WireShark Menual

사이버경찰과안미정 교수님

10080258김동건

목 차1. WireShark2. WireShark 설치

3. WireShark Menual

4. Wireshark 필터

1. Wireshark

- 인터넷(PC)에서 오가는 모든 패킷을 보고 분석할 수 있는 프로그램

2. Wireshark 설치

Wireshark 다운 : http://www.wireshark.org/

1-1. Wireshark Download

Wireshark 홈페이지에 들어가면 첫 페이지의 화면 입니다.요기서 Download 를 눌려서 Download 받는 페이지로 넘어갑니다.

1-2. Wireshark Download

 

 

Get Acquainted -> Download 눌렸어 Download 페이지로 넘어 갑니다.

1-3. Wireshark Download

자신의 Windows 버전에 맞게 파란색 굵은 색으로 표시가 된 것을 받으시면 됩니다.

2-1. Wireshark 설치

  

 

Wireshark 다운 받은 뒤 Setup 파일을 실행 하고 Next 를 눌려 준니다.

2-2. Wireshark 설치

I Agree 을 눌려 준다.

2-3. Wireshark 설치

 

Next 를 눌려 준다.

2-4. Wireshark 설치

필요한 항목에 체크 후 Next 를 눌려 준다.

2-5. Wireshark 설치

 

메뉴 항목을 시작합니다 .바탕화면 아이콘빠른 실행 아이콘

파일 확장자Wireshark 에 준회원 추적 파일 확장자 추가 (5vw, acp, apc, atc, bfr, cap 등등 )

Wireshark 경로 설정 한 뒤 Next 눌린다.

2-6. Wireshark 설치

WinPcap 설치(데이터 캡처를 위해서 설치 해야됨) Install 눌려 준다.

2-7. Wireshark 설치

WinPcap 설치 과정~!!

2-8. Wireshark 설치

WinPcap 설치 시작~ Next 눌려 준다.

2-9. Wireshark

I Agree 를 눌려 준다.

2-10. Wireshark

부팅 시 WinPcap 을 자동 실행 여부 체크 한 뒤 Install 눌려 준다.

2-11. Wireshark

부팅시에 WinPcap 드라이버를 자동 시작

Winpcap 설치 완료 Finish 눌려 준다.

2-12. Wireshark

Next 눌려 준다.

2-13. Wireshark

Wireshark 실행 하실거면 Run Wireshark 체크 후 Finish 를 눌려 준다. 이러면 Wireshark 설치 완료~!!!!

1. 메뉴 설명

File : 캡쳐 파일 관련 메뉴(열기, 저장, 합치기 등)

Edit : 패킷의 내용을 찾거나 각 패킷을 체크하 여 따로 저장하는 기능 관련 메뉴

View : 보기 관련 메뉴(GUI 설정, 패킷 색깔 표시 설정 등)

  

 

 

 1

2 3 4

5

Go : 패킷 이동 관련 메뉴(위아래, 맨 처음, 맨 끝 패킷으로 이동)

Capture : 캡쳐 관련 메뉴(카드 선택, 옵션 설정, 필터, 시작, 멈춤, 재시작)

Analyze : 패킷 분석 관련 메뉴(화면 출력 필터, 디코딩, 스트림 추적 등)

Statistics : 통계관련 메뉴(요약, 프로토콜별 통계, 입출력 그래프, 응답시간, 패킷길이 등)

Telephony : 전화 관련 메뉴(각종 음성관련 프로토콜 패킷을 분석)

Tools : 방화벽 정책 생성 메뉴

Internals : 내부

Help : 도움말 관련 메뉴

Open : 저장된 파일을 열 때 사용한다.

Open Recent : 최근에 열었던 파일을 열 때 사용한다.

Merge : 저장되어 있는 캡쳐 파일을 하나로 합칠 때 사용한다.

Import from Hex Dump :

Close : 현재 캡쳐 하고 있는 화면을 닫는다.

