와이어샤크(Wireshark) 사용하기

와이어샤크란?

통신으로 주고받는 패킷을 잡아 분석할 수 있도록 도와주는 패킷분석프로그램이다. 

전문가 못지않게 상세한 분석을 돕는 여러가지 툴들을 제공하며, 무료로 배포되고 있는 유명한 프로그램이다. 

와이어샤크를 실행시키면 위 사진과 같은 화면이 보여진다. 여기서 Capture 부분이 패킷 캡쳐를 위해 랜카드를 선택하는 곳이다.

목록에서 패킷을 캡쳐하고 싶은 랜카드를 선택한 후, Start 버튼을 누르면 캡쳐링이 시작된다.

와이어샤크에서 캡쳐된 패킷 확인하기

중간에 여러가지 색으로 표시되어 있는 부분이 캡쳐된 패킷이다. 

와이어샤크는 패킷분석이 건초더미에서 바늘찾기만큼 어려워지지 않도록 패킷의 종류에 따라서 색을 달리해 표시해주고 있다.

컬러링 규칙은 사용자가 원하는대로 변경이 가능하다.

캡쳐된 패킷을 더블클릭하면 해당 패킷의 상세한 내용을 팝업창으로 확인할 수 있고,

위 사진에서 보이는 것처럼 아래부분에서 패킷의 상세내용을 확인해볼 수도 있다.

패킷 필터링하기

수 많은 패킷을 잡아서 보여주고 있기 때문에 원하는 통신내용을 확인하는 것이 어려울 수 있다.

이럴 경우에는 원하는 트래픽만 골라내어 확인할 수 있도록 필터링을 해주어야 한다.

필터링을 상세하게 설정할수록 패킷 분석을 빠르고 정확하게 할 수 있다.

위 사진처럼 Filter 라고 적힌 칸에 내가 원하는 필터링 문구를 넣어 사용한다.

필터링 문구는 'arp' 처럼 간단하게 프로토콜 명칭을 넣거나 다양한 옵션을 넣어서 상세하게 설정하기도 한다.

단순하게 패킷의 내용을 가지고 필터링을 해서 개별적인 패킷만 볼 것이 아니라, 조각내서 보내지고 있는 정보들을 세션별로 조립하여 내용을 확인해볼 수도 있다. 이를 Stream이라고 한다.

위 그림처럼 TCP Stream을 선택하면 TCP로 통신되고 있는 패킷들을 조립하여 어떤 통신을 하고 있었는지 내용을 확인할 수 있다.

아래 그림이 TCP Stram으로 HTTP 통신의 내용을 조립하여 확인한 것이다.

와이어샤크에서 유용하게 사용될 수 있는 여러가지의 필터식

eth.addr == 00:30:f9:00:00:01 eth.src == 00:30:f9:00:00:01 eth.dst == 00:30:f9:00:00:01 ip.addr == 10.1.0.1 ip.src == 10.1.0.1 tcp.port == 1470 tcp.dstport == 1470 tcp.srcport == 1470 udp.port == 2000 udp.dstport == 2000 udp.srcport == 2000 arp.dst.proto_ipv4 == 10.1.0.1 arp.src.proto_ipv4 == 10.1.0.1 wlan.addr == 00:30:f9:00:00:01 wlan.sa ==  00:30:f9:00:00:01 wlan.da ==  00:30:f9:00:00:01

출발지나 목적지 MAC 주소로 검색 출발지 MAC주소 검색 목적지 MAC주소 검색 출발지나 목적지 IP주소로 검색 출발지 IP주소로 검색 출발지나 목적지 포트 번호로 검색 포트 목적지 포트 번호로 검색 포트 출발지 포트 번호로 검색 출발지나 포트 목적지 포트 번호로 검색 포트 목적지 포트 번호로 검색 포트 출발지 포트 번호로 검색  ARP 중 목적지 IP주소로 검색 ARP 중 출발지 IP주소로 검색 무선랜 사용 시 출발지나 목적지 MAC 주소로 검색 무선랜 사용 시 출발지 MAC 주소로 검색 무선랜 사용 시 목적지 MAC 주소로 검색