wireshark 기본#1

ㅇ인프런 와이어샤크 강의 참조

​

ㅇwireshark interface

edit - preferences-Font and Colors

ㅇ출력 화면의 Font 및 Color 수정 가능

---

취향에 따라 고르면 된다.

- No. : 패킷이 수집된 순서

- Time : 응답 시간

- Source : 시작지점

- Destination : 도착지점

- Protocol : 프로토콜 종류

- Length : 패킷 길이

- info : 패킷 정보

---

Edit - Preferences - Columns

Title 변경 가능

변경 완료 후 Title 적용 모습

Layout 형식도 변경 가능

Columns에서 +로 New Columns 생성 가능

완료 후 D_Port Tile(type Destination port) column 이 출력됨

마우스 우클릭 후 - Remove this column 클릭

생성한 D_Port가 삭제되었다.

---

ㅇwireshark packet capture

wireshark 시작 화면

ㅇCapture 밑에 현재 PC에 연결된 네트워크 목록이 있다. 그 중 보고 싶은 네트워크를 선택 후 더블클릭 하면 해당 네트워크를 캡처하게 된다.

Wifi 선택 후 Capture 화면

ㅇ해당 네트워크가 통신하는 모든 과정의 패킷들이 Capture 된다.

---

다시 시작 화면에서 상단 메뉴바의 Capture - option 을 클릭하면 해당 화면이 뜬다.

ㅇinput 에서는 현재 네트워크 목록이 나오며 기존과 같이 선택 후 캡처를 시작할 수 있다.

해당 네트워크의 ip주소를 확인할 수 있다.

output에는 출력에 대한 방법들이 나타나있다.

ㅇ기존에는 pcap으로 저장을 했지만 최근에는 pcap-ng로 저장을 한다. wireshark의 기능들이 많아짐으로써 패킷정보에 코멘트정보나 추가적인 정보들을 명시하다보니 그 정보들을 나타낼 수 있는 pcap-ng형태로 바뀌었다고 한다.

Create a new file automatically after

ㅇCreate a new file automatically after

- 얼마만큼의 정해진 용량을 저장한 후 새로운 파일로 다시 생성 할지를 설정

- 대용량으로 저장시 장비에 무리가 갈 수도 있으므로 파일을 나눠서 저장할 때 사용

- 시간별 또는 용량별로 모니터링하고 싶을 때 사용

- 용량 또는 시간으로 설정 가능

---

ㅇwireshark filtering

- filter에는 packet filter와 display filter가 있다.

- packet filter란 capture를 시작할 때 부터 filter를 거는 것을 말한다.

- packet filter를 사용하면 winpcap 드라이브가 관여를 하여 원하는 형태들만 capture를 하게 한다.

- 보통 대용량 패킷을 수집할 때 packet filter를 사용한다.

 

시작 화면 capture - option에서 Capture filter for selected interfaces에 filter 적용

녹색 마크를 누르면 뜨는 목록

ㅇfilter 목록을 다 외울 수는 없기에 기본적인 filtering 목록을 선택할 수 있다.

해당 조건으로 filter 시작

결과

ㅇPort 80으로 통신하는 패킷들만 화면에 나타난다.