prof.ysu.ac.krprof.ysu.ac.kr/pds_update/wireshark menual.docx · web view패킷을 받을 곳을...
TRANSCRIPT
WireShark Menual
사이버경찰과안미정 교수님
10080258김동건
목 차1. WireShark2. WireShark 설치
3. WireShark Menual
4. Wireshark 필터
1. Wireshark
- 인터넷(PC)에서 오가는 모든 패킷을 보고 분석할 수 있는 프로그램
2. Wireshark 설치
Wireshark 다운 : http://www.wireshark.org/
1-1. Wireshark Download
Wireshark 홈페이지에 들어가면 첫 페이지의 화면 입니다.요기서 Download 를 눌려서 Download 받는 페이지로 넘어갑니다.
1-2. Wireshark Download
Get Acquainted -> Download 눌렸어 Download 페이지로 넘어 갑니다.
1-3. Wireshark Download
자신의 Windows 버전에 맞게 파란색 굵은 색으로 표시가 된 것을 받으시면 됩니다.
2-1. Wireshark 설치
Wireshark 다운 받은 뒤 Setup 파일을 실행 하고 Next 를 눌려 준니다.
2-2. Wireshark 설치
I Agree 을 눌려 준다.
2-3. Wireshark 설치
Next 를 눌려 준다.
2-4. Wireshark 설치
필요한 항목에 체크 후 Next 를 눌려 준다.
2-5. Wireshark 설치
메뉴 항목을 시작합니다 .바탕화면 아이콘빠른 실행 아이콘
파일 확장자Wireshark 에 준회원 추적 파일 확장자 추가 (5vw, acp, apc, atc, bfr, cap 등등 )
Wireshark 경로 설정 한 뒤 Next 눌린다.
2-6. Wireshark 설치
WinPcap 설치(데이터 캡처를 위해서 설치 해야됨) Install 눌려 준다.
2-7. Wireshark 설치
WinPcap 설치 과정~!!
2-8. Wireshark 설치
WinPcap 설치 시작~ Next 눌려 준다.
2-9. Wireshark
I Agree 를 눌려 준다.
2-10. Wireshark
부팅 시 WinPcap 을 자동 실행 여부 체크 한 뒤 Install 눌려 준다.
2-11. Wireshark
부팅시에 WinPcap 드라이버를 자동 시작
Winpcap 설치 완료 Finish 눌려 준다.
2-12. Wireshark
Next 눌려 준다.
2-13. Wireshark
Wireshark 실행 하실거면 Run Wireshark 체크 후 Finish 를 눌려 준다. 이러면 Wireshark 설치 완료~!!!!
1. 메뉴 설명
File : 캡쳐 파일 관련 메뉴(열기, 저장, 합치기 등)
Edit : 패킷의 내용을 찾거나 각 패킷을 체크하 여 따로 저장하는 기능 관련 메뉴
View : 보기 관련 메뉴(GUI 설정, 패킷 색깔 표시 설정 등)
1
2 3 4
5
Go : 패킷 이동 관련 메뉴(위아래, 맨 처음, 맨 끝 패킷으로 이동)
Capture : 캡쳐 관련 메뉴(카드 선택, 옵션 설정, 필터, 시작, 멈춤, 재시작)
Analyze : 패킷 분석 관련 메뉴(화면 출력 필터, 디코딩, 스트림 추적 등)
Statistics : 통계관련 메뉴(요약, 프로토콜별 통계, 입출력 그래프, 응답시간, 패킷길이 등)
Telephony : 전화 관련 메뉴(각종 음성관련 프로토콜 패킷을 분석)
Tools : 방화벽 정책 생성 메뉴
Internals : 내부
Help : 도움말 관련 메뉴
Open : 저장된 파일을 열 때 사용한다.
Open Recent : 최근에 열었던 파일을 열 때 사용한다.
Merge : 저장되어 있는 캡쳐 파일을 하나로 합칠 때 사용한다.
