Wireshark 사용법 (주)정보보호기술
Index Wireshark 란? Wireshark 메뉴구성 Wireshark 시작 Wireshark 필터링 캡쳐 및 실습
Wireshark를 이용하여 네트워크 패킷을 챕쳐하는 장면 세계에서 가장 널리 쓰이는 네트워크 프로토콜 분석기 무료, 오픈소스 (GNU General Public License) 많은 산업, 교육 기관들 사이에서 사실상 표준으로 자리잡음 Ethereal 이라는 이름에서 2006년 Wireshark로 변경됨 패킷 캡쳐를 위한 pcap 네트워크 라이브러리 사용 tcpdump와 유사하나 GUI와 강력한 기능을 제공 Wireshark를 이용하여 네트워크 패킷을 챕쳐하는 장면
Wireshark Wireshark 메뉴구성 File : 캡쳐 파일 관련 메뉴 (열기, 저장, 합치기 등) Edit : 패킷의 내용을 찾거나 각 패킷을 체크하여 따로 저장하는 기능 관련 메뉴 (검색 시 Hex, String등으로 원하는 패킷을 찾을 수 있음 패킷을 토글(체크)하여 File 메뉴에서 토글 한 패킷만 따로 저장 가능) View : 보기 관련 메뉴 (GUI 설정, 패킷 색깔 표시 설정등) Go : 패킷 이동 관련 메뉴 (위아래, 맨처음 , 맨끝 패킷으로 이동) Capture : 캡쳐 관련 메뉴 (카드 선택, 옵션 설정, 필터, 시작, 멈춤, 재시작) Analyze : 패킷 분석 관련 메뉴 (화면 출력 필터, 디코딩, 스트림 추적등) Statistic : 통계 관련 메뉴 (요약, 프로토콜별 통계, 입출력 그래프, 응답시간, 패킷길이 등) Telephony : 전화 관련 메뉴 (각종 음성관련 프로토콜 패킷을 분석) Tools : 방화벽 정책 생성 메뉴 Help : 도움말 관련 메뉴
Wireshark Wireshark 시작 클릭 클릭 각 네트워크 카드의 패킷량 네트워크 카드 선택 각 네트워크 카드명 총패킷수, 초당패킷수 각 네트워크 카드명 네트워크 카드 선택 캡쳐 필터 옵션 Start : 패킷 캡쳐 시작 Options : 두번째 아이콘 창 열림 Details : 세부내용 확인 여러 개 파일에 캡쳐 캡쳐 시 실시간 출력 메인화면
Wireshark Wireshark 시작 click 실습 : 인터넷에 연결 된 네트워크 카드의 패킷들을 캡쳐한다. 메뉴 -> Capture -> interfaces -> start click
Wireshark Wireshark 필터링 캡쳐 캡쳐를 시작할 때 필터를 적용할 수 있다. 필터를 적용하지 않고 캡쳐를 시작할 경우 많은 양의 패킷으로 인해 원하는 패킷을 찾기 힘들다. 캡쳐를 시작한 이후 화면 출력 필터를 적용할 수 있으나 이는 모든 패킷을 캡쳐 후 필터하므로 불필요한 패킷이 캡쳐되어 파일의 크기가 커진다. 1. 네트워크 카드 선택 2. 필터링 입력 필터링 예제 3. 캡쳐 시작
Wireshark Wireshark 필터링 캡쳐 예제 특정 호스트의 패킷 캡쳐 - host 10.10.50.170 특정 두 호스트의 통신 패킷 캡쳐 - host 10.10.50.170 and host 10.10.50.15 특정 포트 패킷 캡쳐 - port 80 특정 두 포트 전부 패킷 캡쳐 - port 80 or port 1770 특정 호스트의 특정 포트 패킷 캡쳐 - host 10.10.50.170 and port 80 특정 패킷만 캡쳐 안함 - not arp 더 많은 예제는 다음 링크를 참조한다. http://wiki.wireshark.org/CaptureFilters
Wireshark Wireshark 필터링 캡쳐 예제 IP가 10.10.50.170 인 패킷만 탐지 Port 445 패킷만 탐지
Wireshark Wireshark 필터링 캡쳐 실습 HTTP 패킷만 캡쳐한다. ARP 패킷만 캡쳐한다. 특정 두 호스트 간의 패킷만을 캡쳐한다. 예) 자신 아이피 <-> 211.25.78.12
Wireshark Wireshark 화면출력 필터 캡쳐를 한 뒤 원하는 패킷만 화면에 출력 한다. 필러링 캡쳐 시 입력하는 필터 문구와 약간 틀리다. 원하는 패킷을 캡쳐한 뒤 세부적인 검사를 하기 위해 쓰인다. 필터 툴바를 이용하거나 Analyze 메뉴에서 Display Filter 를 실행하여 필터링 할 수 있다. 캡쳐 중 필터 입력 필터 툴바 필터링 예제 HTTP 프로토콜만 화면에 출력하는 필터
Wireshark Wireshark 화면출력 필터 예제 특정 호스트의 패킷 캡쳐 - ip.addr == 10.10.50.15 특정 두 호스트의 통신 패킷 캡쳐 - host 10.10.50.170 and host 10.10.50.15 특정 포트 패킷 캡쳐 - tcp.port == 80 특정 두 포트 전부 패킷 캡쳐 - tcp.port == 80 or tcp.port == 1770 특정 호스트의 특정 포트 패킷 캡쳐 - ip.addr == 10.10.50.170 and tcp.port == 80 특정 패킷만 캡쳐 안함 - not arp 더 많은 예제는 다음 링크를 참조한다. http://wiki.wireshark.org/DisplayFilters
Wireshark Wireshark 화면출력 필터 예제 10.10.50.15 와 10.10.50.170 간의 통신 패킷 필터 TCP 포트 80인 패킷만 필터
Wireshark Wireshark 화면출력 필터 실습 HTTP 패킷만 출력한다. ARP 패킷만 출력한다. 특정 두 호스트 간의 패킷만을 출력한다. 예) 자신 아이피 <-> 211.25.78.12
Wireshark Wireshark 패킷 리스트 및 내용 보기 패킷의 헥사값 TCP 계층 헤더 내용 패킷번호, 시간, 출발IP, 목적IP, 프로토콜 내용요약 패킷의 ASCII값 클릭시 상세내용이 펼쳐짐 데이터 페이로드 내용 (HTTP)
Wireshark Wireshark 패킷 내용 보기 더블클릭
㈜정보보호기술 :서울시 강남구 논현동 57-38 원영빌딩 3층 www.infosec.co.kr • 02)6003-0999