검색결과 리스트
글
와이어 샤크 사용방법
Wireshark의 강점
- 쉬운 설치.
- GUI 인터페이스를 이용한 간단한 사용법.
- 매우 다양한 기능들.
Wireshark는 원래 개발자가 근무하던 회사를 떠난 뒤, 저작권 문제로 인해 프로그램의 이름을 변경하기로 한 2006년까지 Ethereal로 불렸습니다.
Wireshark 실행화면
Capture -> Options
네트워크 인터페이스를 선택하고 Start을 클릭합니다.
Wireshark을 실행한 후의 모습.
Start를 누르게 되면 위와 같이 패킷을 보실수가 있을 겁니다 만약에 패킷이 안보이고 하얀 화면만
나오신다면 인터넷 새창을 한번 켜보시면 패킷을 확인 할수 있을 겁니다
메뉴설명
File
Open : 저장된 파일을 열때 사용한다.
Open Recent : 최근에 열었던 파일을 열때 사용한다.
Merge…. : 저장되어 있는 캡쳐 파일을 하나로 합칠때 사용한다.
Close : 현재 캡쳐 하고 있는 화면을 닫는다.
Save : 현재 캡쳐된 파일을 저장한다.
Save as : 현재 캡쳐된 파일을 다른이름으로 저장한다.
File Set : 현재 보고 있는 캡쳐파일의 Filename/Created/Last Modified/Size/저장경로 를 볼수 있다.
Export : 현재 파일을 여러 파일로 저장합니다.(
Print.. : 출력할때 사용한다.
Quit : 나가기.
Edit
Find Packet.. : 특정 패킷을 찾을수 있다.
Find Next : 찾은 패킷의 다음으로 이동한다.
Find Previous : 찾은 패킷의 전으로 이동한다.
Mark packet(toggle) : 특정 패킷을 사용자 임의로 지정할수 있다( 여러 개 복수 선택 가능)
Find Next Mark : 임의로 지정된 패킷중 다음 패킷으로 이동한다.
Fine Previous Mark : 임의로 지정된 패킷중 이전 패킷으로 이동한다.
Mark All displayed packets : 현재 캡쳐된 모든 패킷을 마크로 지정한다.
Unmark All Packets : 지정된 모든 마크 패킷을 원상태로 되돌린다.
Ignore Packet(toggle) : 지정된 패킷은 무시되어 어떠한 정보도 화면에 표시되지 않는다.(지정된 패킷에는 Ignore 라고표시된다.)
Ignore All Displated Packets : 화면상에 표시된 모든 패킷을 Ignore한다.
Un-Ignore All packets : Ignore 된 패킷을 원상태로 되돌린다.
Set Time Reference(toggle) : 지정된 패킷을 기준으로 패킷 시간을 표시한다.
지정된 패킷에는 *ref*표시가 생기며, 이 패킷을 0초로 하여 다음패킷의 Time을 표시한다.
Find Next Reference : ref로 지정된 패킷의 다음 패킷으로 이동한다.
Find Previous Reference : fef로 지정된 패킷의 이전 패킷으로 이동한다.
Configuration Profiles…. : 여러 환경설정등을 여러 가지 분류로 각각 저장할 수 있다.
Preferences.. : 캡쳐 화면이나 윈도우 창, 폰트 등을 상세하게 설정할 수 있다.
View
Main Toolbar : 바로가기 단축창을 on/off 할수 있다.
Filter Toolbar : Filter 창을 on/off할수 있다.
Wireless Toolbar : Wireless 창을 on/off할수 있다.
Statusbar : 창아래 보이는 패킷 파일의 대한 정보를 on/off할수 있다.
Packet List : Packet 이 보이는 List창을 on/off 할수 있다.
Packet Details : Packet 의 정보를 확인할수 있는 창을 on/off할수 있다.
Packet Bytes : Packet의 16진수 및 데이터 창을 on/off할수 있다.
Time Display format : Packet의 시간 정보 표시를 임의로 바꿀수 있다.
Name Resolution : Wireshark가 MAC, Network, Transport address 의 프로토콜의 이름풀이를 on/off할수 있다.
Colorize Packet List : 패킷별 지정해 놓은 색상을 on/off할수 있다.
Zoom In /Zoom Out : 글씨 크기를 조정할 수 있다.
Normal Size : 원래 상태의 사이즈로 돌아온다.
Resize All Columns : 현재 사이즈에 맞춰 재 배열한다.
Displated Columns : Packet List 에 표시할 항목을 선택 할수 있다.
Expand Subtrees : Packet Details창에 선택된 Packet의 정보를 펼칠 수 있다.
Expand All : Packet Details창의 모든 Packet의 정보를 펼친다.
Collaspse All : Packet Details창의 모든 Packet의 정보를 접는다.
Colorize Conversation : 모든 패킷의 색상을 바꿀수 있다.
Reset Coloring 1-10 : 1-10에 저장된 패킷 색상을 원상태로 되돌린다.
Coloring Rules .. : 패킷에 대한 색상을 임의의 색으로 바꿀수 있다.