Import from Hex Dump :
Close : 현재 캡쳐 하고 있는 화면을 닫는다.
Save : 현재 캡쳐 된 파일을 저장한다.
Save As : 현재 캡쳐 된 파일을 다른 이름으로 저장한다.
File Set : 현재 보고 있는 캡쳐 파일의 Filename/Created/Last Modified/Size/저장경로를 볼 수 있다.
Export Specified Packets : 추출 지정된 패킷
Export Packet Dissections : 추출 패킷 해부
Export Selected Packet Bytes : 추출 선택된 패킷 바이트
Export SSL Session Keys : 추출 SSL 세션키
Export Objects : 개체 내보내기
Print : 출력
Quit : 나가기
Find Packet : 특정 패킷을 찾을 수 있다.
Find Next : 찾은 패킷의 다음으로 이동 한다.
Find Previous : 찾은 패킷의 전으로 이동 한다.
Mark/Unmark Packet : 특정 패킷을 사용자 임의로 지정할 수 있다. / 특정 패킷을 원상태로 되돌린다.
Mark All Displayed Packets : 현재 캡쳐된 모든 패킷을 마크로 지정한다.
Unmark All Displayed Packets : 지정된 모든 마크 패킷을 원상태로 되돌린다.
Next Mark : 임의로 지정된 패킷중 다음 패킷으로 이동한다.
Previous Mark : 임의로 지정된 패킷중 이전 패킷으로 이동한다.
Ignore/Unignore Packet : 지정된 패킷은 무시되어 어떤한 정보도 화면에 표시되지 않는다. / Ignore 지정된 패킷을
원상태로 돌린다.
Ignore All Displayed Packets : 화면상에 표시된 모든 패킷을 Ignore 한다.
Unignore All Packets : Ignore 된 패킷을 원상태로 되돌린다.
Set/Unset Time Reference : 지정된 패킷을 기준으로 패킷 시간을 표시한다., 지정된 패킷에는 “ref”표시가 생기며, 이
패킷을 0 초로 하여 다음 패킷의 Time 을 표시한다.
Unset All Time References : 패킷의 모든 시간 참조를 제거합니다.
Next Time Reference : ref 로 지정된 패킷의 다음 패킷으로 이동 한다.
Previous Time Reference : ref 로 지정된 패킷의 이전 패킷으로 이동 한다.
Time Shift… : 시간 이동
Configuration Profiles… : 여러 환경 설정 등을 여러 가지 분류로 각각 저장할 수 있다.
Preferences… : 캡쳐 화면이나 원도우 창, 폰트 등을 상세하게 설정할 수 있다.
Main Toolbar : 바로가기 단축창을 ON/OFF 할 수 있다.
Filter Toolbar : Filter 창을 ON/OFF 할 수 있다.
Wireless Toolbar : Wireless 창을 ON/OFF 할 수 있다.
Status Bar : 창 아래 보이는 패킷 파일의 대한 정보를 ON/OFF 할 수 있다.
Packet List : Packet 의 시간 정보 표시를 임의로 바꿀 수 있다.
Packet Details : Packet 의 정보를 확인할 수 있는 창을 ON/OFF 할 수 있다.
Packet Bytes : Packet 의 16 진수 및 데이터 창을 ON/OFF 할 수 있다.
Time Display Format : Packet 의 시간 정보 표시를 임의로 바꿀 수 있다.
Name Resolution : Wireshark 가 MAC, Network, Transport address 의 프로토콜의 이름풀이를 ON/OFF 할 수 있다.
Colorize Packet List : 패킷 별 지정해 놓은 색상을 ON/OFF 할 수 있다.
Zoom In/ Zoom Out : 클씨 크기를 조정할 수 있다.
Normal Size : 원래 상태의 사이즈로 돌아 온다.
Resize All Columns : 현재 사이즈에 맞춰 재 배열한다.
Displayed Columns : Packet Details 창에 선택된 Packet 의 정보를 펼칠 수 있다.
