Wireshark는 네트워크에서 앞뒤로 이동하는 데이터를 캡처하고 보는 데 사용하는 무료 응용 프로그램입니다. 이 도구는 각 패킷의 내용을 자세히 읽고 필터링 할 수있는 기능을 제공하며 사용자의 특정 요구에 맞게 필터링됩니다. 일반적으로 네트워크 문제를 해결하고 소프트웨어를 개발하고 테스트하는 데 사용됩니다. 이 오픈 소스 프로토콜 분석기는 업계 표준으로 널리 받아 들여졌으며, 수년 동안 공평한 점유율을 차지했습니다.
원래 Ethereal로 알려진 Wireshark는 모든 주요 네트워크 유형에서 수백 가지 프로토콜의 데이터를 표시 할 수있는 사용자 친화적 인 인터페이스를 갖추고 있습니다. 데이터 패킷을 실시간으로 보거나 오프라인으로 분석 할 수 있습니다. Wireshark는 CAP 및 ERF를 포함하여 수십 개의 캡처 / 추적 파일 형식을 지원합니다. 통합 암호 해독 도구를 사용하면 WEP 및 WPA / WPA2와 같은 널리 사용되는 여러 프로토콜에 대해 암호화 된 패킷을 볼 수 있습니다.
07 년 1 월Wireshark 다운로드 및 설치
Wireshark는 macOS 및 Windows 운영 체제 모두를위한 Wireshark Foundation 웹 사이트에서 무료로 다운로드 할 수 있습니다. 고급 사용자가 아니라면 최신 안정 릴리스 만 다운로드하는 것이 좋습니다. Windows 설치 과정에서 라이브 데이터 캡처에 필요한 라이브러리가 포함되어 있으므로 프롬프트가 표시되면 WinPcap을 설치하도록 선택해야합니다.
이 응용 프로그램은 Linux와 Red Hat, Solaris 및 FreeBSD를 비롯한 대부분의 UNIX와 유사한 플랫폼에서도 사용할 수 있습니다. 이러한 운영 체제에 필요한 바이너리는 타사 패키지 섹션의 다운로드 페이지 하단에 있습니다. 이 페이지에서 Wireshark의 소스 코드를 다운로드 할 수도 있습니다.
데이터 패킷을 캡처하는 방법
Wireshark를 처음 실행하면 현재 장치에 사용 가능한 네트워크 연결 목록이 포함 된 시작 화면이 나타납니다. 이 예에서는 Bluetooth 네트워크 연결, 이더넷, VirtualBox 호스트 전용 네트워크 및 Wi-Fi와 같은 연결 유형이 표시됩니다. 오른쪽에 해당 네트워크의 실제 트래픽을 나타내는 EKG 스타일의 선 그래프가 표시됩니다.
패킷 캡처를 시작하려면 원하는 네트워크를 선택하고 네트워크를 선택하십시오. 시프트 또는 Ctrl 여러 네트워크의 데이터를 동시에 기록하려는 경우 키를 누릅니다. 캡처 유형으로 연결 유형을 선택한 후에는 배경이 파란색 또는 회색으로 음영 처리됩니다. 클릭 포착 Wireshark 인터페이스 상단에 위치한 주 메뉴에 있습니다. 드롭 다운 메뉴가 나타나면 스타트 선택권.
다음 단축키 중 하나를 통해 패킷 캡처를 시작할 수도 있습니다.
- 건반: 언론Ctrl + 이자형.
- 쥐: 특정 네트워크에서 패킷 캡처를 시작하려면 해당 이름을 두 번 클릭하십시오.
- 툴바 : Wireshark 도구 모음의 맨 왼쪽에있는 파란색 상어 지느러미 버튼을 클릭하십시오.
실시간 캡처 프로세스가 시작되고 Wireshark는 패킷 세부 정보를 기록 된대로 표시합니다. 캡처를 중지하려면 다음을 수행하십시오.
- 건반: 프레스 Ctrl + 이자형
- 툴바 : 빨간색을 클릭하십시오. 중지 버튼은 Wireshark 툴바의 상어 지느러미 옆에 있습니다.
