Wireshark 인터페이스는 6개의 구역으로 나누어져 있습니다.
- Main Toolbar
- Filter Toolbar
- Packet List
- Packet Details
- Packet Bytes
- Status Bar
1. Main Toolbar
Wireshark에서 주로 많이 사용되는 기능들을 제공하는 툴바입니다. 제일 좌측은 실시간 패킷 캡처를 위한 기능들로 구성이 되어 있으며, 그 뒤로는 패킷 데이터 불러오기/저장과 패킷 검색 기능 이외에도 패킷 정보 창(Packet List/Details/Bytes)에 표시되는 글자 폰트를 조정할 수 있는 버튼들이 존재합니다.
캡처
| 툴바 모양 | 기능 |
|---|---|
 | 캡처 시작 |
 | 캡처 중지 |
 | 캡처 재시작 |
 | 캡처 옵션 |
파일
| 툴바 모양 | 기능 |
|---|---|
 | 파일 열기 |
 | 패킷 데이터 저장 |
 | 캡처 내용 제거 |
 | 새로고침 |
검색
| 툴바 모양 | 기능 |
|---|---|
 | 패킷 검색 |
 | 이전 패킷 |
 | 다음 패킷 |
 | 'n'번째 패킷 |
 | 첫번째 패킷 |
 | 마지막 패킷 |
 | Live 캡쳐시 현재 행 위치 고정 on/off |
화면
| 툴바 모양 | 기능 |
|---|---|
 | 화면 확대 |
 | 화면 축소 |
 | 화면 크기 초기화 |
 | 열 너비 재조정 |
2. Filter Toolbar
특정 조건을 만족하는 패킷들만 추려 화면에 보여줄 수 있도록 필터 기능이 구현되어 있습니다. 흔히 특정 IP 주소 또는 port 번호를 사용 중인 네트워크 플로우를 찾아낸다던가, 프로토콜별로 패킷을 분리하는 작업을 할 때 유용한 탭입니다.
필터링 명령은 보통 '프로토콜.필드정보 + 비교연산자 + 필드값'의 형식을 따릅니다.
예를 들어, "ip.src eq 10.6.21.101"라는 필터링 명령어는 source node의 IP 주소가 10.6.21.101인 패킷들만 골라서 시각화해달라는 요청을 의미합니다.
3. Packet List
패킷들을 수집된 순서에 맞춰 표시해둔 영역입니다. 각 행은 하나의 패킷에 대한 정보, 그리고 각 열은 패킷마다 추출하는 정보를 나타냅니다. 각 속성이 나타내는 정보는 다음과 같습니다.
No: 패킷 번호Time: 캡처된 시간(최초 수집된 패킷 기준)Source: 출발지 IP 주소Destination: 도착지 IP 주소Protocol: 프로토콜Length: 패킷 길이info: 기타 정보(패킷 상태, TCP 제어 플래그, 도메인 주소 등)
4. Packet Details
프로토콜 스택을 표현해줄 뿐만 아니라, 각 프로토콜 레이어의 필드 정보를 상세하게 나타내 주는 창입니다. 특정 필드 정보를 클릭하면 해당 정보가 패킷 내에서 위치하는 지점을 확인할 수 있습니다. 필드 정보를 우클릭하여 동일한 필드 값을 가지는 패킷들을 필터링할 수도 있습니다.
5. Packet Bytes
패킷의 정보를 Hex 값인 상태 그대로 확인할 수 있는 영역입니다. 좌측에는 한 줄당 16개의 Hex 값들을 표시하고 있으며, 우측에는 이 값들을 아스키코드로 변환하여 보여주고 있습니다. 마우스를 바이트 값 위에 올려두면 같은 필드 정보를 공유하는 파란색 블록이 형성되며, 어떤 필드 영역이 선택되었는지는 아래 status bar에서 확인할 수 있습니다.
6. Status Bar
마지막으로 Status Bar는 Pcap 파일 (패킷 데이터 파일 형식) 정보나 수집된 패킷 개수, 그리고 눈으로 직접 확인하기 어려운 Expert Info 등을 포함하고 있습니다.
- 총 패킷 개수 / 필터링 된 패킷 개수 (비율) 드랍된 패킷 개수 (비율)
- Ex) 총 패킷 개수: 49002개 / 필터링 된 패킷 개수:42개
- Expert Info / Pcap 파일 정보 / 데이터 필드 정보
- Configuration Profile
