티스토리 뷰
이 블로그는 제가 공부한 것을 바탕으로 정리 목적으로 사용되고 있습니다.
작성 내용중 부족한 부분이나 잘못된 부분을 지적해주시면 감사하겠습니다 (꾸벅)
이번에는 와이어샤크를 사용하도록 하겠다. 먼저 패킷 캡처를 시작하는 방법에 대해 알아보자.
패킷 캡처를 시작하는 방법은 5가지가 있다.
스타트업 화면의 링크를 클릭해서 시작하는 방법
인터페이스를 확인하고 시작하는 방법
캡처 옵션 화면에서 인터페이스를 지정하고 시작하는 방법
이전과 동일한 조건으로 시작하는 방법
명령을 이용해 시작하는 방법
가장 간단하게 패킷 캡처를 시작할 수 있다.
조작 순서
1, 와이어샤크가 실행되면 스타트업 화면이 표시된다.
2. 캡처를 하려는 랜카드를 클릭한다. 그리고 Start를 클릭하면 패킷 캡처가 시작된다.
2. 인터페이스를 확인하고 시작하는 방법
패킷 캡처가 이루어질 랜 카드를 표시하고 통신이 이루어지고 있는 패킷의 수를 확인한 후에 캡처를 시작한다. 이 방법은 어떤 랜카드나 통신 어댑터에서 통신이 이루어지고 있는지를 미리 확인할 수 있다.
조작 순서
1. 와이어샤크가 실행되면 화면 좌측 상단에 있는 Interface List를 클릭한다. 캡처 인터페이스 화면이 표시된다.
항목 버튼명 |
설명 |
Device (디바이스 명) |
와이어샤크가 인식하고 있는 랜 카드의 디바이스명을 표시한다. |
Description (설명) |
랜 카드의 설명이 표시된다. |
IP (IP 주소) |
대상이 되는 랜카드의 IP 주소를 표시한다. IP 주소가 할당 되어 있지 않으면 unknown으로 표시된다. |
Packets (패킷 수) |
캡처 인터페이스 화면이 표시되면 동시에 숫자 카운트가 시작되며 해당 시점까지의 패킷 수를 표시한다. 과거 1초 이내에 캡처한 패킷 수가 0이면 이 항목은 회색 표시로 된다. |
Packets / s (1초당 패킷 수) |
과거 1초 이내의 패킷 수를 표시한다. Packets와 마찬가지로 과거 1초 이내에 캡처한 패킷수가 0이면 이 항목은 회색으로 표시된다. |
3. 인터페이스를 지정하고 시작하는 방법
인터페이스나 각종 옵션을 지정하고 캡처를 한다. 캡처할 랜 카드나 통신 어댑터를 알고 있는 경우에는 바로 캡처를 할 수 있으므로 이 방법이 편리한다.
조작 순서
1. 화면 좌측에 있는 Capture Option를 클릭한다. 캡처 옵션 화면이 표시된다.
항목명 | 설명 |
Interface | 패킷을 캡쳐하려는 인터페이스에 체크한다. 복수 선택도 가능하다. |
Link-layer header | 데이터 링크 계층의 헤더 형식을 표시한다. AirPcap 등을 설치하지 않았으면 보통 데이터 링크 계층의 캡슐화는 Ethernet으로 디코드된다. |
Prom. Mode | 자신을 목적지로 하지 않는 패킷(브로드캐스트 패킷이나 멀티캐스트 패킷 등)도 캡처하는 promiscuous mode가 유효화되어 있으면 enabled로 표시된다. |
Snaplen | 캡처할 때 하나의 해킷을 모두 캡처하지 않고 패킷의 전반부만 캡처하는 것을 Snap이라 한다. Snaplen은 패킷의 전반부만을 캡처할 때 구체적으로 그 크기를 바이트 단위로 지정하는 것이다. 예를 들면 대용량 멀티미디어 통신 등을 장시간 캡처하면 파일 크기가 매우 커지므로, 이때 이 옵션을 이용하면 통계나 분석에 필요한 전반부만을 캡처해서 패킷 크기를 작게 할 수가 있다. |
Capture Filter | 캡처할 때 미리 필요한 패킷으로 범위를 축소하기 위한 필터를 표시한다. 캡처 필터를 이용하면 캡처된 데이터는 줄어들지만 특정 패킷만을 모으고자 할 경우에 유효하다. |
Capture on all interface | 여기에 체크를 하면 Interface에 표시되어 있는 모든 인터페이스를 캡처한다. |
Use promiscuous mode on all interface | 여기에 체크하면 Interface에 표시되어 있는 모든 인터페이스에 대해 promiscuous mode를 유효화한다. |
Manage Interface 버튼 | 아래와 같은 인터페이스 관리 화면을 표시하며, 외부의 리모트 인터페이스 등을 설정한다.
|
Capture Filter 버튼 | Capture Filter 버튼을 클릭하면 미리 준비되어 있는 캡처 필터가 표시된다. Capture Filter 버튼을 이용하지 않더라도 버튼 오른쪽 텍스트박스에 직접 입력해서 캡처 필터를 지정할 수 있다. |
4. 이전과 동일한 조건으로 시작하는 방법
현재 실행 중인 캡처와 같은 조건으로 한번 더 패킷을 캡처하고자 할 때는 재시작 기능을 사용하면 편리한다.
5. 명령을 이용해 시작하는 방법
터미널에서 인터페이스 번호를 지정해서 캡처를 시작할 수 있다. 예를 들면 와이파이 인터페이스를 캡처하고 싶다면 '1'을 다음 명령을 입력한다.
(인터페이스 번호에 대해서는 tshark -D를 입력하여 알아볼수 있다.
)
홈페이지 패킷을 캡처해보도록 하겠다.
앞에서 설명한 내용을 가지고 시작을 하면 아래와 같은 화면이 뜬다. 그리고 웹브라우저를 실행해서 임의의 홈페이지에 접속한다.
그러면 아래와 같이 계속해서 패킷이 캡처가 된다.
홈페이지에 접속할 때 송수신되는 HTTP 패킷을 확인해보자.
Filter란 부분에 http을 치게되면, 아래와 같이 패킷들이 필터링되어 나오게 된다.
<출처 : 와이어샤크를 이용한 패킷 캡처 철저 입문 ; 저자 : 다케시타 메구미 >
'네트워크 > WireShark' 카테고리의 다른 글
| ARP (0) | 2016.03.25 |
|---|---|
| 패킷 헤더 확인하기 (0) | 2016.01.10 |
| 와이어샤크 사용자 인터페이스 (0) | 2015.12.27 |
| 와이어샤크 실행 (0) | 2015.12.26 |
| 와이어샤크의 개념 (0) | 2015.12.26 |
- Total
- Today
- Yesterday
- 오일러 프로젝트 13
- 오일러 프로젝트 10본
- 2의 1000승
- 헤더
- 허프만 알고리즘
- 화투이미지맞추기
- 오일러 프로젝트 14번
- CBrush
- 약수 500개
- tipsoft
- 이미지게임
- 오일러
- 오일러 프로젝트 12번
- Omok
- TIPS강좌
- 서버
- 비손실 압축
- 오일러 프로젝트 11번
- MFC
- tipsr강좌
- Tips
- 오일러 프로젝트 8번
- 오일러 프로젝트 16번
- 팁스강좌
- 패킷
- tipssoft
- 실행 압축
- arp
- 와이어샤크
- 키보드 메시지 이벤트
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 |