Save : 현재 캡쳐 된 파일을 저장한다.

Save As : 현재 캡쳐 된 파일을 다른 이름으로 저장한다.

File Set : 현재 보고 있는 캡쳐 파일의 Filename/Created/Last Modified/Size/저장경로를 볼 수 있다.

Export Specified Packets : 추출 지정된 패킷

Export Packet Dissections : 추출 패킷 해부

Export Selected Packet Bytes : 추출 선택된 패킷 바이트

Export SSL Session Keys : 추출 SSL 세션키

Export Objects : 개체 내보내기

Print : 출력

Quit : 나가기

Find Packet : 특정 패킷을 찾을 수 있다.

Find Next : 찾은 패킷의 다음으로 이동 한다.

Find Previous : 찾은 패킷의 전으로 이동 한다.

Mark/Unmark Packet : 특정 패킷을 사용자 임의로 지정할 수 있다. / 특정 패킷을 원상태로 되돌린다.

Mark All Displayed Packets : 현재 캡쳐된 모든 패킷을 마크로 지정한다.

Unmark All Displayed Packets : 지정된 모든 마크 패킷을 원상태로 되돌린다.

Next Mark : 임의로 지정된 패킷중 다음 패킷으로 이동한다.

Previous Mark : 임의로 지정된 패킷중 이전 패킷으로 이동한다.

Ignore/Unignore Packet : 지정된 패킷은 무시되어 어떤한 정보도 화면에 표시되지 않는다. / Ignore 지정된 패킷을

원상태로 돌린다.

Ignore All Displayed Packets : 화면상에 표시된 모든 패킷을 Ignore 한다.

Unignore All Packets : Ignore 된 패킷을 원상태로 되돌린다.

Set/Unset Time Reference : 지정된 패킷을 기준으로 패킷 시간을 표시한다., 지정된 패킷에는 “ref”표시가 생기며, 이

패킷을 0 초로 하여 다음 패킷의 Time 을 표시한다.

Unset All Time References : 패킷의 모든 시간 참조를 제거합니다.

Next Time Reference : ref 로 지정된 패킷의 다음 패킷으로 이동 한다.

Previous Time Reference : ref 로 지정된 패킷의 이전 패킷으로 이동 한다.

Time Shift… : 시간 이동

Configuration Profiles… : 여러 환경 설정 등을 여러 가지 분류로 각각 저장할 수 있다.

Preferences… : 캡쳐 화면이나 원도우 창, 폰트 등을 상세하게 설정할 수 있다.

Main Toolbar : 바로가기 단축창을 ON/OFF 할 수 있다.

Filter Toolbar : Filter 창을 ON/OFF 할 수 있다.

Wireless Toolbar : Wireless 창을 ON/OFF 할 수 있다.

Status Bar : 창 아래 보이는 패킷 파일의 대한 정보를 ON/OFF 할 수 있다.

Packet List : Packet 의 시간 정보 표시를 임의로 바꿀 수 있다.

Packet Details : Packet 의 정보를 확인할 수 있는 창을 ON/OFF 할 수 있다.

Packet Bytes : Packet 의 16 진수 및 데이터 창을 ON/OFF 할 수 있다.

Time Display Format : Packet 의 시간 정보 표시를 임의로 바꿀 수 있다.

Name Resolution : Wireshark 가 MAC, Network, Transport address 의 프로토콜의 이름풀이를 ON/OFF 할 수 있다.

Colorize Packet List : 패킷 별 지정해 놓은 색상을 ON/OFF 할 수 있다.

Zoom In/ Zoom Out : 클씨 크기를 조정할 수 있다.

Normal Size : 원래 상태의 사이즈로 돌아 온다.

Resize All Columns : 현재 사이즈에 맞춰 재 배열한다.

Displayed Columns : Packet Details 창에 선택된 Packet 의 정보를 펼칠 수 있다.

Expand Subtress : Packet Details 창에 선택된 Packet 의 정보를 펼칠 수 있다.

