오늘은 와이어샤크의 인터페이스 설정에 대해 알아볼 것이다.
오늘 공부할 것을 정리해보면 이러하다.
1. What is wireshark profiles?
2. Configuring Profiles, Adding Custom Columns
3. Coloring Traffic
4. Adjusting the Screen Layout1. What is wireshark profiles?
프로필이란 와이어샤크에 들어갔을 때, 볼 수 있는 기본 화면의 모습이다.
처음엔 프레임 넘버, IP주소 등의 기초적인 요소들로 이루어져 있다.
이번 강의에서는 특정 프로토콜들에 대한 정보를 볼 수 있게하거나 특정 패킷에 색을 입히는 등 프로필을 설정하는 방법에 대해서 배운다.
고객의 요구에 맞는 분석을 하기 위해 이러한 작업은 분석 작업의 효율과 속도를 높일 수 있다.
2. Configuring Profiles, Adding Custom Columns
이번엔 나의 첫번째 와이어샤크 프로필을 구성해 볼 것이다.
처음에 실행하면 프로필이 Default로 되어있다.
커스텀 필터 세트가 없고 색채 규칙은 있는 것으로 보이며 3등분된 레이어가 보일 것이다.
이제 프로필을 눌러 새로 만들기에 진입한다.
이름을 지어주고 그 다음 설정할 것은 Time이다.
현재는 총 실행 시간 상 패킷의 도착시간으로 설정되어 있다.
와이어샤크의 시간 보기 옵션을 살펴보자.
이렇게 다양한 시간에 대한 옵션이 존재한다.
이 중에서 내가 선택한 옵션은 이전에 표시된 패킷부터의 초 단위 시간이다.
이것은 직전 패킷이 도착하고 다음 패킷이 도착할때까지의 시간이다.
이것을 사용하는 이유는 지연의 원인을 추적하는데 용이하다는 것이다.
이 델타 타임(Delta Time)을 함께 사용하기 위해 설정에서 추가해준다.
그리고 기본 설정에서는 TTL(Time To Live)을 패킷을 클릭해서 볼 수 있다.
상세 정보의 이 텍스트를 우클릭하고 이처럼 "Column"으로서 추가할 수 있다.
이러한 과정들로 와이어 샤크에서 프로필을 만드는 방법과 열 추가/제거 방법을 알게 되었다.
3. Coloring Traffic
이번에 배울 것은 트래픽을 색칠하는 방법이다.
처음엔 기본 색채 규칙이 적용되고 있지만 이는 분석하기에 난해해보였다.
우선 기존의 색채 규칙을 보이지 않게 하려면 위의 버튼을 누른다.
디스플레이 필터라는 것을 사용해 볼 것이다.
이렇게 입력하게 되면 TCP의 플래그 중 SYN이 1인 것들을 색칠해준다.
그리고 이 사진을 보면 아래에 "Syn (tcp.flags.syn) 1비트"라는 문구가 표시된다.
사용하고 싶은 필드가 있다면 누르고 이 부분을 보게 되면 필터를 어떻게 작성해야하는지 알려주게 된다.
이로써 외울 필요가 전혀 없고, 필요에 따라 저 부분을 이용하면 된다.
그리고 색상 규칙을 추가해보자.
규칙의 이름과 필터를 작성해주고 배경색 등을 설정해준다.
이런식으로 규칙에 추가가 된다.
여기서 눈여겨 봐야할 것은 위에 있을수록 우선순위가 높은 규칙이 되고 아래에 있는 회색 규칙인 "TCP SYN/FIN"은 같은 필터일때, 적용되지 않고 새롭게 설정한 색상이 나타나게 된다.
설정 후의 모습.
이제 디스플레이 필터를 제거하고 나면 내가 설정한 트래픽의 색상을 쉽게 확인할 수 있다.
이렇게 특정 트래픽에 색채 규칙을 설정하는 방법을 알아보았다.
4. Adjusting the Screen Layout
이번에 배울 것은 레이아웃을 조정하고 배치하는 방법이다.
설정-레이아웃으로 이동.
설정을 내 입맛대로 바꾸면
이렇게 보기 쉽게 설정할 수 있다.
그리고 하나, 좋은 기능이 있다.
실제 프로토콜 다이어그램 뷰이다.
이전의 설정에서 패킷 다이어그램으로 레이아웃을 구성하게 되면
이렇게 실제 패킷 구성과 위치 등을 시각화해서 볼 수 있게 된다.
이러면 패킷을 분석하며 구조를 명확히 볼 수 있게 되어 공부할 때 되게 도움이 많이 되는 것 같다.
다음 포스트는 Lab02(실습)가 될 것 같다.