Expand Subtress : Packet Details 창에 선택된 Packet 의 정보를 펼칠 수 있다.
Expand All : Packet Detailsc 창의 모든 Packet 의 정보를 펼칠 수 있다.
Collapse All : Packet Details 창의 모든 Packet 의 정보를 접는다.
Colorize Conversation : 모든 패킷의 색상을 바꿀 수 있다.
Reset Coloring 1-10 : 1-10 에 저장된 패킷 색상을 원상태로 되돌린다.
Coloring Rules… : 패킷에 대한 색상을 임의의 색으로 바꿀 수 있다.
Show Packet in New Window : 선택된 Packet Details 창과 bytes 창을 한번에 열수 있다.
Reload : 패킷의 최상단 패킷으로 이동한다.
Back : 이전에 선택된 패킷으로 돌아간다.
Forward : 돌아오기전에 선택되었던 앞의 패킷으로 돌아간다.
Go to Packet… : Packet 의 앞부분에 써있는 Number 로 Packet 을 찾을 수 있다.
Go to Corresponding Packet : Packet 의 상응하는 앞부분에 써있는 Number 로 Packet 을 찾을 수 있다.
Previous Packet : 선택된 패킷을 가운데 화면으로 고정시키고 한칸 위로 이동한다.
Next Packet : 선택된 패킷을 가운데 화면으로 고정시키고 한칸 아래로 이동한다.
First Packet : 모든 패킷의 가장 상단 패킷으로 이동한다.
Last Packet : 모든 패킷의 가장 하단 패킷으로 이동한다.
Previous Packet In Conversation : 이전 패킷
Next Packet In Conversation : 다음 패킷
Interfaces
인터페이스를 선택 할 수 있다.
패킷을 받을 곳을 선택 할 수 있다.(LAN 선 / 무선 LAN 이 연결 된 것을 선택 할 수 있다.)
Options
캡쳐를 시작하기 전에 여러 기본적인 옵션들을 선택 할 수 있다.
Capture Filters… : 캡쳐된 Packet 중 필터 옵션을 설정하여 임의의 Packet 만 선택하여 볼 수 있다.
Refresh Interfaces : Interface 를 재 설정
Display Filters… : 미리 설정되어 있는 Filter Option 을 화면에 표시해준다. 사용자는 선택하여 적용하거나 새로운 옵
션을 만들 수 있다.
Display Filter Macros… : 여러 긴 문장의 Filter 명령어를 매크로로 지정하여 편하게 쓸 수 있다.
Apply as Column : 열로 적용
Apply as Filter : 필터로 적용
Prepare a Filter : 필터를 준비
Enabled Protocols… : Wireshark 가 지원하는 Protocol 을 확인하고 ON/OFF 할 수 있다.
Decode As… : 임의의 패킷을 원하는 패킷으로 변경할 수 있다.
User Specified Decodes… : 사용자가 임의로 변경한 Packet 을 확인 할수 있다.
Follow TCP Stream : TCP Packet 의 데이터 부분만 모아서 보기 쉽게 화면에 표시해준다.
Follow UDP Stream : UDP Packet 의 데이터 부분만 모아서 보기 쉽게 화면에 표시해준다.
Follow SSL Stream : SSL Packet 의 데이터 부분만 모아서 보기 쉽게 화면에 표시해준다.
Expert Info : Packet 의 Errors, Warnings, Notes, Chats 를 한번에 확인할 수 있다.
Conversation Filter : 필터 부분을 더욱 상세하게 확인할 수 있다.
Summary : Wireshark File, Time, Capture, display, Traffic..의 요약을 보여준다.
Protocol Hierarchy : 현재 캡쳐된 Packet 의 종류와 전체 패킷중의 Packet 의 비율을 %로 확인할 수 있다.
Conversations : 전체 Packet 의 흐름을 확인 할 수 있다.(IPv4, IPv6, TCP, UDP 등이 어디에서 어디로 향했는지 한눈에
볼 수 있다.)
