와이어샤크 사용법

와이어샤크(Wireshark)는 세계에서 가장 많이 쓰이는 네트워크 분석 프로그램이다.
이 프로그램은 이더넷 통신의 TCP, UDP 패킷내용을 아스키, 헥사변환, 필터링 등을 제공하며
원하는 정보만 필터링하여 볼 수 있는 프로그램입니다.

와이어 샤크의 주요 기능

1 몇백개의 프로토콜을 분석 할수 있으며 계속 추가 되고 있음
2 멀티 플랫폼에서 사용가능함(윈도우, 리눅스 등)
3 여러 개의 파일포맷을 읽고/쓰기 가능(tcpdump, Microsoft network monitor 등)
4 캡쳐하면서 gzip으로 압축가능
5 Ethernet /IEEE802.11, PPP/HDLC 등을 읽어 들일 수 있음
6 패킷을 분석하면서 색상을 적용하여 분석해 줌
7 암호화 패킷들을 분석해줌(Ipsec, Kerberos, SSL/TLS 등)
8 XML 등으로 내보낼 수 있음

와이어 샤크 사용방법 안내

1. 캡춰 실행 방법  :  메뉴  -> Capture-> option실행

 

2. 네트웍을 통해 주고 받는 여러 패킷들이 화면에 표시된다.

 

 

화면은 크게 3가지 기능으로 데이터를 구분하여 표시된다.

 

(1)번 화면은 수집한 패킷들을 정렬하여 간단한 대표 정보만을 보여주고 있다.
  

  -해당 패킷이 어디서 보냈고 어디로 받았는지와 프로토콜의 정보등을 볼 수 있다.

 

각 항목 설명 :
     -NO : 패킷의 순번
     -Time : 시간을 마이크로 초 단위까지  표시함
     -Source : 패킷을 보낸쪽의 주소
     -Destination : 패킷을 받는쪽의 주소
     -Info : 패킷의 주요 내용을 요약해서 표시함.

(2)번 화면에서는 현재 선택한 패킷에 대한 상세 정보를 파싱 하여 보여주고 있다.

(3)번 화면에서는 실제 수집한 데이터를 표시해 주고 있습니다.

 

3 원하는 필터 제목을 입력하여 프로토콜 별로 조회가 가능하다.

 

tcp를 필터에 입력하니 해당 프로토콜만 검색되었다.

 

그외 몇가지 필터 옵션을 알려드리면....

Capture Filter (캡쳐된 Packet중 필터옵션을 설정하여 임의의 Packet만 선택하여 볼 수 있음)

적용 예:
    1) tcp dst port 3000  (목적지가 TCP포트 3000인 패킷을 필터링 하여 보여준다)

     2) ip src host 1.1.1.1 (출발지 IP주소가 1.1.1.1인 패킷을 필터링 하여 보여준다)

     3) host 10.1.1.1 (출발지와 목적지 IP 주소가 10.1.1.1인 패킷을 보여줍니다)

     4) src portrange 2000-2500 (출발지의 UDP, TCP 포트가 2000~2500 사이의 패킷을 보여줍니다)
     5) src host 10.1.1.1 and not dst net 2.2.2.1 (출발지 IP 주소가 10.1.1.1 이면서, 목적지 IP 네트워크가 2.2.2.1 이 아닌 패킷을 보여준다)

이상으로 와이어샤크의 주요 기능과 몇가지 필터 명령을 알려드렸습니다.
네트워크 프로그램 개발할때 유용하게 사용하시길 바랍니다.

그럼 이만^^