WIRESHARK 사용법 정리

1. WIRESHARK란?

와이어샤크는 자유 및 오픈 소스 패킷 분석 프로그램이다. 네트워크의 문제, 분석, 소프트웨어 및 통신 프로토콜 개발, 교육에 쓰인다. 

2. WIRESHARK  INTERFACE

시작 화면

2.1 Menu

Menu bar

• File

- Open : 저장된 패킷 파일(dump)을 연다.

- Savd : 수집한 패킷을 파일로 저장

- Merge : 수집한 여러 개의 패킷 파일을 선택해서 하나로 합친다.

- Export : 특정 패킷만 내보낸다.

• Edit

- Find Packet : 특정 패킷을 찾을 수 있다.

- Mark/Unmark Packet : 특정한 패킷을 찾는 방법. mark 기능으로 표시 가능

- Ignore : 불필요한 패킷을 무시할 수 있다.

- Preferencces : 패킷 프레임의 레이아웃 및 폰트, 색상을 설정할 수 있다.

• View

- 화면 구성 관리 및 보여지는 패킷 관리

- Colorize : 패킷은 기본적으로 색을 지니지 않지만, 와이어 샤크에서 분석의 편의를 위해 구분 패킷을 구분해 놓은 색상을 관리할 수 있다.

- Coloring Rules : 색상 관리

• Go : 특정 패킷을 찾거나, 이동할 때 사용
• Capture : 패킷 수집을 일시정지, 시작, 재시작 등을 관리하는 메뉴
• Analyze : 선택한 패킷에 대해 관련된 패킷들만 볼 수 있다.
• Statistics : 전체 패킷에 대한 분석을 요약 해놓고 관리
• Telephony : Voip 패킷 분석 (전화기)
• Wireless : 무선 통신을 볼 수 있는 기능
• Tools : 와이어샤크에 쓰이는 도구
• Help : 도움말

2.2 단축버튼

단축버튼

• 패킷 캡쳐 시작
• 패킷 캡처 멈춤
• 현재 캡처 다시 시작
• 캡처 옵션
• 파일 열기
• 현재 캡처 화면 저장
• 현재 캡처하고 있는 화면을 닫기
• pcap 파일을 새로고침
• 특정 패킷을 찾기
• 이전에 선택된 패킷으로 돌아가기
• 돌아오기 전에 선택되었던 앞의 패킷으로 돌아가기
• 지정된 패킷으로 이동
• 모든 패킷의 가장 상단 패킷으로 이동
• 모든 패킷의 가장 하단 패킷으로 이동
• 패킷 캡처를 하는 동안 자동으로 스크롤을 내린다.
• 색깔 규칙에 맞춰 패킷 색을 바꾼다.
• zoom in
• zoom out
• normal size
• 내용에 맞게 패킷 목록 열 크기 조정

2.3 Packet List

Packet list 패널은 캡처된 모든 패킷을 보여준다. Source/destination MAC/IP 주소, TCP/UDP, 포트번호, 프로토콜, 패킷 내용 등의 정보를 얻을 수 있다.

• No. : 패킷이 수집된 순서
• Time : 패킷이 수집된 시간
• Source(패킷을 보낸 주소) ↔ Destination(패킷이 도착한 주소)
• Protocol : 패킷 프로토콜 정보
• Length : 패킷의 길이
• info : 패킷의 상세 정보

2.4 Packet Details

Packet details 화면은 패킷을 와이어 샤크가 스스로 정리하여 모든 패킷의 상세 정보를 자세히 볼 수 있다.

2.5 Packet Bytes

가공되지 않은 실제 패킷 데이터 모습

3. Packet Capture

3.1 실시간 패킷 캡처

Ctrl + k

원하는 네트워크 인터페이스를 선택하고 start를 누르면 패킷 캡처가 시작된다.

3.2 pcap 파일 불러오기

ctrl + o

파일을 불러올 수 있다.

3.3 실제 패킷 캡처해보기

먼저 http로 패킷 필터를 설정한 뒤 구글에 접속해 보자.

이렇게 통신한 내용이 보인다.

4. 와이어샤크를 활용한 패킷 분석

4.1 전체보기

Statistics -> Conversations

모든 패킷들이 세션별로 보기 좋게 정리되어 있다.

4.2 Stream(세션별로 조립) 보기

우클릭

여러 가지 스트림을 제공하고 있다.

예시