Wireshark 사용법 (패킷분석툴)과 설명

Wireshark란? 

네트워크 패킷 분석에 가장 많이 사용되는 툴이다. 1998년 제럴드 콤스 이더리얼이 제작해 무료로 배포하였다.

 

▶와이어 샤크 다운로드 : http://www.wireshark.org/download.html

 

 

메뉴

- "File" - "Edit"  - "View" - "Go"  - "Capture" - "Analyze" - "Statistics"  - "Help"

캡쳐 데이터를 열거나 저장합니다. 패킷을 찾거나 표시합니다. 프로그램 전역적인 속성들을 설정합니다. Wireshark 플랫폼의 보이는 모양을 설정합니다. 캡쳐된 데이터의 특정 위치로 이동합니다. 캡쳐 필터 옵션을 설정하고 캡쳐를 시작합니다. 분석 옵션을 설정합니다. Wireshark의 통계 데이터를 봅니다. 오프라인 혹은 온라인 도움말을 봅니다.

File

Open : 저장된 파일을 열때 사용한다.

Open Recent : 최근에 열었던 파일을 열때 사용한다.

Merge…. : 저장되어 있는 캡쳐 파일을 하나로 합칠때 사용한다.

Close : 현재 캡쳐 하고 있는 화면을 닫는다.

Save : 현재 캡쳐된 파일을 저장한다.

Save as : 현재 캡쳐된 파일을 다른이름으로 저장한다.

File Set : 현재 보고 있는 캡쳐파일의 Filename/Created/Last Modified/Size/저장경로 를 볼수 있다.

Export : 현재 파일을 여러 파일로 저장합니다.(

Print.. : 출력할때 사용한다.

Quit : 나가기.

 

 

Edit

Find Packet.. : 특정 패킷을 찾을 수 있다. Find Next : 찾은 패킷의 다음으로 이동한다. Find Previous : 찾은 패킷의 전으로 이동한다. Mark packet(toggle) : 특정 패킷을 사용자 임의로 지정할수 있다( 여러 개 복수 선택 가능) Find Next Mark : 임의로 지정된 패킷중 다음 패킷으로 이동한다. Fine Previous Mark : 임의로 지정된 패킷중 이전 패킷으로 이동한다. Mark All displayed packets : 현재 캡쳐된 모든 패킷을 마크로 지정한다. Unmark All Packets : 지정된 모든 마크 패킷을 원상태로 되돌린다. Ignore Packet(toggle) : 지정된 패킷은 무시되어 어떠한 정보도 화면에 표시되지 않는다.(지정된 패킷에는 Ignore 라고표시된다.) Ignore All Displated Packets : 화면상에 표시된 모든 패킷을 Ignore한다. Un-Ignore All packets : Ignore 된 패킷을 원상태로 되돌린다. Set Time Reference(toggle) : 지정된 패킷을 기준으로 패킷 시간을 표시한다. 지정된 패킷에는 *ref*표시가 생기며, 이 패킷을 0초로 하여 다음패킷의 Time을 표시한다. Find Next Reference : ref로 지정된 패킷의 다음 패킷으로 이동한다. Find Previous Reference : fef로 지정된 패킷의 이전 패킷으로 이동한다. Configuration Profiles…. : 여러 환경설정등을 여러 가지 분류로 각각 저장할 수 있다. Preferences.. : 캡쳐 화면이나 윈도우 창, 폰트 등을 상세하게 설정할 수 있다.

 

View

Main Toolbar : 바로가기 단축창을 on/off 할수 있다. Filter Toolbar : Filter 창을 on/off할수 있다. Wireless Toolbar : Wireless 창을 on/off할수 있다. Statusbar : 창아래 보이는 패킷 파일의 대한 정보를 on/off할수 있다. Packet List : Packet 이 보이는 List창을 on/off 할수 있다. Packet Details : Packet 의 정보를 확인할수 있는 창을 on/off할수 있다. Packet Bytes : Packet의 16진수 및 데이터 창을 on/off할수 있다. Time Display format : Packet의 시간 정보 표시를 임의로 바꿀수 있다. Name Resolution : Wireshark가 MAC, Network, Transport address 의 프로토콜의 이름풀이를 on/off할수 있다. Colorize Packet List : 패킷별 지정해 놓은 색상을 on/off할수 있다. Zoom In /Zoom Out : 글씨 크기를 조정할 수 있다. Normal Size : 원래 상태의 사이즈로 돌아온다. Resize All Columns : 현재 사이즈에 맞춰 재 배열한다. Displated Columns : Packet List 에 표시할 항목을 선택 할수 있다. Expand Subtrees : Packet Details창에 선택된 Packet의 정보를 펼칠 수 있다. Expand All : Packet Details창의 모든 Packet의 정보를 펼친다. Collaspse All : Packet Details창의 모든 Packet의 정보를 접는다. Colorize Conversation : 모든 패킷의 색상을 바꿀수 있다. Reset Coloring 1-10 : 1-10에 저장된 패킷 색상을 원상태로 되돌린다. Coloring Rules .. : 패킷에 대한 색상을 임의의 색으로 바꿀수 있다. Show Packet in New Window : 선택된 Packet의 Details창과 bytes창을 한번에 열수 있다. Reload : 패킷의 최상단 패킷으로 이동한다

.

