와이어샤크(wireshark) 사용법

 

와이어샤크(wireshark) 사용법

첨부자료

02_wireshark사용방법.hwp

 

 

 

 

■ 네트워크 보안을 하기 위한 기본 기술

패킷 캡쳐(Indentifying)

패킷 분석(Interpreting)

 

 

■ 보안 분석을 위해 반드시 필요한 기본 기술

패킷 구성/구조(How a packet is constructed)

실제 흐름(How it performs in real world scenarios.)

 

샘플 자료
https://wiki.wireshark.org/SampleCaptures

■ 패킷을 캡쳐하고 분석할 수 있는 대표적인 무료용 툴

(TUI) tcpdump(http://www.tcpdump.org)

(GUI) wireshark(http://www.wireshark.org)

 

tshark
TUI모드 wireshark (모니터링 걸어놓을 때 사용)

 

editcap
큰 용량의 파일 을 적당한 크기로 잘라서 편집 할 수 있음

 

wireshark 설치
         Windows
         직접설치
         RPM
         # yum install wireshark
         DEB
         # apt-get install wireshark

 

디스플레이 필터
     ip.dst == 192.168.20.201
     ip.addr == 192.168.0.1
     tcp.port == 23 

 

■ 와이어샤크(Wireshark) 역사

와이어샤크는 캔자스 주의 미주리 대학교에서 제럴드 콤즈(Gerald Combs)에 의해 만들어 졌다. 콤즈의 첫번째 버전인 이더리얼(Ethereal)이라는 애플리케이션은 1998년에 GNU 라이선스에 의해 처음으로 배포 되었다.

 

이더리얼이 배포된 8년 후 콤즈는 좀 더 나은 직장을 찾기 위해 그룹을 떠났다. 그리고 불행히도 그의 직원 중 한명이 이더리얼이라는 이름의 모든 권리를 가졌기 때문에 콤즈는 이더리얼이라는 브랜드를 쓸 수 있는 권한을 갖지 못했다. 그 대신 콤즈와 개발팀은 2006년 중반에 새로운 프로젝트(이름을 와이어샤크라고 이름 지었다.)을 진행하였다.

 

와이어샤크는 상상하지 못할 만큼 빨리 퍼져 나갔고 많은 동료에 의해서 계속 발전중이다. 지금은 무려 500명 이상의 사람들이 도움을 주고 있다. 그러나 이더리얼의 이름으로는 더 이상 개발되지 않고 있다.

 

 

   WireShark 장점

​

​1 지원되는 프로토콜

​다양한 프로토콜을 지원하는데 대략 850개 이상의 프로토콜을 지원한다.

 

​2 친 사용자 환경

​와이어샤크의 인터페이스는 가장 쉬운 패킷 스니핑 애플리케이션 중 하나이다.

GUI 방식이고 다양한 특징도 있다.

 

​3 비용

​와이어샤크는 GPL의 원칙 아래 무료 배포 소프트웨어로 제공되는 오픈소스 프로그램이기 때문에 비용 걱정이 없다.

 

​4 프로그램 지원

​특별히 개별적으로는 지원이 없고, 사용하는 사용자들이 상호 지원을 해주기 때문이다.

와이어샤크의 홈페이지는 지원 가능한 다양한 정보를 제공한다. 질문도 할 수 있다.

 

​5 운영체제 지원

​윈도우, 맥 OS X, 리눅스를 바탕으로 한 운영체제 등 거의 모든 운영체제를 지원한다.

 

 WireShark 기초

​

패킷 캡쳐

​

​패킷을 캡처하는 이유는 다음과 같다.

첫째, 네트워크에는 항상 뭔가 잘못된 것이 있다.

둘째, 패킷 분석은 반드시 뭔가 잘못된 것이 있을 때만 해야 하는 것은 아니다. 트래픽을 분석하고 살펴보는 일에도 사용된다.

 

다음은 패킷 캡처 방법이다.

 

1) 와이어샤크를 실행

 

2) main 메뉴에서 Capture -> Interface를 선택

 

3) 사용하고자 하는 인터페이스를 선택하고 Start를 클릭한다.

 

 

4) 데이터가 채워지는 모습을 알 수 있다.

 

 

​와이어샤크의 메인 창

 

 

메인창은 크게 3개로 나눠서 볼 수 있다.

 

1) Packet List(패킷 리스트)

현재 수집된 패킷을 모두 보여준다. 패킷이 수집된 시가느 발신지와 목적지, 프로토콜, 패킷에서 발견된 기본적인 정보들을 보여준다.

 

2) Pacet Detail(패킷 상세 정보)

패킷에 대한 정보를 계층적으로 보여준다.

 

3) Packet Bytes(패킷 바이트)

가장 원시적인(Raw) 형태의 패킷을 표시한다.

 

 

 

환경설정

 

Edit -> Preferences

 

 

​1) user Interface(사용자 인터페이스)

데이터를 나타내는 방법을 결정한다. 메인 창에 나타나는 레이아웃, 스크롤바, Packet List 영역의 위치, 캡쳐 데이터를 나타내는 글자/바탕화면, 실행되는 화면의 색상 등을 설정할 수 있다.

 

​2) Capture(캡처)

기본적인 캡처 인터페이스를 포함, 기본적인 무차별 모드의 사용 여부, Packet List 영역의 실시간 업데이트 여부 같은 패킷을 캡처하는데 관련된 옵션을 명시한다.

 

​3) Printing(프린팅)

​데이터를 인쇄하는 방식에 관련된 다양한 옵션을 명시한다.

 

​4) Name Resolution(이름 변환)

주소를 알아보기 쉬운 이름으로 변환하게 와이어샤크의 기능을 활성화할 수 있다.

 

​5) Statistics(통계)

와이어샤크의 통계적 기능에 대한 몇 가지 구성 옵션을 제공한다.

 

​6) Protocol(프로토콜)

디코딩 가능한 다양한 프로토콜을 수집, 그것을 화면에 보여준다.