Wireshark(와이어샤크) 설치 및 사용법 +필터링 사용법

반응형


Wireshark

[목적]

네트워크 통신을 모니터링 해주는 프로그램으로 와이어샤크가 설치된 호스트의 네트워크 상태를 보여준다.

[설치 방법]

1) https://www.wireshark.org/download.html 링크를 클릭해서 와이어샤크 다운로드 페이지로 이동 후 자신의 사양에 맞는 프로그램을 설치


2) 다운로드를 끝나면 설치파일을 실행해서 진행한다. default 값으로 계속 Next 를 눌러준다.


3) Next를 하다 WinPcap을 설치하겠냐는 화면이 나오면 꼭 체크를 해준다. 와이어샤크 관련 라이브러리이기 때문에 필수로 설치해주는 것이 좋다. default로 체크가 되어있다.


4) 설치 진행 중에 WinPcap을 설치하겠냐는 창이 뜨면 Next를 눌러 같이 설치를 진행해준다.


5) 둘 다 설치가 완료되면 Finsh


[사용 방법]

와이어샤크를 뜨면 위와 같은 화면이 뜬다. 빨간 네모 친 부분이 어떤 환경에서 이루어지는 패킷 통신을 볼지 정하는건데 로컬 영역 연결을 선택하면 현재 나의 윈도우에서 이루어지는 네트워크 패킷 통신들을 볼 수 있다.


위는 패킷 통신들을 보여주는 화면이다. 3단계로 구성되어 있는데 위부터 패킷 리스트(Packet list), 디테일한 패킷 분석(Packet detail), 가공되지 않은 실제 패킷 모습(Packet bytes) 이다. 패킷 리스트에서는 기본값으로 다음과 같이 구성된다.

NO    Time    Source    Destination    Protocol    Length    Info

  • NO : 수집된 패킷을 순서대로 표시

  • Time : 수집된 패킷을 시간대로 표시

  • Source : 출발지 주소

  • Destination : 도착지 주소

  • Protocol : 프로토콜 type

  • Length : 패킷 길이

  • Info : 패킷 정보

왼쪽 상단의 빨간 네모를 누르면 수집을 중지하고 옆의 상어 지느러미 모양 아이콘을 누르면 다시 수집을 시작한다.


[기본 기능]

File-Save : 수집한 패킷을 파일로 저장해 준다.

File-Merge : 여러개의 파일을 선택해서 합쳐서 볼 수 있다

File-Export : 특정한 패킷만 내보낼 수 있다.

Edit-Find Packet : 특정한 패킷을 찾을 수 있다

Edit-Mark/Unmark Packet : 패킷을 마크할 수 있다.

Edit-Ignore/Unignore Packet : 불필요한 패킷을 제외할 수 있다. unignore 하면 다시 볼 수 있다.

Edit-Preference : 설정, 패킷 레이아웃, 컬럼,색상,폰트 구성등 설정 화면

1) Name Resolution : 분석하기 쉽도록 문자로 표현할 수 있게 해준다.

2) protocols : 프로토콜 별로 설정이 가능

View : 화면 구성

View-Colorize Packet List : 패킷을 구분하기 위해 컬러를 지정해 줌

Go-Go to packet : 특정 패킷을 찾을 수 있다.

Capture-Options : 어떠한 인터페이스에서 수집을 할 건지, 캡쳐 필터링 룰 설정 가능

Analyze-Follow : 선택한 패킷에 대해 관련된 패킷들만 보여줌

Statistics-Capture File Properties : 선택한 패킷의 detail한 부분을 보여줌

Telephony : Voip를 볼 수 있는 기능

Wireless : 무선 통신을 볼 수 있는 기능

Tools-Firewall ACL Rules : 설정된 패킷으로 방화벽을 생성해 줌



필터링 기능

와이어샤크에는 원하는 패킷만 필터링해서 보거나 제외할 수 있는 기능이 있다. 매우 유용하기도 하고 와이어샤크에서 제공하는 핵심 기능중에 하나다. 수많은 네트워크 통신이 이루어짐에 따라 패킷의 양도 엄청 많기 때문에 원하는 부분만을 골라 분석하기란 쉽지 않다. 그래서 이 필터링 기능으로 원하거나 원하지 않는 패킷을 제외하고 분석을 용이하게 해준다. 필터링 기능에는 2가지의 유형이 있다.

1) 캡쳐 필터

  • 패킷을 수집할 때 필터링을 적용

  • 필터링에 적용된 패킷만 수집 or 필터링에 적용된 패킷만 수집하지 않거나

  • 복잡한 룰을 사용하지 않도록 한다. (성능에 영향을 끼칠 수 있다)

  • 룰 관리창 : Capture - Capture Filters 

  • 룰 적용 : Capture - Option

2) 디스플레이 필터

  • 이미 수집된 패킷을 화면에 보여줄 때 필터링을 적용

  • 화면에서만 보이지 않을 뿐 수집은 한다.

  • 연산자가 사용 가능하다. ex) ==, !=, !, and, or, <, >, &&, ||

  • 룰 관리창 : Analyze - Display Filters 

  • 룰 적용 : 메인 화면 상단 입력창

[캡쳐 필터]


1) 상단의 Capture-Capture Filters... 로 들어간다.


2) 캡쳐 필터를 정의할 수 있는 화면이다. 추가 및 삭제할 수 있다.


3) Capture-Options 정의한 캡쳐 필터를 적용하는 화면이다. 빨간 네모 친 부분에 필터링을 입력하는데 옳은 형식이면 그린 계열의 색이 뜨고 입력값이 틀리면(정의된 필터링이 없거나 오탈자) 붉은색으로 뜬다. 왼쪽에 푸른 리본을 클릭하면 자주 쓰는 필터링 목록을 볼 수 있다.


4) 예시로 arp를 입력해서 arp 패킷만 보는 화면이다. 캡쳐 필터이기 때문에 수집을 arp 패킷만 수집한다.


[디스플레이 필터]

1) 디스플레이 필터 설정화면은 Analyze-Display Filters를 통해 들어간다. 


2) 기본값으로 등록되어 있는 디스플레이 필터 목록이다. 역시 추가 및 삭제를 할 수 있다.


3) 디스플레이 필터 적용방법은 메인 상단의 네모친 부분에 적용한다.



반응형
TAGS.

Comments