[SW] 네트워크 패킷 분석 프로그램 WireShark 사용법

WireShark는 가장 보편적인 무료 오픈 소스 네트워크 패킷 분석 프로그램이다.

본 프로그램 사용에 필요한 참고정보를 정리할 겸 포스팅을 올리려고 한다.

(본 포스팅 정보는 포스팅 하단에 기재한 Reference 글을 참고하여 작성 및 정리한 내용입니다.)

 

💡 본 프로그램 사용에 앞서 참고정보!
패킷 : 네트워크상에서 주고받는 메시지 데이터 블록의 기본 단위. 이메일을 보내거나, 파일을 다운로드 받거나, 동영상을 시청하는 등 인터넷에 접속하여 우리가 행하는 모든 행위는 패킷의 운송 과정을 통해 이루어질 수 있는 것

 

필터 기능

• 특정 조건을 만족하는 패킷만 추려 화면에 보여줌

조건 예시)
1. 특정 IP 주소 또는 port번호를 사용중인 네트워크 플로우
2. 프로토콜별로 패킷을 분리하는 작업 필요 시

• [프로토콜.필드정보 + 비교연산자 + 필드 값] 의 형식을 따름

필터링 명령어 예)
ip.src eq 10.6.21.101 => source node의 ip주소가 10.6.21.101인 패킷
(eq = equal)

 

각 열(필드)에 대한 정보

• 이 외의 정보는 헤더 우클릭하여 새롭게 추가 가능

 

패킷 디테일

• 각 프로토콜 레이어 필드 정보를 상세하게 표출
• 필드정보에 마우스 오버레이 및 클릭하면 패킷 내에서 해당 정보가 위치한 지점 확인 가능
• 필드 우클릭하면 해당 필드에 대한 필터값을 설정할 수 있음

 

패킷 바이트

• 패킷 정보를 Hex값 상태 그대로 확인할 수 있는 영역
• 좌측은 Hex값(16개씩), 우측은 아스키코드로 변환된 값
• Pcap 파일(패킷 데이터 파일 형식) 정보나 수집된 패킷 개수, Expert Info 등은 아래 Status bar(빨간 박스)에 포함되어있음

 

** Reference

https://citizen.tistory.com/6?category=983886

와이어샤크(Wireshark) 사용법 #2 [인터페이스]