[K.Knock]와이어샤크 사용법

우선 와이어샤크는 http://www.wireshark.org 에서 다운받을 수 있다.

와이어샤크는 네트워크 패킷 스니핑 프로그램이며 이는 RAW(가공되지 않은)패킷을 받아볼 수 있다.

보통 PC에서 정보를 받을 때, 기본적으로 LAN 카드에 설정되어있는 자신의 MAC주소와 일치하지 않는 패킷이면 버퍼에 저장하지 않고 폐기하는것이 디폴트로 설정되어있는 방식이다. 하지만 이를 Promiscuous Mode로 설정들 바꾸면 자신의 패킷이 아니어도 버퍼에 저장한다. 즉, 자신의 정보가 아닌 가지지 말아야할 정보까지 모두 받아들이는 것이다. 이를 활용하여 이 패킷스니퍼가 어디에 설치되어있느냐에 따라 스니핑의 범위도 다양해질 수 있다.

기능

File

- open : 저장된 파일을 열 때 사용한다.

- open recent : 최근에 열었던 파일을 열 때 사용한다

- merge : 저장되어 있는 캡쳐 파일을 하나로 합칠 때 사용한다.

- close : 현재 캡쳐하고 있는 화면을 닫는다

- save : 현재 캡쳐된 파일을 저장한다.

- save as : 다른이름으로 캡쳐된 파일을 저장한다.

- file set : 현재 보고있는 캡쳐파일의 파일정보를 볼 수 있다.

- export : 현재 파일을 여러 파일로 저장한다

- print : 인쇄

- quit : 나가기

Edit

- find packet : 특정 패킷을 찾는다

- find next : 찾은 패킷의 다음으로 이동

- find previous : 찾은 패킷의 이전으로 이동

- mark packet(toggle) : 특정 패킷을 사용자 임의로 지정한다??????????

- find next mark : 임의로 지정된 패킷의 다음으로 이동한다.

- fine previous mark : 임의로 지정된 패킷의 이전으로 이동한다

- mark all displayed packets : 현재 캡쳐된 모든 패킷을 마크로 지정한다.

- unmark all packets : 지정된 모든 마크 패킷을 원상태로 되돌린다

- ignore packet(toggle) : 지정된 패킷은 무시된다(패킷에 ignore표시됨)

- ignore all displated packets : 화면상에 표시된 모든 패킷을 무시한다.

- un-ignore all packets : 무시된 패킷을 원상태로 되돌린다.

- set time reference(toggle) 지정된 패킷(*ref*표시생김)을 기준으로 패킷 시간을 표시한다.

- find next reference : ref로 지정된 패킷의 다음패킷으로 이동

- find previous reference : ref로 지정된 패킷의 이전패킷으로 이동

- configuration profiles : 여러 환경설정등을 여러가지 분류로 각각 저장할 수 있다.

- references : 캡쳐 화면이나 윈도우 창, 폰트 등을 상세하게 설정 가능

View

- main toolbar : 바로가기 단축창을 on/off할 수 있다.

- filter toolbar : 필터창을 on/off할 수 있다.

- wireless toolbar : wireless 창을 on/off할 수 있다.

- statusbar : 창 아래 패킷정보를 on/off할 수 있다.

- packet list : 패킷이 보이는 list창을 on/off할 수 있다.

- packet details : 패킷의 정보를 확인할 수 있는 창을 on/off할 수 있다.

- packet bytes : 패킷의 16진수 및 데이터창을 on/off할 수 있다.

- time display format : 패킷의 시간 정보 표시를 임의로 바꿀 수 있다.

- name resolution : 와이어샤크가 프로토콜의 이름풀이하는것을 on/off할 수 있다.

- colorize packet list : 패킷별 지정해놓은 색상을 on/off할 수 있다.

- zoom in/zoom out : 글씨크기조정

- normal size: 원래 크기로 돌아온다

- resize all columns : 현재 사이즈에 맞추어 재배열

- displated columns : 패킷목록에 표시할 항목 선택

- expand subtrees : 상세패킷창에 선택된 패킷정보를 펼칠 수 있다.

- expand all : 상세패킷창의 모든 패킷정보를 펼친다

- collaspse all : 상세패킷창의 모든 패킷정보를 접는다

- colorize conversation : 모든 패킷의 색상을 바꿀 수 있다.

- reset coloring 1-10 : 1-10에 저장된 패킷 색상을 원상태로 되돌린다.

- coloring rules : 패킷에 대한 색상을 임의로 수정한다

- show packet in new window : 선택된 패킷의 상세창과 바이트창을 한번에 열 수 있다.

- reload : 패킷의 최상단 패킷으로 이동한다.

Go

- back : 이전 패킷으로 돌아간다

- forward : 돌아오기 전 선택되었던 앞의 패킷으로 돌아간다.

