wireshark는 자유 및 오픈 소스 패킷 분석 프로그램으로 네트워크의 문제, 분석, 소프트웨어 및 통신 프로토콜 개발, 교육에 쓰인다.
pcap라는 파일 포맷으로 저장
pcap - Packet Capture의 약자, 네트워크 트래픽을 캡쳐하는 API 구성
사용법
1) Packet List : 출발지와 목적지를 기준으로 오고가는 패킷들을 시간순서대로 리스트 형식으로 나열
2) Packet Details : Packet List에서 선택한 하나의 단일 패킷에 대해 세부내용을 정리해서 보여주는 상세 정보창
- 각 계층에서 어떤 프로토콜을 사용했는지, 출발지/목적지의 맥 주소 등의 정보를 알 수 있음
3) Packet Bytes : Packet List에서 선택한 하나의 단일 패킷에 대해 패킷 데이터를 16진수와 ASCII 코드로 보여준다.
No. - 패킷을 수집한 순서
Time - 패킷이 수집된 시간
Source - 패킷을 보낸 주소
Destination - 패킷 도착 주소
Protocol - 해당 패킷의 프로토콜 정보
Length - 패킷 길이
Info - 패킷 정보
Menu
File
open : 저장된 패킷 파일(dump)을 연다
Save : 수집된 패킷을 파일로 저장
Merge : 수집한 여러개의 패킷 파일을 선택해서 하나로 합칠 수 있다
Export : 특정 패킷만 내보낼 수 있다
Edit
Find Packet : 특정 패킷을 찾을 수 있다
Mark/Unmark Packet : 특정한 패킷을 찾는 방법, mark기능으로 표시 가능
Ignore : 불필요한 패킷 무시
Preferences : 패킷 검색 프레임의 레이아웃 및 폰트, 색상 설정
View
화면 구성 관리 및 보여지는 패킷 관리
Colorize : 패킷을 구분해놓은 색상 관리
Coloring Rules : 색상관리
Go
캡쳐된 데이터를 특정 위치로 이동
Capture
캡쳐 필터 옵션을 설정하고 캡쳐 시작
Analyze
분석 옵션 설정
Statistics
wireshark 통계 데이터 확인
Telephony
Voip 패킷 분석 (전화기)
패킷 필터링
원하는 패킷만 보기 위한 필터링
1. 캡쳐필터 : 패킷 수집 자체에 필터를 걸어 필터링에 적용된 패킷만 받는 방법(성능에 영향을 끼칠 수 있음)
2. 디스플레이 필터 : 오가는 패킷 전체를 수집한 후, 내가 화면에서 볼 것만 필터링(다양한 연산 사용가능, 권장)
필터링 식은 Apply a display filter라고 적혀있는 공간에 적용하면 된다.
혹은 메뉴에서 Analyze > Display Filters에 들어가서 적용 가능하다.
캡쳐된 로그에서 필요한 데이터를 찾을 때 자주 사용하는 옵션값
eth.addr == 00:3f:1e:00:00:23 //출발지나 목적지 MAC 주소로 검색
ip.addr == 192.168.0.2 // 출발지나 목적지 IP주소로 검색
tcp.port == 3306 // TCP 출발지나 목적지 포트 번호로 검색
ip.src != 10.1.2.3 // 출발지 IP주소가 해당 IP주소가 아닌것 검색
eth.dst == 00:3f:1e:00:00:23 // 목적지 MAC주소 검색
단축키 & 사용키
패킷 찾기
Ctrl + F
관심패킷 표시
Ctrl + M
캡쳐 필터 (원하는 패킷만 캡쳐)
Capture > Options > Capture Filter > post 80 >Start
TCP 스트림 보기
패킷 우클릭 > Follow TCP Stream
프로토콜 계층 통계 보기
Statistic > Protocol Hierarchy
m.blog.naver.com/wwwkasa/220123373889
'보안 지식 > 툴 사용법' 카테고리의 다른 글
| [OpenVas] 취약점 점검 도구 GVM 설치 (0) | 2023.05.02 |
|---|