🦈 Wireshark 란?
WireShark는 오픈소스 패킷 분석기로, 실시간 패킷 확인이 가능한 유용한 도구다!!
Wireshark를 통해 제3자가 두 개체 사이의 네트워크에서 전달되는 패킷을 수신하여 저장할 수 있다. 이 패킷은 PCAP이라는 파일 포맷으로 저장된다.
- PCAP (Packet CAPture): 네트워크 트래픽을 캡처하는 API
- UNIX 계열: libpcap
- Windwos: Winpcap
⇒ 운영체제에서 지원하는 캡처 라이브러리
👩💻 Wireshark 사용하기
0️⃣ 시작 - 네트워크 인터페이스 선택
현재 자신의 기기(컴퓨터)에 설치/연결되어 있는 네트워크 어댑터들이 나온다.
그 중에서 패킷을 캡처할 인터페이스를 선택하면 된다.
1️⃣ 메뉴
차례대로 [File] [Edit] [View] [Go] [Capture] [Analyze] [Statistics] [Telephony] [Wireless] [Tools] [Help] 로 구성되어 있고, 자주 사용되는 항목들은 그 아래에 배치되어 있다.
- [Edit] : 패킷을 찾거나 표시 / 프로그램 속성 설정
- [Go] : 캡쳐된 데이터를 특정 위치로 이동
- [Capture]: 캡쳐 필터 옵션 설정 및 캡쳐 시작/종료
- [Analyze]: 분석 옵션 설정
- [Statistics]: 통계 데이터 확인
- [Telephony/Wireless]: Telephony 또는 Wireless와 관련된 통계/스트림 확인
2️⃣ Display Filter
Wireshark에는 두 가지 종류의 필터링이 있다.
- Capture Filter: 로그에 기록되는 데이터를 선택하기 위함 (캡쳐 시작 전에 정의)
- Display Filter: 캡쳐된 로그에서 데이터를 찾기 위함 (캡쳐되는 동안 또는 캡쳐 후에 수정 가능)
| eth.addr | 원하는 MAC 주소 필터 |
| !(eth.addr) | 입력한 MAC 주소 예외 |
| eth.src | 출발지 MAC 주소 설정 |
| eth.dst | 목적지 MAC 주소 설정 |
| tcp.port | TCP 포트 설정 |
| !(tcp.port) | 입력한 TCP 포트 주소 예외 |
| tcp.srcport | 출발지 TCP 포트 설정 |
| tcp.dstport | 목적지 TCP 포트 설정 |
| udp.port | UDP 포트 설정 |
| !udp.port | 입력한 UDP 포트 예외 |
| udp.srcport | 출발지 UDP 포트 설정 |
| udp.dstport | 목적지 UDP 포트 설정 |
| ip.addr | IP 필터 |
| !(ip.addr) | 입력한 IP 주소 예외 |
| ip.src | 출발지 IP 주소 설정 |
| ip.dst | 목적지 IP 주소 필터 |
또한 논리 연산자를 사용해 원하는 수식을 만들어 필터링할 수 있다.
3️⃣ 출력창(1) - 실시간 캡쳐된 패킷 리스트
SRC(출발지)와 DST(목적지) 간에 주고받아지는 패킷들을 실시간으로 나열한다.
실시간으로 전달되는 패킷들의 간단한 정보(SRC addr, DST addr, Protocol, Length, Info)를 확인할 수 있다.
4️⃣ 출력창(2) - 세부 내용
위에서 선택한 하나의 단일 패킷에 대한 세부 내용을 정리해서 보여준다. 그리고 선택된 단일 패킷의 패킷 데이터를 16진수와 ASCII 코드로 보여준다.
📜 참고
https://www.wireshark.org/docs/wsug_html_chunked/ChTelephony.html#ChTelIntroduction
'이것저것' 카테고리의 다른 글
| Python 가상환경 (virtualenv) 생성 및 실행하기 (0) | 2022.03.26 |
|---|---|
| [CTFd] CTFd 를 이용해서 CTF 사이트 만들기 -docker, docker compsoe 설치 (0) | 2021.01.30 |
| 유용한 쉘 코드들 (0) | 2021.01.28 |
| 티스토리 스킨을 바꿔보았ㄷ다... (2) | 2021.01.20 |
| 우분투 18.04 - 이것저것 포너블을 위한 설치.. (0) | 2020.09.28 |