패킷 내용보기 및 분석
네트워크 데이터를 기록한 후에는 캡처 한 패킷을 살펴볼 차례입니다. 캡처 된 데이터 인터페이스에는 패킷 목록 창, 패킷 세부 정보 창 및 패킷 바이트 창이라는 세 가지 주요 섹션이 있습니다.
패킷 목록
창의 맨 위에있는 패킷 목록 창에는 활성 캡처 파일에있는 모든 패킷이 표시됩니다. 각 패킷에는이 데이터 포인트와 함께 고유 한 행과 해당 번호가 할당되어 있습니다.
- 시각: 패킷이 캡처 된 시간 소인이이 열에 표시됩니다. 기본 형식은이 특정 캡처 파일을 처음 만든 이후의 초 또는 부분 초 수입니다. 이 형식을 실제 시간과 같이 좀 더 유용하게 사용할 수있는 형식으로 수정하려면 시간 표시 형식 Wireshark 's의 옵션 전망 메인 인터페이스 상단에있는 메뉴.
- 출처: 이 열은 패킷이 시작된 주소 (IP 또는 기타)를 포함합니다.
- 목적지: 이 열에는 패킷이 보내지는 주소가 들어 있습니다.
- 실험 계획안: 이 열에는 패킷과 같은 프로토콜 이름 (예 : TCP)이 있습니다.
- 길이: 이 열에는 패킷 길이 (바이트)가 표시됩니다.
- 정보 : 패킷에 대한 추가 세부 정보는 여기에 나와 있습니다. 이 열의 내용은 패킷 내용에 따라 크게 다를 수 있습니다.
상단 창에서 패킷을 선택하면 첫 번째 열에 하나 이상의 기호가 나타납니다. 열린 대괄호와 닫힌 대괄호 및 직선의 수평선은 패킷 또는 패킷 그룹이 모두 네트워크에서 동일한 앞뒤 대화의 일부인지 여부를 나타냅니다. 끊어진 수평선은 패킷이 상기 대화의 일부가 아니라는 것을 나타냅니다.
패킷 세부 정보
중간에있는 세부 정보 창은 축소 가능한 형식으로 선택한 패킷의 프로토콜 및 프로토콜 필드를 제공합니다. 각 선택 항목을 확장하는 것 외에도 세부 정보를 기반으로 개별 Wireshark 필터를 적용 할 수 있으며이 창에서 원하는 항목을 마우스 오른쪽 버튼으로 클릭하면 세부 정보 컨텍스트 메뉴를 통해 프로토콜 유형에 따라 데이터 스트림을 따라갈 수 있습니다.
패킷 바이트
하단에는 16 진수보기에서 선택한 패킷의 원시 데이터를 표시하는 패킷 바이트 창이 있습니다.이 16 진수 덤프에는 데이터 오프셋과 함께 16 개의 16 진수 바이트와 16 개의 ASCII 바이트가 들어 있습니다.
이 데이터의 특정 부분을 선택하면 패킷 세부 정보 창에서 해당 섹션이 자동으로 강조 표시되며 그 반대의 경우도 마찬가지입니다. 대신 인쇄 할 수없는 모든 바이트는 마침표로 표시됩니다.
창 내의 아무 곳이나 마우스 오른쪽 단추로 클릭하고 컨텍스트 메뉴에서 적절한 옵션을 선택하여 16 진수가 아닌 비트 형식으로이 데이터를 표시하도록 선택할 수 있습니다.
04 / 07Wireshark 필터 사용하기
Wireshark에서 가장 중요한 기능 세트 중 하나는 필터 기능입니다. 특히 크기가 중요한 파일을 다룰 때 유용합니다. 캡쳐 필터는 사실 전에 설정되어 Wireshark에게 지정된 기준에 맞는 패킷 만 기록하도록 지시 할 수 있습니다.
필터는 특정 패킷 만 표시되도록 이미 생성 된 캡처 파일에도 적용 할 수 있습니다. 이를 디스플레이 필터라고합니다.