Expand All : Packet Detailsc 창의 모든 Packet 의 정보를 펼칠 수 있다.

Collapse All : Packet Details 창의 모든 Packet 의 정보를 접는다.

Colorize Conversation : 모든 패킷의 색상을 바꿀 수 있다.

Reset Coloring 1-10 : 1-10 에 저장된 패킷 색상을 원상태로 되돌린다.

Coloring Rules… : 패킷에 대한 색상을 임의의 색으로 바꿀 수 있다.

Show Packet in New Window : 선택된 Packet Details 창과 bytes 창을 한번에 열수 있다.

Reload : 패킷의 최상단 패킷으로 이동한다.

Back : 이전에 선택된 패킷으로 돌아간다.

Forward : 돌아오기전에 선택되었던 앞의 패킷으로 돌아간다.

Go to Packet… : Packet 의 앞부분에 써있는 Number 로 Packet 을 찾을 수 있다.

Go to Corresponding Packet : Packet 의 상응하는 앞부분에 써있는 Number 로 Packet 을 찾을 수 있다.

Previous Packet : 선택된 패킷을 가운데 화면으로 고정시키고 한칸 위로 이동한다.

Next Packet : 선택된 패킷을 가운데 화면으로 고정시키고 한칸 아래로 이동한다.

First Packet : 모든 패킷의 가장 상단 패킷으로 이동한다.

Last Packet : 모든 패킷의 가장 하단 패킷으로 이동한다.

Previous Packet In Conversation : 이전 패킷

Next Packet In Conversation : 다음 패킷

Interfaces

인터페이스를 선택 할 수 있다.

패킷을 받을 곳을 선택 할 수 있다.(LAN 선 / 무선 LAN 이 연결 된 것을 선택 할 수 있다.)

Options

캡쳐를 시작하기 전에 여러 기본적인 옵션들을 선택 할 수 있다.

Capture Filters… : 캡쳐된 Packet 중 필터 옵션을 설정하여 임의의 Packet 만 선택하여 볼 수 있다.

Refresh Interfaces : Interface 를 재 설정

Display Filters… : 미리 설정되어 있는 Filter Option 을 화면에 표시해준다. 사용자는 선택하여 적용하거나 새로운 옵

션을 만들 수 있다.

Display Filter Macros… : 여러 긴 문장의 Filter 명령어를 매크로로 지정하여 편하게 쓸 수 있다.

Apply as Column : 열로 적용

Apply as Filter : 필터로 적용

Prepare a Filter : 필터를 준비

Enabled Protocols… : Wireshark 가 지원하는 Protocol 을 확인하고 ON/OFF 할 수 있다.

Decode As… : 임의의 패킷을 원하는 패킷으로 변경할 수 있다.

User Specified Decodes… : 사용자가 임의로 변경한 Packet 을 확인 할수 있다.

Follow TCP Stream : TCP Packet 의 데이터 부분만 모아서 보기 쉽게 화면에 표시해준다.

Follow UDP Stream : UDP Packet 의 데이터 부분만 모아서 보기 쉽게 화면에 표시해준다.

Follow SSL Stream : SSL Packet 의 데이터 부분만 모아서 보기 쉽게 화면에 표시해준다.

Expert Info : Packet 의 Errors, Warnings, Notes, Chats 를 한번에 확인할 수 있다.

Conversation Filter : 필터 부분을 더욱 상세하게 확인할 수 있다.

Summary : Wireshark File, Time, Capture, display, Traffic..의 요약을 보여준다.

Protocol Hierarchy : 현재 캡쳐된 Packet 의 종류와 전체 패킷중의 Packet 의 비율을 %로 확인할 수 있다.

Conversations : 전체 Packet 의 흐름을 확인 할 수 있다.(IPv4, IPv6, TCP, UDP 등이 어디에서 어디로 향했는지 한눈에

볼 수 있다.)