 

Go

Back : 이전에 선택된 패킷으로 돌아간다. Forward : 돌아오기전에 선택되었던 앞의 패킷으로 돌아간다. Go to Packet… : Packet의 앞부분에 써있는 Number로 Packet을 찾을수 있다. Previous Packet : 선택된 패킷을 가운데 화면으로 고정시키고 한칸 위로 이동한다. Next Packet : 선택된 패킷을 가운데 화면으로 고정시키고 한칸 아래로 이동한다. First Packet : 모든 패킷의 가장 상단 패킷으로 이동한다. Last Packet : 모든 패킷의 가장 하단 패킷으로 이동한다.

 

Capture

Analyze

Display Filters…. : 미리 설정되어 있는 Filter Option을 화면에 표시해준다. 사용자는 선택하여 적용하거나 새로운 옵션을 만들수 있다. Display Filter Macros… : 여러 긴 문장의 Filter 명령어를 매크로로 지정하여 편하게 쓸수 있다. Enabled Protocols… : wireshark가 지원하는 Protocol을 확인하고 on/off할수 있다. Decode As…. : 임의의 패킷을 원하는 패킷으로 변경할수 있다. User Specified Decodes… : 사용자가 임의로 변경한 Packet을 확인할 수 있다. Follow TCP Stream : TCP Packet의 데이터 부분만 모아서 보기 쉽게 화면에 표시해준다. Follow UDP Stream : UDP Packet의 데이터 부분만 모아서 보기 쉽게 화면에 표시해준다. Follow SSL Stream : SSL Packet의 데이터 부분만 모아서 보기 쉽게 화면에 표시해준다. Expert Info : Packet의 Errors, Warnings, Notes, Chats 를 한번에 확인할 수 있다. Expert Info Composite : Exper Info 부분의 Packet을 더욱 상세하게 확인할 수 있다.

 

Statistics

Summary : Wireshark File, Time, Capture, display, Traffic.. 의 요약을 보여준다. Protocol Hierarchy : 현재 캡쳐된 Packet의 종류와 전체 패킷중의 Packet의 비율을 %로 확인할 수 있다. Conversations : 전체 Packet의 흐름을 확인 할수 있다. (IPv4,IPv6,TCP,UDP등이 어디에서 어디로 향했는지 한눈에 볼수있다.) Endpoints : 각 Packet의 Rx,Tx 신호의 흐름을 한눈에 확인할 수 있다. Packet Lengths… : Filter옵션을 넣으면 그 Filter에 대한 Packet의 길이를 확인 할 수 있다. IO Graphs : 전체 패킷에 대한 흐름도를 그래프로 확인 할수 있다. Filter옵션을 넣어 특정 Packet만 확인할 수도 있다.   Conversation List : 특정 Packet에 대한 흐름을 확인 할 수 있다. Endpoint List : 특정 Packet의 Rx,Tx 신호의 흐름을 한눈에 확인할 수 있다. Service Response Time : 보다 정밀한 검사가 가능한 16개의 프로토콜이 제공됩니다.   Flow Graph : 전체 Packet에 대한 흐름을 그래프로 한눈에 확인 할수 있다. HTTP : HTTP Protocol과 관련된 Packet중 손실률 성공Packet등을 확인 할 수 있다. IP Addresses : 임의의 Packet에 대한 IP주소의 개수, 속도, 퍼센트를 확인 할 수 있다. IP Destinations : 임의의 packet에 대한 도착지 IP주에 대한 개수, 속도, 퍼센트를 확인 할 수 있다. IP Protocol Types : 임의의 Packet에 대한 IP Protocol의 대한 개수, 속도, 퍼센트를 확인 할 수 있다. TCP Stream Graph : TCP Packet에 대한 다양한 그래프를 확인 할 수 있다. UDP Multicast Streams : 멀티캐스트로 사용한 UDP를 확인 할 수 있다.

 

Telphony

Wireshark에서 지원되는 다양한 Telephony 의 패킷들을 확인 할 수 있다.

 

단축키

자주 쓰이는 기능들을 손쉽게 쓰기 위해 모아논 bar. 마우스를 위에 올려 놓으면 자세한 정보를 확인 할 수 있다.

 

Wire shark 화면 뷰 및 대시보드

PACKET DETAILS PANE

packet list 패널은 캡쳐된 모든 패킷을 보여줍니다. Source/destination MAC/IP 주소, TCP /UDP 포트 번호, 프로토콜, 패킷 내용 등의 정보를 얻을 수 있습니다.

 

 

PACKET DETAILS PANE

Packet Details 화면은 패킷을 와이어 샤크가 스스로 정리하여 모든 패킷의 상세 정보를 자세히 볼수 있습니다.

 

DISSECTOR PANE

packet bytes 패널이라고도 하는 dissector 패널은 packet details 패널과 내용은 같지만 데이터를 16진수로 나타내줍니다.

 

Wireshark 하단 정보 표시

프로그램 화면 하단에서는 다음과 같은 정보들을 확인 할 수 있습니다:

Expert Infos, Paket 수, Displayed 수, Marked, Dropped