Wireshark란?
- 네트워크 패킷을 캡처하고 분석하는 프로그램
용도
- 침해대응 분석: 모니터링, IPS/IDS 패킷 샘플 분석
- 모의해킹: PC→서버 암호화 통신이 되는지
- 애플리케이션 패킷 분석: 중요한 정보가 노출이 되는지
- 포렌식 분석: 사고 대응 및 개인정보 노출 등 분석
유용한 드라이브
- dumpcap: 패킷을 dump 파일로 확인
- mergecap: 패킷 파일들을 merge
- tshark: 와이어샤크의 콘솔 버전
- No.: 수집된 패킷의 넘버
- Time: 패킷이 수집된 시간
- Source: 패킷을 보낸 주소
- Desination: 패킷의 도착 주소
- Protocol: 프로토콜 정보
- Length: 패킷 길이
- Info: 패킷 정보
User Interface
1. Packet List 영역: 수집을 시작한 시점부터 중지할 때까지의 패킷 정보를 보여줌.
2. Packet Details 영역: 전송되는 패킷에 대한 정보를 계층적으로 보여줌
Frame: 1계층 정보, Ethernet: 2계층 정보 (MAC 주소), Internet Protocol: 3계층 정보, UDP/TCP: 4계층 정보
3. Packet Bytes 영역: 패킷에 대한 정밀한 분석 내용을 16진수로 보여줌.
4. Status Bar (위 화면에는 안 보이나, 최하단에 있음): 캡처된 패킷 수, 화면에 표시된 패킷 수, 파일 정보 등을 보여줌.
캡처 방법
- 기본 설정으로 캡처: 메뉴바의 Capture-Start 또는 Ctrl+E
- 옵션에서 설정 가능
Analyze-Follow-TCP/UDP Stream
- 선택한 패킷이 사용한 stream을 쉽게 읽을 수 있도록 재정렬하여 보여줌.
- 사용자가 입력한 내용을 분석해 로그인 정보를 알아내는 등으로 활용.
'Network' 카테고리의 다른 글
| 신호 전달 방식과 데이터 전달 방식 (0) | 2021.12.27 |
|---|---|
| PDU & SDU 의 정리 (0) | 2021.10.26 |
| IEEE 802 란?? (0) | 2021.10.25 |
| 네트워크 캡슐화 & 역캡슐화 (encapsulation & decapsulation) (0) | 2021.10.25 |
| OSI 7 Layer 정리 (Open System Interconnection) (0) | 2021.10.25 |