Endpoints : 각 Packet 의 Rx, Tx 신호의 흐름을 한눈에 확인할 수 있다.

Packet Lengths… : Filter 옵션을 넣으면 그 Filter 에 대한 Packet 의 길이를 확인 할 수 있다.

IO Graph : 전체 패킷에 대한 흐름도를 그래프로 확인 할 수 있다. Filter 옵션을 넣어 특정 Packet 만 확인 할 수도 있

다.

Conversation List : 특정 Packet 에 대한 흐름을 확인 할 수 있다.

Endpoint List : 특정 Packet 의 Rx, Tx 신호의 흐름을 한눈에 확인할 수 있다.

Service Response Time : 보다 정밀한 검사가 가능한 16 개의 프로토콜이 제공됩니다.

Flow Graph… : 전체 Packet 에 대한 흐름을 그래프로 한눈에 확인 할 수 있다.

HTTP : HTTP Protocol 과 관련된 Packet 중 손실률 성공 Packet 등을 확인 할 수 있다.

TCP StreamGraph : TCP Packet 에 대한 다양한 그래프를 확인 할 수 있다.

UDP Multicast Streams : 멀티캐스트로 사용한 UDP 를 확인 할 수 있다.

IP Destinations : 임의의 Packet 에 대한 도착지 IP주에 대한 개수, 속도, 퍼센트를 확인 할 수 있다.

IP Addresses : 임의의 Packet 과 관련된 Packet 중 손실률 성공 Packet 등을 확인 할 수 있다.

IP Protocol Types : 임의의 Packet 에 대한 IP Protocol 의 대한 개수, 속도, 퍼센트를 확인 할 수 있다.

Wireshark 에서 지원되는 다양한 Telephony 의 패킷들을 확인 할 수 있다.

Firewall ACL Rules : 시스코 IOS, 리눅스 넷 필터, 오픈 BSDPF 및 Windows 방화벽등 다양한 방화벽 제품에 대한 명령 줄 ACL 규칙을 만들수 있습니다.

Lua : 선택적으로, Wireshark 에 구축 볼 루아 인터프리터와 함께 작업

Dissector tables : subdissector 관계와 테이블을 표시

Supported Protocols : 프로토콜 및 프로토콜 필드를 표시

Interface List : LAN 에 연결된 List 를 보여 줌

Start : 시작

Capture Options : 캡쳐 설정방법

Open : 저장된 파일 열기

Sample Captures : 샘플 캡쳐

Start 를 누르게 되면 위와 같이 패킷을 보실수가 있습니다. 만약에 패킷이 안보이고 하얀 화면만 나오신다면 인터넷 새 창을 한번 켜보시면 패킷을 확인 할 수 있습니다.

PACKET DETAILS PANE

Packet Details 화면은 패킷을 Wireshark 가 스스로 정리하여 모든 패킷의 상세 정보를 자세히 볼 수 있다.

DISSECTOR PANE

Packet bytes 패널이라고도 하는 dissector 패널은 packet details 패널과 내용은 같지만 데이터를 16 진수로 나타내줍니다.

4. Wireshark 의 필터

Protocol

사용 가능한 값 : ether, fd 야, ip, arp, rarp, decent, lat, sca, moprc, mopdl, tcp and udp.

프로토콜을 지정하지 않으면 모든 프로토콜을 사용합니다.

Direction

사용 가능한 값 : src, dst, src and dst, src or dst

출발지나 목적지를 지정하지 않으면 “src or dst” 키워드가 사용됩니다.

예를 들어, “src 10.1.1.1”은 “src 10.1.1.1”과 같은 의미 입니다.

Host(s)

사용 가증한 값 : net, port, host, portrange.

호스트를 지정하지 않으면 “host” 키워드가 사용됩니다.

예를 들어, “src 10.1.1.1”은 “src host 10.1.1.1”과 같은 의미입니다.

Logical Operations

사용 가능한 값 : not, and, or.

