Wireshark 기초 개념 및 사용법 정리

참고: 와이어샤크 공식 문서, www.youtube.com/watch?v=0igkZ570Jek&ab_channel=%EB%B3%B4%EC%95%88%ED%94%84%EB%A1%9C%EC%A0%9D%ED%8A%B8%5Bboanproject%5D

 

Wireshark란?

- 네트워크 패킷을 캡처하고 분석하는 프로그램

 

용도

- 침해대응 분석: 모니터링, IPS/IDS 패킷 샘플 분석

- 모의해킹: PC→서버 암호화 통신이 되는지

- 애플리케이션 패킷 분석: 중요한 정보가 노출이 되는지

- 포렌식 분석: 사고 대응 및 개인정보 노출 등 분석

 

유용한 드라이브

- dumpcap: 패킷을 dump 파일로 확인

- mergecap: 패킷 파일들을 merge

- tshark: 와이어샤크의 콘솔 버전

 

기타 설명

- No.: 수집된 패킷의 넘버

- Time: 패킷이 수집된 시간

- Source: 패킷을 보낸 주소

- Desination: 패킷의 도착 주소

- Protocol: 프로토콜 정보

- Length: 패킷 길이

- Info: 패킷 정보

 

User Interface

1. Packet List 영역: 수집을 시작한 시점부터 중지할 때까지의 패킷 정보를 보여줌.

2. Packet Details 영역: 전송되는 패킷에 대한 정보를 계층적으로 보여줌.

   Frame: 1계층 정보, Ethernet: 2계층 정보 (MAC 주소), Internet Protocol: 3계층 정보, UDP/TCP: 4계층 정보

3. Packet Bytes 영역: 패킷에 대한 정밀한 분석 내용을 16진수로 보여줌.

4. Status Bar (위 화면에는 안 보이나, 최하단에 있음): 캡처된 패킷 수, 화면에 표시된 패킷 수, 파일 정보 등을 보여줌.

 

캡처 방법

- 기본 설정으로 캡처: 메뉴바의 Capture-Start 또는 Ctrl+E

- 옵션에서 설정 가능

- Output에서 저장 포맷 등을 지정

- pcapng(pcap next generation): 패킷 정보에 추가 정보를 명시할 수 있는 포맷. pcap과 큰 차이 없음. 저장해서 사용하려는 곳의 포맷 지원 여부를 확인하고 결정

- 콘솔 형태의 프로그램으로 분석하려면 pcap으로 저장

 

패킷 필터

- 캡처 필터: 트래픽 수집에 대한 필터로, 불필요한 수집을 방지. 캡처할 때 미리 필터링함.

- 디스플레이 필터(권장): 섬세한 필터링이 가능. 자주 사용하는 필터 저장 가능. 전체를 수집하고 나중에 필터링함.

 

필터 표현식 예시

- host 192.168.0.1 (host kali 등) && tcp port 80: 각각을 primitive라고 함.

- src host 192.168.0.9: source ip로 192.168.0.9만 사용

- dst host 192.168.0.251: destination ip로 192.168.0.251만 사용

- port 8080: port 번호가 8080인 것만 수집

- !port 8080: port 번호가 8080이 아닌 것만 수집

 

Analyze-Follow-TCP/UDP Stream

- 선택한 패킷이 사용한 stream을 쉽게 읽을 수 있도록 재정렬하여 보여줌.

- 사용자가 입력한 내용을 분석해 로그인 정보를 알아내는 등으로 활용.