Wireshark는 네트워크에서 앞뒤로 이동하는 데이터를 캡처하고 볼 수있게 해주는 무료 응용 프로그램으로 특정 요구에 맞게 필터링 된 각 패킷의 내용을 자세히 읽고 읽을 수있는 기능을 제공합니다. 일반적으로 네트워크 문제를 해결하고 소프트웨어를 개발하고 테스트하는 데 사용됩니다. 이 오픈 소스 프로토콜 분석기는 업계 표준으로 널리 받아 들여졌으며, 수년 동안 공평한 점유율을 차지했습니다.
원래 Ethereal로 알려진 Wireshark는 모든 주요 네트워크 유형에서 수백 가지 프로토콜 의 데이터를 표시 할 수있는 사용자 친화적 인 인터페이스를 갖추고 있습니다. 이러한 데이터 패킷은 CAP 또는 ERF를 포함하여 수십 개의 캡처 / 추적 파일 형식이 지원되므로 실시간으로 보거나 오프라인으로 분석 할 수 있습니다. 통합 암호 해독 도구를 사용하면 WEP 및 WPA / WPA2 와 같은 널리 사용되는 여러 프로토콜에 대해 암호화 된 패킷을 볼 수 있습니다.
07 년 1 월
Wireshark 다운로드 및 설치
Wireshark는 macOS 및 Windows 운영 체제 모두를위한 Wireshark Foundation 웹 사이트에서 무료로 다운로드 할 수 있습니다. 고급 사용자가 아니라면 최신 안정 릴리스 만 다운로드하는 것이 좋습니다. 설정 프로세스 중에 (Windows 만 해당) 라이브 데이터 캡처에 필요한 라이브러리가 포함되어 있으므로 메시지가 표시되면 WinPcap도 설치하도록 선택해야합니다.
이 응용 프로그램은 Linux와 Red Hat , Solaris 및 FreeBSD를 비롯한 대부분의 UNIX와 유사한 플랫폼에서도 사용할 수 있습니다. 이러한 운영 체제에 필요한 바이너리는 타사 패키지 섹션의 다운로드 페이지 하단에 있습니다.
이 페이지에서 Wireshark의 소스 코드를 다운로드 할 수도 있습니다.
07 년 2 월
데이터 패킷을 캡처하는 방법
Wireshark를 처음 실행하면 위의 그림과 비슷한 환영 화면이 표시되고 현재 사용중인 네트워크 연결 목록이 표시됩니다. 이 예에서는 Bluetooth 네트워크 연결 , 이더넷 , VirtualBox 호스트 전용 네트워크 , Wi-Fi 등의 연결 유형이 표시됩니다. 오른쪽에 해당 네트워크의 실제 트래픽을 나타내는 EKG 스타일의 선 그래프가 표시됩니다.
패킷 캡처를 시작하려면 먼저 여러 네트워크의 데이터를 동시에 기록 하려면 선택 항목을 클릭하고 Shift 또는 Ctrl 키를 사용하여 이러한 네트워크 중 하나 이상을 선택하십시오. 캡처 유형으로 연결 유형을 선택하면 배경이 파란색 또는 회색으로 음영 처리됩니다. Wireshark 인터페이스 상단에 위치한 메인 메뉴에서 캡처 를 클릭하십시오. 드롭 다운 메뉴가 나타나면 시작 옵션을 선택 하십시오 .
다음 단축키 중 하나를 통해 패킷 캡처를 시작할 수도 있습니다.
- 키보드 : Ctrl + E를 누릅니다 .
- 마우스 : 특정 네트워크에서 패킷 캡처를 시작하려면 이름을 두 번 클릭하기 만하면됩니다.
- 툴바 : Wireshark 도구 모음의 맨 왼쪽에있는 파란색 상어 지느러미 버튼을 클릭하십시오.
이제 실시간 캡처 프로세스가 시작되고 패킷 세부 정보가 기록 될 때 Wireshark 창에 표시됩니다. 캡처 작업을 중지하려면 아래 작업 중 하나를 수행하십시오.
- 키보드 : Ctrl + E를 누릅니다 .
- 툴바 : Wireshark 툴바의 상어 지느러미 옆에있는 빨간색 정지 버튼을 클릭하십시오.