Endpoints : 각 Packet 의 Rx, Tx 신호의 흐름을 한눈에 확인할 수 있다.
Packet Lengths… : Filter 옵션을 넣으면 그 Filter 에 대한 Packet 의 길이를 확인 할 수 있다.
IO Graph : 전체 패킷에 대한 흐름도를 그래프로 확인 할 수 있다. Filter 옵션을 넣어 특정 Packet 만 확인 할 수도 있
다.
Conversation List : 특정 Packet 에 대한 흐름을 확인 할 수 있다.
Endpoint List : 특정 Packet 의 Rx, Tx 신호의 흐름을 한눈에 확인할 수 있다.
Service Response Time : 보다 정밀한 검사가 가능한 16 개의 프로토콜이 제공됩니다.
Flow Graph… : 전체 Packet 에 대한 흐름을 그래프로 한눈에 확인 할 수 있다.
HTTP : HTTP Protocol 과 관련된 Packet 중 손실률 성공 Packet 등을 확인 할 수 있다.
TCP StreamGraph : TCP Packet 에 대한 다양한 그래프를 확인 할 수 있다.
UDP Multicast Streams : 멀티캐스트로 사용한 UDP 를 확인 할 수 있다.
IP Destinations : 임의의 Packet 에 대한 도착지 IP주에 대한 개수, 속도, 퍼센트를 확인 할 수 있다.
IP Addresses : 임의의 Packet 과 관련된 Packet 중 손실률 성공 Packet 등을 확인 할 수 있다.
IP Protocol Types : 임의의 Packet 에 대한 IP Protocol 의 대한 개수, 속도, 퍼센트를 확인 할 수 있다.
Wireshark 에서 지원되는 다양한 Telephony 의 패킷들을 확인 할 수 있다.
Firewall ACL Rules : 시스코 IOS, 리눅스 넷 필터, 오픈 BSDPF 및 Windows 방화벽등 다양한 방화벽 제품에 대한 명령 줄 ACL 규칙을 만들수 있습니다.
Lua : 선택적으로, Wireshark 에 구축 볼 루아 인터프리터와 함께 작업
Dissector tables : subdissector 관계와 테이블을 표시
Supported Protocols : 프로토콜 및 프로토콜 필드를 표시
Interface List : LAN 에 연결된 List 를 보여 줌
Start : 시작
Capture Options : 캡쳐 설정방법
Open : 저장된 파일 열기
Sample Captures : 샘플 캡쳐
Start 를 누르게 되면 위와 같이 패킷을 보실수가 있습니다. 만약에 패킷이 안보이고 하얀 화면만 나오신다면 인터넷 새 창을 한번 켜보시면 패킷을 확인 할 수 있습니다.
PACKET DETAILS PANE
Packet Details 화면은 패킷을 Wireshark 가 스스로 정리하여 모든 패킷의 상세 정보를 자세히 볼 수 있다.
DISSECTOR PANE
Packet bytes 패널이라고도 하는 dissector 패널은 packet details 패널과 내용은 같지만 데이터를 16 진수로 나타내줍니다.
4. Wireshark 의 필터
Protocol
사용 가능한 값 : ether, fd 야, ip, arp, rarp, decent, lat, sca, moprc, mopdl, tcp and udp.
프로토콜을 지정하지 않으면 모든 프로토콜을 사용합니다.
Direction
사용 가능한 값 : src, dst, src and dst, src or dst
출발지나 목적지를 지정하지 않으면 “src or dst” 키워드가 사용됩니다.
예를 들어, “src 10.1.1.1”은 “src 10.1.1.1”과 같은 의미 입니다.
Host(s)
사용 가증한 값 : net, port, host, portrange.
호스트를 지정하지 않으면 “host” 키워드가 사용됩니다.
예를 들어, “src 10.1.1.1”은 “src host 10.1.1.1”과 같은 의미입니다.
Logical Operations
사용 가능한 값 : not, and, or.