Show Packet in New Window : 선택된 Packet의 Details창과 bytes창을 한번에 열수 있다.
Reload : 패킷의 최상단 패킷으로 이동한다.
Go
Back : 이전에 선택된 패킷으로 돌아간다.
Forward : 돌아오기전에 선택되었던 앞의 패킷으로 돌아간다.
Go to Packet… : Packet의 앞부분에 써있는 Number로 Packet을 찾을수 있다.
Previous Packet : 선택된 패킷을 가운데 화면으로 고정시키고 한칸 위로 이동한다.
Next Packet : 선택된 패킷을 가운데 화면으로 고정시키고 한칸 아래로 이동한다.
First Packet : 모든 패킷의 가장 상단 패킷으로 이동한다.
Last Packet : 모든 패킷의 가장 하단 패킷으로 이동한다.
Capture
Interfaces
캡쳐할 인터페이스를 선택할수 있다.
필자는 Vm-ware가상 프로그램을 써서 인터페이스가 여러개고 보통 1개가 보이실 겁니다
Options
캡쳐를 시작하기 전에 여러 기본적인 옵션들을 선택 할수 있다.
Start : 캡쳐를 시작한다.
Stop : 캡쳐를 중지한다.
Restart : 캡쳐를 다시 시작한다.
Capture Filters… : 캡쳐된 Packet중 필터옵션을 설정하여 임의의 Packet만 선택하여 볼수 있다.
Analyze
Display Filters…. : 미리 설정되어 있는 Filter Option을 화면에 표시해준다. 사용자는 선택하여 적용하거나 새로운 옵션을 만들수 있다.
Display Filter Macros… : 여러 긴 문장의 Filter 명령어를 매크로로 지정하여 편하게 쓸수 있다.
Enabled Protocols… : wireshark가 지원하는 Protocol을 확인하고 on/off할수 있다.
Decode As…. : 임의의 패킷을 원하는 패킷으로 변경할수 있다.
User Specified Decodes… : 사용자가 임의로 변경한 Packet을 확인할 수 있다.
Follow TCP Stream : TCP Packet의 데이터 부분만 모아서 보기 쉽게 화면에 표시해준다.
Follow UDP Stream : UDP Packet의 데이터 부분만 모아서 보기 쉽게 화면에 표시해준다.
Follow SSL Stream : SSL Packet의 데이터 부분만 모아서 보기 쉽게 화면에 표시해준다.
Expert Info : Packet의 Errors, Warnings, Notes, Chats 를 한번에 확인할 수 있다.
Expert Info Composite : Exper Info 부분의 Packet을 더욱 상세하게 확인할 수 있다.
Statistics
Summary : Wireshark File, Time, Capture, display, Traffic.. 의 요약을 보여준다.
Protocol Hierarchy : 현재 캡쳐된 Packet의 종류와 전체 패킷중의 Packet의 비율을 %로 확인할 수 있다.
Conversations : 전체 Packet의 흐름을 확인 할수 있다. (IPv4,IPv6,TCP,UDP등이 어디에서 어디로 향했는지 한눈에 볼수있다.)
Endpoints : 각 Packet의 Rx,Tx 신호의 흐름을 한눈에 확인할 수 있다.
Packet Lengths… : Filter옵션을 넣으면 그 Filter에 대한 Packet의 길이를 확인 할 수 있다.
IO Graphs : 전체 패킷에 대한 흐름도를 그래프로 확인 할수 있다. Filter옵션을 넣어 특정 Packet만 확인할 수도 있다.
Conversation List : 특정 Packet에 대한 흐름을 확인 할 수 있다.
Endpoint List : 특정 Packet의 Rx,Tx 신호의 흐름을 한눈에 확인할 수 있다.
Service Response Time : 보다 정밀한 검사가 가능한 16개의 프로토콜이 제공됩니다.
Flow Graph : 전체 Packet에 대한 흐름을 그래프로 한눈에 확인 할수 있다.
HTTP : HTTP Protocol과 관련된 Packet중 손실률 성공Packet등을 확인 할 수 있다.
IP Addresses : 임의의 Packet에 대한 IP주소의 개수, 속도, 퍼센트를 확인 할 수 있다.
IP Destinations : 임의의 packet에 대한 도착지 IP주에 대한 개수, 속도, 퍼센트를 확인 할 수 있다.
IP Protocol Types : 임의의 Packet에 대한 IP Protocol의 대한 개수, 속도, 퍼센트를 확인 할 수 있다.
TCP Stream Graph : TCP Packet에 대한 다양한 그래프를 확인 할 수 있다.
UDP Multicast Streams : 멀티캐스트로 사용한 UDP를 확인 할 수 있다.
Telphony
Wireshark에서 지원되는 다양한 Telephony 의 패킷들을 확인 할 수 있다.
단축키
자주 쓰이는 기능들을 손쉽게 쓰기 위해 모아논 bar. 마우스를 위에 올려 놓으면 자세한 정보를 확인 할 수 있다.