03 / 07
패킷 내용보기 및 분석
이제는 네트워크 데이터를 기록 했으므로 캡처 한 패킷을 살펴볼 시간입니다. 위의 스크린 샷과 같이 캡처 된 데이터 인터페이스에는 패킷 목록 창, 패킷 세부 정보 창 및 패킷 바이트 창이라는 세 가지 주요 섹션이 있습니다.
패킷 목록
창의 맨 위에있는 패킷 목록 창에는 활성 캡처 파일에있는 모든 패킷이 표시됩니다. 각 패킷에는이 데이터 포인트와 함께 고유 한 행과 해당 번호가 할당되어 있습니다.
- 시간 : 패킷이 캡처 된 시간 스탬프가이 열에 표시되며 기본 형식은이 특정 캡처 파일이 처음 생성 된 이후의 초 수 (또는 부분 초)입니다. 이 포맷을 실제 시간과 같이 좀 더 유용하게 사용할 수 있도록 수정하려면 Wireshark의 View 메뉴에서 Time Display Format 옵션을 선택하십시오 - 메인 인터페이스 상단에 있습니다.
- 출처 : 이 열은 패킷이 발생한 주소 (IP 또는 기타)를 포함합니다.
- Destination : 이 열은 패킷이 보내지는 주소를 포함합니다.
- 프로토콜 : 이 열에 패킷의 프로토콜 이름 (예 : TCP)이 있습니다.
- 길이 : 이 열에는 패킷 길이 (바이트)가 표시됩니다.
- 정보 : 패킷에 대한 추가 세부 정보 가 여기에 표시됩니다. 이 열의 내용은 패킷 내용에 따라 크게 다를 수 있습니다.
상단 창에서 패킷을 선택하면 첫 번째 열에 하나 이상의 기호가 나타납니다. 직선형 수평선뿐만 아니라 열린 및 / 또는 닫힌 대괄호는 패킷 또는 패킷 그룹이 모두 네트워크에서 동일한 앞뒤 대화의 일부인지 여부를 나타낼 수 있습니다. 끊어진 수평선은 패킷이 상기 대화의 일부가 아니라는 것을 나타냅니다.
패킷 세부 정보
중간에있는 세부 정보 창은 축소 가능한 형식으로 선택한 패킷의 프로토콜 및 프로토콜 필드를 제공합니다. 각 선택 항목을 확장하는 것 외에도 특정 세부 사항을 기반으로 개별 Wireshark 필터를 적용 할 수 있으며 세부 정보 컨텍스트 메뉴를 통해 프로토콜 유형에 따라 데이터 스트림을 따라갈 수 있습니다.이 창에서 원하는 항목을 마우스 오른쪽 버튼으로 클릭하면 액세스 할 수 있습니다.
패킷 바이트
하단에는 16 진수보기에서 선택한 패킷의 원시 데이터를 표시하는 패킷 바이트 창이 있습니다. 이 16 진수 덤프 에는 데이터 오프셋 옆에 16 진수 16 바이트와 16 ASCII 바이트가 들어 있습니다.
이 데이터의 특정 부분을 선택하면 패킷 세부 정보 창에서 해당 섹션이 자동으로 강조 표시되며 그 반대의 경우도 마찬가지입니다. 대신 인쇄 할 수없는 모든 바이트는 마침표로 표시됩니다.
창 내의 아무 곳이나 마우스 오른쪽 단추로 클릭하고 컨텍스트 메뉴에서 적절한 옵션을 선택하여 16 진수가 아닌 비트 형식으로이 데이터를 표시하도록 선택할 수 있습니다.
04 / 07
Wireshark 필터 사용하기
Wireshark에서 가장 중요한 기능 세트 중 하나는 필터 기능입니다. 특히 중요한 크기의 파일을 다룰 때 유용합니다. 캡쳐 필터는 사실 전에 설정되어 Wireshark에게 지정된 기준에 맞는 패킷 만 기록하도록 지시 할 수 있습니다.
필터는 특정 패킷 만 표시되도록 이미 생성 된 캡처 파일에도 적용 할 수 있습니다. 이를 디스플레이 필터라고합니다.
