WireShark란?
네트워크 패킷을 캡처, 분석하는 프로그램이다.
GPL에 따라 무료이고 윈도우, 리눅스등 여러 OS에서도 사용 가능하다.
TCPDUMP와 동일하게 PCAP 라이브러리를 사용하기 때문에 리눅스상에서 TCPDUMP로 패킷을 저장하고 파일을 PC로 옮겨서 WireShark를 통해 분석 할 수 있다.
설치 방법
아래의 다운로드 링크에서 원하는 OS에 맞게 설치하면 된다.
Download URL: https://www.wireshark.org/download.html
위 네트워크들중 분석할 네트워크를 선택하면 아래와 같이 패킷을 수집한 리스트가 나온다.
Packet List
패킷이 수집되는 리스트로 아래와같은 컬럼들이 존재한다.
No. : 패킷 수집 번호
Time: 패킷이 수집 시간
Source: 출발지 주소
Destination: 도착지 주소
Protocol: 프로토콜 정보
Length: 패킷 길이
Info: 패킷 정보
Packet Details
선택한 패킷 리스트에 대한 상세 정보를 보여준다.
Packet Bytes
패킷을 16진수나 ASCII 문자 코드 등으로 보여준다.
Filter 기능
필터 기능을 이용하여 원하는 패킷에대한 검색을 할 수 있다.
필터링 가능한 필드들에 해단 자동 완성이 되기 때문에 유추해서 사용해도 되고 기본적인 필터링 식을 암기해서 사용해도 될듯(ip.src, ip.dst, tls, tcp...)
연산자를 이용해서 원하는 패킷을 필터링도 가능하다.
== : eq
!= : ne
&& : and
|| : or
! : not
...
Packet List 컬럼 변경
컬럼은 추가, 변경이 가능한데 컬럼의 오른쪽 클릭 후 [열 설정] 또는 [열 편집] 으로 추가 및 생성이 가능하다.
[열 설정]을 선택시 아래와 같은 창이 뜬다.
[+] 버튼을 클릭해서 행이 추가되면 제목, 유형, 필드를 입력하면 된다.
[유형]에는 기본적으로 제공하는 항목들이 있는데(ex_Source port,ip...) 따로 원하는 필드로 컬럼을 구성하고 싶다면, 위와 같이 [유형]을 Custom 으로 설정 후 필드에 원하는 값을 넣으면 된다.(해당 값은 필터 기능의 필터링 할때의 값으로 넣으면 된다.)
끝.
