 패킷을 하나씩 봅니다. 프레임을 선택하면 프레임 정보, 원시 바이트, 그리고 계층별로 펼쳐지는 프로토콜 트리를 볼 수 있습니다. 검색창은 Wireshark 스타일 표시 필터(예: tcp.port==443, tls.handshake)를 지원하며, 입력하는 대로 실시간 문법 검증이 되어, 캡처한 전체 데이터 안에서 무엇이든 짚어낼 수 있습니다.

패킷 뷰: NIC에서 캡처한 실제 패킷을 표시 필터 dns로 짚어냄. 프레임을 선택하면 프레임 정보와 계층별로 펼쳐진 프로토콜 트리를 확인

  • 연결 뷰: 흩어진 패킷을 개별 연결로 재조립하고, “스트림 따라가기“로 한 연결의 송수신을 처음부터 끝까지 봅니다. HTTP / DNS 등은 구조화된 방식으로도 볼 수 있습니다.

연결 뷰: 흩어진 패킷을 개별 연결로 재조립하고, DNS / TLS / HTTP / 원시 TCP를 프로토콜별로 분류해, 이 머신이 누구와 대화하는지 한눈에

  • 우클릭 동작: 아무 프레임이나 우클릭하면 이 연결만 보기 / 이 연결로 필터링(이 하나로 범위 좁히기), 프레임 표시, 출발지 / 목적지 주소 복사를 할 수 있고, 원격 IP에 대해서는 곧바로 호스트 프로필 보기 / ping / 포트 스캔으로 이동해 다음 조사 단계를 이어갈 수 있습니다.
  • 두 뷰는 서로 연결됩니다(연결에서 그 원시 패킷으로 이동하거나, 패킷에서 전체 연결을 따라감).
  • 통계: 세 개의 표(프로토콜 계층, 대화, 엔드포인트)에 걸친 요약을, 원한다면 현재 필터 결과에 대해서만 제공해, “누가 대역폭을 쓰고, 누구와 대화하는지”를 빠르게 파악합니다.
  • 언제든 일시정지: 캡처 도중 일시정지해 지금까지 캡처한 것을 살펴보고, 방향을 잡고, 이어갈 수 있습니다. 긴 세션에서 계속 시작하고 중지할 필요가 없습니다.

6. 캡처 후: 이해하고, 디코딩하기

섹션 제목: “6. 캡처 후: 이해하고, 디코딩하기”

같은 데이터를 여러 방식으로 볼 수 있고, 엔진이 자동으로 디코딩해 줍니다. 이 능력은 모든 캡처 방식에 공통이며 여기에도 적용됩니다.

  • 여러 조회 방식: 구조화, 정돈된 텍스트, 16진수, 자동 감지. 방향별로 독립적으로 전환할 수 있습니다. 자세한 내용은 검사와 디코딩을 참고하세요.
  • 다양한 인코딩 자동 감지: 복호화된 HTTP 콘텐츠는 gzip / brotli / deflate / zstd(여러 겹으로 쌓인 것 포함)에 대해 자동으로 압축 해제되며, JSON, XML, 폼, protobuf / gRPC, plist가 자동 감지되어 정돈되고, 이미지 / 오디오 / 비디오는 인라인으로 미리보기됩니다. 자세한 내용은 검사와 디코딩을 참고하세요.
  • 커스텀 코덱: 사설 / 자체 프로토콜에 대해서는 짧은 스크립트를 작성해 읽는 법을 가르쳐, 프레임을 나누고, 헤더를 벗겨내고, 압축을 풀어 읽을 수 있는 구조로 만듭니다. 자세한 내용은 커스텀 프로토콜 디코딩을 참고하세요.

7. HTTP/3 처리: QUIC 트래픽도 캡처하고 복호화하기

섹션 제목: “7. HTTP/3 처리: QUIC 트래픽도 캡처하고 복호화하기”

점점 더 많은 앱이 HTTP/3 (QUIC)로 전환하고 있으며, QUIC는 NIC 계층에서 늘 캡처하기 어렵고 복호화하기 어려워 많은 도구가 여기서 그냥 멈춥니다. NIC 캡처는 두 방향 모두로 동작합니다. 대상 앱이 HTTP/3에서 일반 연결로 부드럽게 되돌아가게 해 다시 캡처·복호화 가능하게 만들거나(세션을 중지하면 자동으로 복구되며, 이후 앱의 정상 사용에 영향을 주지 않음), 키를 사용할 수 있을 때는 QUIC / HTTP/3를 직접 복호화해 평문을 보여 줄 수도 있습니다.

즉, 완전히 HTTP/3로 넘어간 앱이라도, 손댈 수 없는 QUIC 더미를 속수무책으로 바라보는 대신 그 평문 교환을 여전히 볼 수 있다는 뜻입니다.


8. Wireshark로 매끄럽게 넘겨 심층 분석

섹션 제목: “8. Wireshark로 매끄럽게 넘겨 심층 분석”

Wireshark 수준의 전문 패킷 단위 분석이 필요할 때, 두 도구 사이를 오가며 계속 내보낼 필요가 없습니다. 이 세션의 트래픽을 한 번의 클릭으로 Wireshark에 실시간 전달하면, 별도 설정 없이 평문으로 열립니다. 복호화 키가 트래픽과 함께 실시간으로 점진적으로 주입되므로, 늦게 도착하는 키도 채워지고 프레임을 하나도 잃지 않습니다.

트래픽을 다른 머신의 Wireshark로 보낼 수도 있어, 이 머신이 캡처와 복호화를 맡고 다른 머신이 분석에 집중하는 식으로, 원격 협업과 공동 문제 해결에 자연스럽게 들어맞습니다.

  • 파일로 내보내기도 가능: 복호화 키가 내장된 .pcapng(Wireshark에서 열면 평문)나 표준 HAR를 한 번의 클릭으로 내보내, 동료에게 넘기면 별도 설정 없이 바로 열 수 있습니다.

그래서 양쪽의 장점을 모두 얻습니다. 이 도구의 “복호화 + 프로세스 귀속 + 원클릭 호스트 프로필”에 더해, Wireshark의 심층 패킷 단위 분석까지.


  • 비 HTTP 트래픽 조회: DNS, QUIC, 게임, IoT, 온갖 사설 프로토콜. 프록시가 잡지 못하는 것을 NIC는 잡습니다.
  • 프로그램이 네트워크에서 하는 모든 일 이해: 실제로 어떤 주소에 연결하는지, 어떤 프로토콜을 쓰는지, “조용한” 연결이 있는지.
  • 시스템 프록시를 바꾸거나 인증서를 설치하고 싶지 않을 때: 직접 캡처, 침입 제로.
  • 사설 프로토콜 공략: 원시 플로우를 캡처한 뒤 커스텀 디코더로 읽을 수 있는 구조로 복원합니다.
  • Wireshark로 넘겨 심층 분석: 전문 패킷 단위 분석이 필요할 때 실시간으로 전달하면 별도 설정 없이 평문으로 열립니다.

프록시 캡처로 돌아가기 · 관련: 검사와 디코딩 · 커스텀 프로토콜 디코딩 · 호스트 상세