Wireshark는 기본적으로 다수의 사전 정의 된 필터를 제공하므로 몇 번의 키 입력이나 마우스 클릭만으로 보이는 패킷의 수를 줄일 수 있습니다. 이러한 기존 필터 중 하나를 사용하려면 Wireshark 툴바 바로 아래에 있는 디스플레이 필터 적용 입력 필드 또는 시작 화면의 가운데에 있는 캡처 필터 입력 필드에 이름을 지정하십시오.
이것을 달성하는 방법은 여러 가지가 있습니다. 필터 이름을 이미 알고 있으면 해당 필드에 필터 이름을 입력하기 만하면됩니다. 예를 들어 TCP 패킷 만 표시하려면 tcp를 입력하십시오. Wireshark의 자동 완성 기능은 입력을 시작할 때 제안 된 이름을 표시하므로 찾고있는 필터에 대한 정확한 이름을 쉽게 찾을 수 있습니다.
필터를 선택하는 또 다른 방법은 입력 필드의 왼쪽에있는 책갈피와 같은 아이콘을 클릭하는 것입니다. 이렇게하면 가장 일반적으로 사용되는 일부 필터와 캡처 필터 관리 또는 디스플레이 필터 관리 옵션이 포함 된 메뉴가 나타납니다. 두 유형 중 하나를 관리하도록 선택하면 필터를 추가, 제거 또는 편집 할 수있는 인터페이스가 나타납니다.
또한 입력 필드의 오른쪽에있는 아래쪽 화살표를 선택하여 이전에 사용 된 필터에 액세스 할 수 있습니다. 그러면 기록 드롭 다운 목록이 표시됩니다.
일단 설정되면 네트워크 트래픽 기록을 시작하자마자 캡처 필터가 적용됩니다. 그러나 디스플레이 필터를 적용하려면 입력 필드의 맨 오른쪽에있는 오른쪽 화살표 버튼을 클릭해야합니다.
07 년 5 월
색칠 규칙
Wireshark의 캡처 및 디스플레이 필터를 사용하면 화면에 기록되거나 표시되는 패킷을 제한 할 수 있지만 색상 화 기능은 각기 다른 색조를 기반으로 서로 다른 패킷 유형을 쉽게 구별 할 수 있으므로 작업을 한 걸음 더 앞서게됩니다. 이 편리한 기능을 사용하면 저장된 목록 내의 특정 패킷을 패킷 목록 창에서 해당 행의 색 구성표로 신속하게 찾을 수 있습니다.
Wireshark에는 20 가지 기본 색상 규칙이 내장되어 있습니다. 각 항목은 원하는 경우 편집, 비활성화 또는 삭제할 수 있습니다. 보기 메뉴에서 액세스 할 수있는 채색 규칙 인터페이스를 통해 새 음영 기반 필터를 추가 할 수도 있습니다. 각 규칙에 대한 이름과 필터 기준을 정의하는 것 외에도 배경색과 텍스트 색상을 모두 연관시켜야합니다.
패킷 색상 화는 [ 보기] 메뉴에있는 [ 패킷 목록 색상 화] 옵션을 통해 켜고 끌 수 있습니다.
07 년 6 월
통계
Wireshark의 기본 창에 표시된 네트워크 데이터에 대한 자세한 정보 외에도 화면 상단에있는 통계 드롭 다운 메뉴를 통해 몇 가지 유용한 메트릭을 사용할 수 있습니다. 여기에는 캡쳐 파일 자체에 대한 크기 및 타이밍 정보와 함께 패킷 대화 분류에서부터 HTTP 요청 배포를 다루는 수십 개의 차트 및 그래프가 포함됩니다.
디스플레이 필터는 개별 인터페이스를 통해 이러한 많은 통계에 적용될 수 있으며 결과는 CSV , XML 및 TXT를 포함한 여러 공통 파일 형식으로 내보낼 수 있습니다.
07 년 7 월
고급 기능
이 기사에서는 Wireshark의 주요 기능 대부분을 다루었지만,이 강력한 도구에서 일반적으로 고급 사용자를 위해 예약 할 수있는 추가 기능 모음이 있습니다. 여기에는 루아 프로그래밍 언어로 자신의 프로토콜 분석기를 작성하는 기능이 포함됩니다.
이러한 고급 기능에 대한 자세한 내용은 Wireshark의 공식 사용자 안내서를 참조하십시오.