부정 연산이 가장 높은 우선순위를 갖습니다. 논리합과 논리곱는 같은 우선순위를 가지며 왼쪽에서 오른쪽으로 처리합니다.
tcp dst port 3000
목적지가 TCP 포트 3000 인 패킷을 보여줍니다.
ip src host 1.1.1.1
출발지 IP주소가 1.1.1.1 인 패킷을 보여 줍니다.
host 10.1.2.3
출발지와 목적지 IP주소가 10.1.1.1 인 패킷을 보여 줍니다.
src portrange 2000-2500
출발지의 UDP, TCP 포트가 2000-2500 사이인 패킷을 보여 줍니다.
not imcp
icmp 패킷을 제외한 모든 패킷을 보여줍니다.(icmp 는 보통 ping 프로그램에서 사용합니다.)
src host 10.7.2.12 and not dst net 10.200.0.0/16
출발지 IP 주소가 10.7.2.12 이면서, 목적지 IP 네트워크가 10.200.0.0/16 이 아닌 패킷을 보여줍니다.
(src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8
출발지 IP주소가 10.4.1.12 이거나, 출발지 네트워크가 10.6.0.0/16 인 패킷중에서 목적지 TCP 포트 범위가 200-10000 이면서, 목적지 IP 네트워크가 10.0.0.0/8 인 패킷을 보여줍니다.
DISPLAY FILTERS
display 필터는 캡쳐된 데이터에서 원하는 정보를 찾을 때 사용합니다.
display 필터의 검색 능력은 capture 필터 보다 더 뛰어납니다. 그리고 필터의 내용을 바꾸고 싶을 때 캡쳐 작업을 다시 시작하지 않아도 됩니다.
Protocol :
OSI Layer 2 에서 Layer 7 사이에 있는 매우 다양한 프로토콜을 사용할 수 있습니다. 그것들은 메인 화면에 보이는 “Expression…” 버튼을 클릭하면 볼 수 있습니다.
비교 연산자 :
6 개의 비교 연산자를 사용 할 수 있습니다.
논리 표현 식 :
사용 예 :
snmp || dns || icmp
SNMP 혹은 DNS 혹은 ICMP 트래픽을 보여 줍니다.
ip.addr == 10.1.1.1
출발지나 목적지의 IP 주소가 10.1.1.1 인 패킷을 보여 줍니다.
ip.src != 10.1.2.3 or ip.dst != 10.4.5.6
출발지의 IP 주소가 10.1.2.3 이 아니거나 목적지의 IP 주소가 10.4.5.6 이 아닌 패킷을 보여 줍니다.
ip.src != 10.1.2.3 and ip.dst != 10.4.5.6
출발지의 IP 주소가 10.1.2.3 이 아니면서 동시에 목적지의 IP 주소가 10.4.5.6 이 아닌 패킷을 보여 줍니다.
tcp.port == 25
출발지와 목적지의 TCP 포트가 25 인 패킷을 보여줍니다.
tcp.dstport == 25
목적지의 TCP포트가 25 인 패킷을 보여줍니다.
tcp.flags
TCP 플래그를 가지고 있는 패킷을 보여줍니다.
tcp.flags.syn ==0x02
TCP SYN플래그를 가지고 있는 패킷을 보여줍니다.
참고 자료
http://blog.naver.com/PostView.nhn?blogId=ssecurity&logNo=150106933137&parentCategoryNo=&categoryNo=&viewDate=&isShowPopularPosts=false&from=postView
Wireshark 를 사용하면서 여러 기능을 있지만 너무 한정적으로 사용하고 있다는 사실을 알았고 내가 모르는 것도 많았습니다 이렇게 Wireshark 에 대해 과제를 하면서 찾아보고 직접 해보면서 조금씩 모르는 부분도 알 수 있어서 재미 있게 했습니다 방학 때 Wireshark 에 대해 좀 더 많은 걸 알아 봐야겠습니다
한 학기 동안 수고 많았습니다