Wireshark를 사용하여 패킷을 캡처, 필터링 및 검사하는 방법

이전에 Ethereal로 알려진 네트워크 분석 도구 인 Wireshark는 패킷을 실시간으로 캡처하여 사람이 읽을 수있는 형식으로 표시합니다. Wireshark에는 필터, 색상 코딩 및 기타 기능이 포함되어있어 네트워크 트래픽을 자세히 조사하고 개별 패킷을 검사 할 수 있습니다.

이 자습서에서는 패킷 캡처, 필터링 및 검사의 기본 사항을 빠르게 익힐 수 있습니다. Wireshark를 사용하여 의심스러운 프로그램의 네트워크 트래픽을 검사하고 네트워크의 트래픽 흐름을 분석하거나 네트워크 문제를 해결할 수 있습니다.

Wireshark 받기

공식 웹 사이트에서 Windows 또는 macOS 용 Wireshark를 다운로드 할 수 있습니다. Linux 또는 다른 UNIX 계열 시스템을 사용하는 경우 패키지 저장소에서 Wireshark를 찾을 수 있습니다. 예를 들어 Ubuntu를 사용하는 경우 Ubuntu Software Center에서 Wireshark를 찾을 수 있습니다.

간단한 경고 : 많은 조직이 네트워크에서 Wireshark 및 유사한 도구를 허용하지 않습니다. 권한이없는 한 직장에서이 도구를 사용하지 마십시오.

패킷 캡처

Wireshark를 다운로드하고 설치 한 후이를 실행하고 Capture 아래의 네트워크 인터페이스 이름을 두 번 클릭하여 해당 인터페이스에서 패킷 캡처를 시작할 수 있습니다. 예를 들어 무선 네트워크에서 트래픽을 캡처하려면 무선 인터페이스를 클릭합니다. 캡처> 옵션을 클릭하여 고급 기능을 구성 할 수 있지만 지금은 필요하지 않습니다.

인터페이스의 이름을 클릭하자마자 패킷이 실시간으로 나타나기 시작하는 것을 볼 수 있습니다. Wireshark는 시스템과주고받는 각 패킷을 캡처합니다.

무차별 모드를 활성화 한 경우 (기본적으로 활성화되어 있음) 네트워크 어댑터로 주소가 지정된 패킷 대신 네트워크의 다른 모든 패킷도 볼 수 있습니다. 무차별 모드가 활성화되었는지 확인하려면 캡처> 옵션을 클릭하고이 창 하단에 "모든 인터페이스에서 무차별 모드 활성화"확인란이 활성화되어 있는지 확인합니다.

트래픽 캡처를 중지하려면 창의 왼쪽 상단 모서리에있는 빨간색 "중지"버튼을 클릭합니다.

색상 코딩

다양한 색상으로 강조 표시된 패킷을 볼 수 있습니다. Wireshark는 색상을 사용하여 트래픽 유형을 한 눈에 식별 할 수 있습니다. 기본적으로 연 보라색은 TCP 트래픽, 하늘색은 UDP 트래픽, 검정색은 오류가있는 패킷을 식별합니다. 예를 들어 순서가 잘못 전달되었을 수 있습니다.

색상 코드의 의미를 정확히 보려면보기> 색상 규칙을 클릭합니다. 원하는 경우 여기에서 색상 규칙을 사용자 정의하고 수정할 수도 있습니다.

샘플 캡처

자신의 네트워크에서 조사 할 흥미로운 것이 없다면 Wireshark의 wiki에서 다루었습니다. 위키에는로드 및 검사 할 수있는 샘플 캡처 파일 페이지가 있습니다. 파일> Wireshark에서 열기를 클릭하고 다운로드 한 파일을 찾아서 엽니 다.

자신의 캡처를 Wireshark에 저장하고 나중에 열 수도 있습니다. 파일> 저장을 클릭하여 캡처 된 패킷을 저장하십시오.

패킷 필터링

집에 전화를 걸 때 프로그램이 보내는 트래픽과 같은 특정 항목을 검사하려는 경우 네트워크를 사용하는 다른 모든 응용 프로그램을 종료하여 트래픽을 좁힐 수 있습니다. 그래도 걸러 내야 할 패킷이 많을 것입니다. 이것이 Wireshark의 필터가 들어오는 곳입니다.

필터를 적용하는 가장 기본적인 방법은 창 상단의 필터 상자에 필터를 입력하고 적용을 클릭하거나 Enter 키를 누르는 것입니다. 예를 들어 "dns"를 입력하면 DNS 패킷 만 표시됩니다. 입력을 시작하면 Wireshark가 필터를 자동 완성하도록 도와줍니다.

분석> 필터 표시를 클릭하여 Wireshark에 포함 된 기본 필터 중에서 필터를 선택할 수도 있습니다. 여기에서 사용자 지정 필터를 추가하고 저장하여 나중에 쉽게 액세스 할 수 있습니다.

Wireshark의 디스플레이 필터링 언어에 대한 자세한 내용은 공식 Wireshark 문서에서 디스플레이 필터 표현식 작성 페이지를 참조하세요.

여러분이 할 수있는 또 다른 흥미로운 일은 패킷을 마우스 오른쪽 버튼으로 클릭하고 Follow> TCP Stream을 선택하는 것입니다.

클라이언트와 서버 간의 전체 TCP 대화를 볼 수 있습니다. 팔로우 메뉴에서 다른 프로토콜을 클릭하여 해당되는 경우 다른 프로토콜에 대한 전체 대화를 볼 수도 있습니다.

창을 닫으면 필터가 자동으로 적용된 것을 알 수 있습니다. Wireshark는 대화를 구성하는 패킷을 보여줍니다.

패킷 검사

패킷을 클릭하여 선택하면 세부 정보를 볼 수 있습니다.

여기에서 필터를 만들 수도 있습니다. 세부 정보 중 하나를 마우스 오른쪽 단추로 클릭하고 필터로 적용 하위 메뉴를 사용하여이를 기반으로 필터를 만듭니다.

Wireshark는 매우 강력한 도구이며이 자습서는이 도구로 할 수있는 작업의 표면을 긁는 것입니다. 전문가들은이를 사용하여 네트워크 프로토콜 구현을 디버그하고, 보안 문제를 검사하고, 네트워크 프로토콜 내부를 검사합니다.

공식 Wireshark 사용자 가이드 및 Wireshark 웹 사이트의 다른 문서 페이지에서 더 자세한 정보를 찾을 수 있습니다.