오늘(11/20) Wireshark, 와이어샤크에 대해서 공부하기 시작한다.
이 시리즈는 "와이어샤크의 전반적인 사용법과 분석 방법"에 대한 것이다.
유데미의 강의를 들으며 학습하고
와이어샤크 버전은 4.4.1
OS는 Windows 11 X64이다.
처음으로 진행하는 것은 당연하게도 설치다.
설치를 위해치를 위해 https://www.wireshark.org/ 에 접속하여
OS에 맞는 installer를 다운받고
네트워크 패킷 캡처 및 인젝션 라이브러리인 npcap 또한 체크표시를 하여 설치한다.
강사가 준비한 특정 pcapng를 먼저 분석해보고 영상을 보며 따라가는 방식의 수업이다.
첫번째 분석이자 과제는 아래와 같다.
1. How many packets were captured in this trace file?
2. What protocol does packet number 8 contain? (The highest-layer protocol)
3. If you just installed Wireshark for the first time, what is the name of the profile you are using? (bottom right corner)
4. Look at packet number one - what is the source IP address in this packet?
5. What is the source TCP port in this same packet?
6. What TCP flag is set in this packet?
7. What is the frame number of the next packet in this TCP conversation?
8. Can you set a filter for this TCP conversation? How many packets do you get?한글로 번역해보면
1. 이 추적 파일에 캡처된 패킷 수는 몇 개입니까?
2. 패킷 번호 8에는 어떤 프로토콜이 포함되어 있습니까? (최고 계층 프로토콜)
3. Wireshark를 처음 설치한 경우 사용 중인 프로필의 이름은 무엇인가요? (오른쪽 하단)
4. 패킷 번호 1번을 보세요 - 이 패킷의 소스 IP 주소는 무엇인가요?
5. 이 동일한 패킷의 소스 TCP 포트는 무엇입니까?
6. 이 패킷에는 어떤 TCP 플래그가 설정되어 있나요?
7. 이 TCP 대화에서 다음 패킷의 프레임 번호는 무엇입니까?
8. 이 TCP 대화를 위한 필터를 설정할 수 있습니까? 몇 개의 패킷을 받습니까?분석을 위해 wireshark를 실행하고 open-과제.pcapng를 수행한다.
그럼 이와 같은 화면을 볼 수 있다.
차근차근 보이는 것부터 분석해보며 과제를 수행해보면
-
캡쳐된 총 패킷 수는 2186개인 것을 우측 하단에서 볼 수 있다.
-
8번 패킷은 HTTP 프로토콜에 속해있으며 최고 계층의 프로토콜을 표시해준다.
-
초기의 profile name은 Default이다.
-
1번 패킷의 소스 IP주소는 192.168.56.102 이다.
-
동일 패킷의 소스 TCP 포트번호는 39294이다.
-
설정되어 있는 Flag는 0x002(SYN)이다.
-
이 TCP Conversation에서 다음 패킷의 프레임 번호는 눈으로 포트 번호를 따라가보면 6번 패킷이다.
-
이 TCP 대화를 위한 필터(우클릭-대화필터-TCP)를 설정하면 51개의 패킷이 표시된다.
다음 강의에서 배울 것은 Wireshark Profile이다.
강의를 모두 수강하여 Wireshark에 대한 많은 것들을 배울 것이고 velog에 정리할 것이다.
