Wireshark를 사용하여 패킷 캡처, 필터링 및 검사 방법

0
1486

이전에는 Ethereal으로 알려진 네트워크 분석 도구 인 Wireshark는 패킷을 실시간으로 캡처하여 사람이 읽을 수있는 형식으로 표시합니다. Wireshark에는 네트워크 트래픽을 자세히 조사하고 개별 패킷을 검사 할 수있는 필터, 색상 코딩 및 기타 기능이 포함되어 있습니다.

이 튜토리얼에서는 패킷 캡처, 필터링 및 검사의 기본 사항을 익히 게됩니다. Wireshark를 사용하여 의심스러운 프로그램의 네트워크 트래픽을 검사하거나 네트워크의 트래픽 흐름을 분석하거나 네트워크 문제를 해결할 수 있습니다.

Wireshark 받기

Wireshark for Windows 또는 macOS는 공식 웹 사이트에서 다운로드 할 수 있습니다. Linux 또는 다른 UNIX 계열 시스템을 사용하는 경우 패키지 저장소에 Wireshark가있을 수 있습니다. 예를 들어 Ubuntu를 사용하는 경우 Ubuntu 소프트웨어 센터에서 Wireshark를 찾을 수 있습니다.

간단한 경고 : 많은 조직에서는 네트워크에서 Wireshark 및 이와 유사한 도구를 허용하지 않습니다. 권한이 없으면 직장에서이 도구를 사용하지 마십시오.

패킷 캡처

Wireshark를 다운로드하여 설치 한 후에는이를 실행하고 Capture에서 네트워크 인터페이스 이름을 두 번 클릭하여 해당 인터페이스에서 패킷 캡처를 시작할 수 있습니다. 예를 들어, 무선 네트워크에서 트래픽을 캡처하려면 무선 인터페이스를 클릭하십시오. 캡처> 옵션을 클릭하여 고급 기능을 구성 할 수 있지만 현재는 필요하지 않습니다.

인터페이스 이름을 클릭하면 패킷이 실시간으로 표시되기 시작합니다. Wireshark는 시스템과주고받는 각 패킷을 캡처합니다.

무차별 모드를 사용하도록 설정하면 (기본적으로 사용하도록 설정 됨) 네트워크 어댑터로 주소가 지정된 패킷 대신 네트워크의 다른 모든 패킷도 볼 수 있습니다. 무차별 모드가 활성화되어 있는지 확인하려면 캡처> 옵션을 클릭하고이 창의 맨 아래에있는“모든 인터페이스에서 무차별 모드 활성화”확인란이 활성화되어 있는지 확인하십시오.

트래픽 캡처를 중지하려면 창의 왼쪽 상단 근처에있는 빨간색 “중지”버튼을 클릭하십시오.

컬러 코딩

다양한 색상으로 강조 표시된 패킷이 표시 될 수 있습니다. Wireshark는 색상을 사용하여 한 눈에 트래픽 유형을 식별하는 데 도움을줍니다. 기본적으로 옅은 자주색은 TCP 트래픽, 연한 파란색은 UDP 트래픽, 검은 색은 오류가있는 패킷을 식별합니다 (예 : 순서가 잘못되었을 수 있음).

색상 코드의 의미를 정확히 보려면보기> 색상 규칙을 클릭하십시오. 원하는 경우 여기에서 색상 규칙을 사용자 정의하고 수정할 수도 있습니다.

샘플 캡처

자신의 네트워크에서 검사 할 흥미로운 것이 없다면 Wireshark의 위키에서 다룰 것입니다. 위키에는로드 및 검사 할 수있는 “샘플 캡처 파일 페이지”가 ​​포함되어 있습니다. 파일> Wireshark에서 열기를 클릭하고 다운로드 한 파일을 찾아서여십시오.

Wireshark에 자신의 캡처를 저장하고 나중에 열 수도 있습니다. 파일> 저장을 클릭하여 캡처 된 패킷을 저장하십시오.

패킷 필터링

집에 전화를 걸 때 프로그램이 보내는 트래픽과 같은 특정 항목을 검사하려는 경우 네트워크를 사용하여 다른 모든 응용 프로그램을 닫아 트래픽을 좁힐 수 있습니다. 여전히 많은 양의 패킷을 거칠 수 있습니다. 그것이 Wireshark의 필터가 들어오는 곳입니다.

필터를 적용하는 가장 기본적인 방법은 창 상단의 필터 상자에 필터를 입력하고 적용을 클릭하거나 Enter를 누르는 것입니다. 예를 들어“dns”를 입력하면 DNS 패킷 만 표시됩니다. 타이핑을 시작하면 Wireshark가 필터 자동 완성을 도와줍니다.

분석> 디스플레이 필터 Filter를 클릭하여 Wireshark에 포함 된 기본 필터 중에서 필터를 선택할 수도 있습니다. 여기에서 사용자 정의 필터를 추가하고 저장하여 나중에 쉽게 액세스 할 수 있습니다.

Wireshark의 디스플레이 필터링 언어에 대한 자세한 내용은 공식 Wireshark 설명서의 “디스플레이 디스플레이 필터 식 작성”페이지를 참조하십시오.

당신이 할 수있는 또 다른 흥미로운 일은 패킷을 마우스 오른쪽 버튼으로 클릭하고 Follow> TCP Stream을 선택하는 것입니다.

클라이언트와 서버 간의 전체 TCP 대화가 표시됩니다. 해당되는 경우 팔로우 메뉴에서 다른 프로토콜을 클릭하여 다른 프로토콜에 대한 전체 대화를 볼 수도 있습니다.

창을 닫으면 필터가 자동으로 적용됩니다. Wireshark는 대화를 구성하는 패킷을 보여줍니다.

패킷 검사

패킷을 클릭하여 선택하면 세부 정보를 볼 수 있습니다.

여기에서 필터를 만들 수도 있습니다. 세부 정보 중 하나를 마우스 오른쪽 버튼으로 클릭하고 필터로 적용 하위 메뉴를 사용하여 필터를 만들 수 있습니다.


Wireshark는 매우 강력한 도구이므로이 자습서는 도구로 수행 할 수있는 작업의 표면을 긁는 것입니다. 전문가들은이를 사용하여 네트워크 프로토콜 구현을 디버깅하고 보안 문제를 검사하며 네트워크 프로토콜 내부를 검사합니다.

Wireshark 웹 사이트의 공식 websiteWireshark 사용자 안내서 및 기타 문서 페이지에서 자세한 정보를 찾을 수 있습니다.