이전에 Ethereal로 알려진 네트워크 분석 도구 인 Wireshark는 패킷을 실시간으로 캡처하여 사람이 읽을 수있는 형식으로 표시합니다. Wireshark에는 필터, 색상 코딩 및 네트워크 트래픽을 자세히 조사하고 개별 패킷을 검사 할 수있는 기타 기능이 포함되어 있습니다.
이 튜토리얼은 패킷 캡처, 필터링 및 검사의 기본 사항을 빠르게 익힐 것입니다. Wireshark를 사용하여 의심스러운 프로그램의 네트워크 트래픽을 검사하고 네트워크의 트래픽 흐름을 분석하거나 네트워크 문제를 해결할 수 있습니다.
Wireshark 받기
Windows 또는 macOS 용 Wireshark를 다운로드 할 수 있습니다. 공식 웹 사이트 . Linux 또는 다른 UNIX 계열 시스템을 사용하는 경우 패키지 저장소에서 Wireshark를 찾을 수 있습니다. 예를 들어 Ubuntu를 사용하는 경우 Ubuntu Software Center에서 Wireshark를 찾을 수 있습니다.
간단한 경고 : 많은 조직이 네트워크에서 Wireshark 및 유사한 도구를 허용하지 않습니다. 허가없이 직장에서이 도구를 사용하지 마십시오.
패킷 캡처
Wireshark를 다운로드하고 설치 한 후 실행하고 캡처 아래의 네트워크 인터페이스 이름을 두 번 클릭하여 해당 인터페이스에서 패킷 캡처를 시작할 수 있습니다. 예를 들어 무선 네트워크에서 트래픽을 캡처하려면 무선 인터페이스를 클릭합니다. 캡처> 옵션을 클릭하여 고급 기능을 구성 할 수 있지만 지금은 필요하지 않습니다.
인터페이스의 이름을 클릭하자마자 패킷이 실시간으로 나타나기 시작합니다. Wireshark는 시스템과주고받는 각 패킷을 캡처합니다.
무차별 모드를 활성화 한 경우 (기본적으로 활성화되어 있음) 네트워크 어댑터로 주소가 지정된 패킷 대신 네트워크의 다른 모든 패킷도 볼 수 있습니다. 무차별 모드가 활성화되었는지 확인하려면 캡처> 옵션을 클릭하고이 창 하단에 "모든 인터페이스에서 무차별 모드 활성화"확인란이 활성화되어 있는지 확인합니다.
트래픽 캡처를 중지하려면 창의 왼쪽 상단 모서리에있는 빨간색 "중지"버튼을 클릭합니다.
색상 코딩
다양한 색상으로 강조 표시된 패킷을 볼 수 있습니다. Wireshark는 색상을 사용하여 트래픽 유형을 한 눈에 식별 할 수 있습니다. 기본적으로 연한 자주색은 TCP 트래픽, 연한 파란색은 UDP 트래픽, 검정색은 오류가있는 패킷을 식별합니다. 예를 들어 순서가 잘못 전달되었을 수 있습니다.
색상 코드의 의미를 정확히 보려면보기> 색상 규칙을 클릭합니다. 원하는 경우 여기에서 색상 규칙을 사용자 정의하고 수정할 수도 있습니다.
샘플 캡처
자체 네트워크에서 검사 할 흥미로운 사항이 없다면 Wireshark의 wiki에서 확인할 수 있습니다. 위키에는 샘플 캡처 파일 페이지 로드하고 검사 할 수 있습니다. 파일> Wireshark에서 열기를 클릭하고 다운로드 한 파일을 찾아서 엽니 다.
자신의 캡처를 Wireshark에 저장하고 나중에 열 수도 있습니다. 파일> 저장을 클릭하여 캡처 된 패킷을 저장하십시오.
패킷 필터링
집에 전화를 걸 때 프로그램이 보내는 트래픽과 같은 특정 사항을 검사하려는 경우 네트워크를 사용하는 다른 모든 애플리케이션을 종료하여 트래픽을 좁힐 수 있습니다. 그래도 검색 할 패킷이 많을 것입니다. 이것이 Wireshark의 필터가 들어오는 곳입니다.
필터를 적용하는 가장 기본적인 방법은 창 상단의 필터 상자에 필터를 입력하고 적용을 클릭하거나 Enter 키를 누르는 것입니다. 예를 들어 "dns"를 입력하면 DNS 패킷 만 표시됩니다. 입력을 시작하면 Wireshark가 필터를 자동 완성하도록 도와줍니다.
분석> 표시 필터를 클릭하여 Wireshark에 포함 된 기본 필터 중에서 필터를 선택할 수도 있습니다. 여기에서 사용자 지정 필터를 추가하고 저장하여 나중에 쉽게 액세스 할 수 있습니다.
Wireshark 디스플레이 필터링 언어에 대한 자세한 내용은 디스플레이 필터 표현식 작성 공식 Wireshark 문서의 페이지.
할 수있는 또 다른 흥미로운 일은 패킷을 마우스 오른쪽 버튼으로 클릭하고 팔로우> TCP 스트림을 선택하는 것입니다.
클라이언트와 서버 간의 전체 TCP 대화가 표시됩니다. 팔로우 메뉴에서 다른 프로토콜을 클릭하여 해당되는 경우 다른 프로토콜에 대한 전체 대화를 볼 수도 있습니다.
창을 닫으면 필터가 자동으로 적용된 것을 알 수 있습니다. Wireshark는 대화를 구성하는 패킷을 보여줍니다.
패킷 검사
패킷을 클릭하여 선택하면 세부 정보를 볼 수 있습니다.
여기에서 필터를 만들 수도 있습니다. 세부 정보 중 하나를 마우스 오른쪽 단추로 클릭하고 필터로 적용 하위 메뉴를 사용하여이를 기반으로 필터를 만듭니다.
Wireshark는 매우 강력한 도구이며이 자습서는이 도구로 할 수있는 작업의 일부에 불과합니다. 전문가는이를 사용하여 네트워크 프로토콜 구현을 디버그하고 보안 문제를 조사하며 네트워크 프로토콜 내부를 검사합니다.
공식에서 더 자세한 정보를 찾을 수 있습니다 Wireshark 사용자 가이드 그리고 기타 문서 페이지 Wireshark의 웹 사이트에서.