부정 연산이 가장 높은 우선순위를 갖습니다. 논리합과 논리곱는 같은 우선순위를 가지며 왼쪽에서 오른쪽으로 처리합니다.

tcp dst port 3000

목적지가 TCP 포트 3000 인 패킷을 보여줍니다.

ip src host 1.1.1.1

출발지 IP주소가 1.1.1.1 인 패킷을 보여 줍니다.

host 10.1.2.3

출발지와 목적지 IP주소가 10.1.1.1 인 패킷을 보여 줍니다.

src portrange 2000-2500

출발지의 UDP, TCP 포트가 2000-2500 사이인 패킷을 보여 줍니다.

not imcp

icmp 패킷을 제외한 모든 패킷을 보여줍니다.(icmp 는 보통 ping 프로그램에서 사용합니다.)

src host 10.7.2.12 and not dst net 10.200.0.0/16

출발지 IP 주소가 10.7.2.12 이면서, 목적지 IP 네트워크가 10.200.0.0/16 이 아닌 패킷을 보여줍니다.

(src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8

출발지 IP주소가 10.4.1.12 이거나, 출발지 네트워크가 10.6.0.0/16 인 패킷중에서 목적지 TCP 포트 범위가 200-10000 이면서, 목적지 IP 네트워크가 10.0.0.0/8 인 패킷을 보여줍니다.

DISPLAY FILTERS

display 필터는 캡쳐된 데이터에서 원하는 정보를 찾을 때 사용합니다.

display 필터의 검색 능력은 capture 필터 보다 더 뛰어납니다. 그리고 필터의 내용을 바꾸고 싶을 때 캡쳐 작업을 다시 시작하지 않아도 됩니다.

Protocol :

OSI Layer 2 에서 Layer 7 사이에 있는 매우 다양한 프로토콜을 사용할 수 있습니다. 그것들은 메인 화면에 보이는 “Expression…” 버튼을 클릭하면 볼 수 있습니다.

비교 연산자 :

6 개의 비교 연산자를 사용 할 수 있습니다.

논리 표현 식 :

사용 예 :

snmp || dns || icmp

SNMP 혹은 DNS 혹은 ICMP 트래픽을 보여 줍니다.

ip.addr == 10.1.1.1

출발지나 목적지의 IP 주소가 10.1.1.1 인 패킷을 보여 줍니다.

ip.src != 10.1.2.3 or ip.dst != 10.4.5.6

출발지의 IP 주소가 10.1.2.3 이 아니거나 목적지의 IP 주소가 10.4.5.6 이 아닌 패킷을 보여 줍니다.

ip.src != 10.1.2.3 and ip.dst != 10.4.5.6

출발지의 IP 주소가 10.1.2.3 이 아니면서 동시에 목적지의 IP 주소가 10.4.5.6 이 아닌 패킷을 보여 줍니다.

tcp.port == 25

출발지와 목적지의 TCP 포트가 25 인 패킷을 보여줍니다.

tcp.dstport == 25

목적지의 TCP포트가 25 인 패킷을 보여줍니다.

tcp.flags

TCP 플래그를 가지고 있는 패킷을 보여줍니다.

tcp.flags.syn ==0x02

TCP SYN플래그를 가지고 있는 패킷을 보여줍니다.

참고 자료

http://blog.naver.com/PostView.nhn?blogId=ssecurity&logNo=150106933137&parentCategoryNo=&categoryNo=&viewDate=&isShowPopularPosts=false&from=postView

Wireshark 를 사용하면서 여러 기능을 있지만 너무 한정적으로 사용하고 있다는 사실을 알았고 내가 모르는 것도 많았습니다 이렇게 Wireshark 에 대해 과제를 하면서 찾아보고 직접 해보면서 조금씩 모르는 부분도 알 수 있어서 재미 있게 했습니다 방학 때 Wireshark 에 대해 좀 더 많은 걸 알아 봐야겠습니다

한 학기 동안 수고 많았습니다