Wireshark는 기본적으로 다수의 사전 정의 된 필터를 제공하므로 몇 번의 키 입력이나 마우스 클릭만으로 보이는 패킷의 수를 줄일 수 있습니다. 이러한 기존 필터 중 하나를 사용하려면 필터의 이름을 디스플레이 필터 적용 Wireshark 도구 모음 바로 아래 또는 캡처 필터 입력 시작 화면의 중앙에있는 입력 필드.
이것을 달성하는 방법은 여러 가지가 있습니다. 필터 이름을 이미 알고 있으면 해당 필드에 필터 이름을 입력하십시오. 예를 들어 TCP 패킷 만 표시하려면 다음을 입력합니다. tcp. Wireshark의 자동 완성 기능은 입력을 시작할 때 제안 된 이름을 표시하므로 찾고있는 필터에 대한 정확한 이름을 쉽게 찾을 수 있습니다.
필터를 선택하는 또 다른 방법은 입력 필드의 왼쪽에있는 책갈피와 같은 아이콘을 클릭하는 것입니다. 이 메뉴는 가장 일반적으로 사용되는 필터 중 일부를 포함하는 메뉴와 캡처 필터 관리 또는 디스플레이 필터 관리. 두 유형 중 하나를 관리하도록 선택하면 필터를 추가, 제거 또는 편집 할 수있는 인터페이스가 나타납니다.
입력 필드의 오른쪽에있는 아래쪽 화살표를 선택하여 이전에 사용 된 필터에 액세스하여 기록 드롭 다운 목록을 표시 할 수도 있습니다.
일단 설정되면 네트워크 트래픽 기록을 시작하자마자 캡처 필터가 적용됩니다. 디스플레이 필터를 적용하려면 입력 필드의 맨 오른쪽에있는 오른쪽 화살표 버튼을 클릭합니다.
07 년 5 월색상 규칙
Wireshark의 캡처 및 디스플레이 필터를 사용하면 화면에 기록되거나 표시되는 패킷을 제한 할 수 있지만 색상 화 기능은 각기 다른 색조를 기반으로 서로 다른 패킷 유형을 쉽게 구별 할 수 있으므로 작업을 한 걸음 더 앞서게됩니다. 이 편리한 기능을 사용하면 저장된 목록 내의 특정 패킷을 패킷 목록 창에서 행 색상별로 빠르게 찾을 수 있습니다.
Wireshark에는 약 20 개의 기본 색상 규칙이 내장되어 있습니다. 각 규칙은 원하는 경우 편집, 사용 중지 또는 삭제할 수 있습니다. 채색 규칙 인터페이스를 통해 새로운 음영 기반 필터를 추가 할 수도 있습니다. 전망 메뉴. 각 규칙에 대한 이름과 필터 기준을 정의하는 것 외에도 배경색과 텍스트 색상을 모두 연관시켜야합니다.
패킷 색상 화는 다음을 통해 켜고 끌 수 있습니다. 패킷 목록 색칠하기 옵션으로 전망 메뉴.
07 년 6 월통계
Wireshark의 기본 창에 표시된 네트워크 데이터에 대한 자세한 정보 외에도 다음과 같은 유용한 메트릭이 있습니다. 통계 드롭 다운 메뉴가 화면 상단에 나타납니다. 여기에는 캡쳐 파일 자체에 대한 크기 및 타이밍 정보와 함께 패킷 대화 분류에서부터 HTTP 요청 배포를 다루는 수십 개의 차트 및 그래프가 포함됩니다.
디스플레이 필터는 인터페이스를 통해 이러한 많은 통계에 적용될 수 있으며 결과는 CSV, XML 및 TXT를 포함한 여러 공통 파일 형식으로 내보낼 수 있습니다.
07 년 7 월고급 기능
Wireshark의 주요 기능 외에도 고급 사용자를 위해 일반적으로 예약 된이 강력한 도구에서 사용할 수있는 추가 기능 모음이 있습니다. 여기에는 루아 프로그래밍 언어로 자신의 프로토콜 분석기를 작성하는 기능이 포함됩니다.
