WireShark
패킷을 분석하는 강력한 툴
Wireshark Display Filter
캡처 필터와 디스플레이 필터
캡처 필터: 패킷을 캡처하는 동안 적용되는 필터로, 캡처 시작 전에 설정해야 한다
이를 통해 불필요한 패킷을 제외하고 필요한 패킷만을 캡처할 수 있다예시: tcp port 80 (TCP 포트 80에 관련된 트래픽만 캡처)
디스플레이 필터: 이미 캡처된 패킷 목록 중에서 필요한 패킷만을 필터링하여 보여준다
분석 과정에서 매우 유용하게 사용예시: ip.addr == 192.168.0.1 (특정 IP 주소와 관련된 패킷만 표시)
주요 필터링 명령어
IP 주소 기반 필터링
ip.addr == 192.168.0.1
(IP 주소가 192.168.0.1인 모든 패킷 표시)
특정 포트 기반 필터링
tcp.port == 80
(TCP 포트 80에 해당하는 패킷만 표시)
프로토콜 필터링
http
(HTTP 트래픽만 표시)
소스/목적지 IP 필터링
ip.src == 192.168.0.1 (소스 IP가 192.168.0.1인 패킷만 표시)
ip.dst == 192.168.0.1 (목적지 IP가 192.168.0.1인 패킷만 표시)
Wireshark의 기타 주요 기능
TCP Stream 따라가기 (Follow TCP Stream)
TCP Stream 따라가기 기능은 특정 TCP 연결에서 발생한 모든 트래픽을 연속적으로 확인할 수 있도록 도와준다
주로 하나의 세션 내에서 주고받은 데이터의 흐름을 쉽게 추적할 수 있다사용 방법
1. 분석하려는 TCP 패킷을 우클릭한 후 "Follow TCP Stream"을 선택
2. 선택한 연결에서 주고받은 모든 데이터를 순서대로 확인할 수 있다
3. 양방향 데이터를 모두 확인할 수 있으며, 필요시 데이터의 한쪽만 표시하거나 텍스트 파일로 저장할 수 있다이 기능은 주로 웹 브라우저와 서버 간의 통신 흐름을 분석할 때, 또는 특정 애플리케이션의 트래픽을 추적할 때 유용하다
패킷 재조립 (Packet Reassembly)
Wireshark는 여러 조각으로 나누어진 패킷들을 다시 조립하여 완전한 데이터를 보여줄 수 있다
예를 들어, IP 패킷이 조각화되어 전송될 때, Wireshark는 이 조각들을 하나의 데이터로 다시 합쳐서 보여준다
프로토콜 히에라키 (Protocol Hierarchy)
Wireshark는 각 프로토콜이 차지하는 비율을 시각적으로 보여주는 프로토콜 히에라키 기능을 제공
이를 통해 네트워크 트래픽 중 어떤 프로토콜이 주로 사용되는지 빠르게 파악할 수 있다