- go to packet : 패킷의 앞부분에있는 넘버로 패킷을 찾을 수 있다.

- previous packet : 패킷을 화면 중앙으로 고정시키고 한칸 위로 이동한다

- next packet : 선택된 패킷을 화면 중앙으로 고정시키고 한칸 아래로 이동한다

- first packet : 모든 패킷의 가장 상단 패킷으로 이동한다

- last packet : 모든 패킷의 가장 하단 패킷으로 이동한다.

Capture

- interfaces : 캡쳐할 인터페이스 선택

- options : 캡쳐 이전에 옵션 선택 가능

- start : 캡쳐 시작

- stop : 캡쳐중지

- restart : 캡쳐를 다시한다

- capture filters : 캡쳐된 패킷중 필터를 사용할 수 있다.

Analyze

- display filters : 미리 설정된 필터옵션을 화면에 표시

- display filter macros : 필터 명령어를 매크로로 지정한다

- enabled protocols : 와이어샤크가 지원하는 프로토콜 확인 및 on/off

- decode as : 임의의 패킷을 원하는 패킷으로 변경 가능

- user specified decodes : 사용자가 임의로 변경한 패킷을 확인할 수 있다

- follow TCP stream : TCP패킷의 데이터 부분만 모아서 보기 쉽게 화면에 표시해준다

- follow UDP stream : UDP 패킷의 데이터 부분만 모아서 보기 쉽게 화면에 표시해준다

- follow SSL stream : SSL 패킷의 데이터 부분만 모아서 보기 쉽게 화면에 표시해준다.

- expert info : 패킷의 에러, 경고 등을 한번에 확인할 수 있다.

- expert info composite : 위의 기능을 더욱 상세하게 확인할 수 있다.

Statistics

- summary : 전체적인 요약을 보여준다.

- protocol hierarchy : 현재 캡쳐된 패킷의 종류와 전체 패킷중의 비율을 %로 확인할 수 있다.

- conversations : 전체 패킷의 흐름을 확인할 수 있다.

- endpoints : 패킷의 Rx, Tx신호의 흐름을 한눈에 확인할 수 있다.

- packet lengths : 필터옵션을 넣으면 필터에 대한 패킷의 길이를 확인할 수 있다.

- IO graphs : 전체 패킷에 대한 흐름도를 그래프로 확인할 수 있다.

- conversation list : 특정 패킷에 대한 흐름을 확인할 수 있다.

- endpoint list : Rx, Tx신호의 흐름을 한눈에 확인할 수 있다.

- service response time : 보다 정밀한 검사가 가능한 16개의 프로토콜이 제공된다.

- flow graph : 전체 패킷에 대한 흐름을 그래프로 한눈에 확인 할 수 있다.

- HTTP : HTTP 프로토콜과 관련된 패킷중 손실률 성공 패킷 등을 확인할 수 있다.

- IP addresses : 임의의 패킷에 대한 IP주소의 개수, 속도 퍼센트를 확인

- IP destinations : 임의의 패킷에 대한 도착지 IP주소에 대한 개수, 속도, 퍼센트를 확인

- IP protocol types : 임의의 패킷에 대한 IP프로토콜의 대한 개수, 속도, 퍼센트를 확인할 수 있다.

- TCP stream graph : TCP패킷에 대한 다양한 그래프를 확인할 수 있다.

- UDP multicast streams : 멀티캐스트로 사용한 UDP를 확인 할 수 있다.

Telephony

Tools

Help

필터

와이어샤크를 사용할 때 가장 강력하게 사용할 수 있는 기능중 하나가 바로 이 필터기능이다.

어떤 문법을 사용하여 필터링이 가능한지 알아보자

프로토콜

ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp 등

지정하지 않으면 ALL로 설정된다.

방향

src, dst, src and dst, src or dst

지정하지 않으면 src or dst로 설정된다.

호스트

net, port, hast, portrange

지정하지 않으면 host로 설정

논리연산

not(not이 우선순위가 가장 높다.), and, or, xor(두 조건중 하나만 맞을 때)

사용예제

ip.addr == 10.0.1.2  #출발지나 목적지 ip주소 검색

tcp.port == 45  #출발지나 목적지 tcp포트 번호 검색

tcp.flags  #TCP 플래그를 가지고 있는 패킷을 보여준다.

tcp.flags.syn == 0x02  #TCP SYN 플래그를 가지고 있는 패킷을 보여준다.

tcp dst port 100  #목적지 tcp 포트가 100인 패킷을 보여준다.

src portrange 100-500  #출발지의 TCP,UDP포트가 100-500 사이인 패킷을 보여준다.

not arp  #캡쳐결과에서 arp를 제외한다.

no broadcast  #브로드캐스트 제외