와이어 샤크 화면에 대해서 설명해 드리겠습니다.
PACKET DETAILS PANE
packet list 패널은 캡쳐된 모든 패킷을 보여줍니다. Source/destination MAC/IP 주소, TCP /UDP 포트 번호, 프로토콜, 패킷 내용 등의 정보를 얻을 수 있습니다.
PACKET DETAILS PANE
Packet Details 화면은 패킷을 와이어 샤크가 스스로 정리하여 모든 패킷의 상세 정보를 자세히 볼수 있습니다.
DISSECTOR PANE
packet bytes 패널이라고도 하는 dissector 패널은 packet details 패널과 내용은 같지만 데이터를 16진수로 나타내줍니다.
Wireshark 하단 정보 표시
프로그램 화면 하단에서는 다음과 같은 정보들을 확인 할 수 있습니다:
Expert Infos, Paket 수, Displayed 수, Marked, Dropped
필터
CAPTURE FILTERS
Protocol:
사용 가능한 값: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.
프로토콜을 지정하지 않으면 모든 프로토콜을 사용합니다.
Direction:
사용 가능한 값: src, dst, src and dst, src or dst
출발지나 목적지를 지정하지 않으면 "src or dst" 키워드가 사용됩니다.
예를 들어, "host 10.2.2.2"은 "src or dst host 10.2.2.2"과 동일합니다.
Host(s):
사용 가능한 값: net, port, host, portrange.
호스트를 지정하지 않으면 "host" 키워드가 사용됩니다.
예를 들어, "src 10.1.1.1"은 "src host 10.1.1.1"과 같은 의미입니다.
Logical Operations:
사용 가능한 값: not, and, or.
부정 연산("not")이 가장 높은 우선순위를 갖습니다. 논리합("or")과 논리곱("and")는 같은 우선순위를 가지며 왼쪽에서 오른쪽으로 처리됩니다.
예를 들어,
"not tcp port 3128 and tcp port 23"은 "(not tcp port 3128) and tcp port 23"과 동일하게 작용합니다.
"not tcp port 3128 and tcp port 23" 은 "not (tcp port 3128 and tcp port 23)"과는 동일하지 않습니다.
사용 예:
tcp dst port 3000
목적지가 TCP 포트 3000인 패킷을 보여줍니다.
ip src host 1.1.1.1
출발지 IP 주소가 1.1.1.1인 패킷을 보여줍니다.
host 10.1.2.3
출발지와 목적지 IP 주소가 10.1.1.1인 패킷을 보여줍니다.
src portrange 2000-2500
출발지의 UDP, TCP 포트가 2000-2500 사이인 패킷을 보여줍니다.
not imcp
icmp 패킷을 제외한 모든 패킷을 보여줍니다. (icmp는 보통 ping 프로그램에서 사용합니다.)
src host 10.7.2.12 and not dst net 10.200.0.0/16
출발지 IP 주소가 10.7.2.12이면서, 목적지 IP 네트워크가 10.200.0.0/16이 아닌 패킷을 보여줍니다.
(src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8
출발지 IP 주소가 10.4.1.12이거나, 출발지 네트워크가 10.6.0.0/16인 패킷중에서 목적지 TCP 포트 범위가 200-10000이면서, 목적지 IP 네트워크가 10.0.0.0/8인 패킷을 보여줍니다.
DISPLAY FILTERS
display 필터는 캡쳐된 데이터에서 원하는 정보를 찾을 때 사용합니다.
display 필터의 검색 능력은 capture 필터 보다 더 뛰어납니다. 그리고 필터의 내용을 바꾸고 싶을 때 캡쳐 작업을 다시 시작하지 않아도 됩니다.
Protocol:
OSI layer 2에서 layer 7 사이에 있는 매우 다양한 프로토콜을 사용 할 수 있습니다. 그것들은 메인 화면에 보이는 "Expression..." 버튼을 클릭하면 볼 수 있습니다.
비교 연산자:
6개의 비교 연산자를 사용 할 수 있습니다:
논리 표현 식:
사용 예:
snmp || dns || icmp |
SNMP 혹은 DNS 혹은 ICMP 트래픽을 보여줍니다. |
ip.addr == 10.1.1.1
출발지나 목적지의 IP 주소가 10.1.1.1인 패킷을 보여줍니다.
ip.src != 10.1.2.3 or ip.dst != 10.4.5.6
출발지의 IP 주소가 10.1.2.3이 아니거나 목적지의 IP 주소가 10.4.5.6이 아닌 패킷을 보여줍니다.
다른 말로 하자면, 화면에 보여지는 패킷은 다음과 같을 것입니다:
출발지 IP 주소 : 10.1.2.3이 아닌 모든 주소, 목적지 IP 주소 : 10.1.2.3이 아닌 모든 주소
그리고
출발지 IP 주소 : 모든 주소, 목적지 IP 주소 : 10.4.5.6이 아닌 모든 주소
ip.src != 10.1.2.3 and ip.dst != 10.4.5.6
출발지 IP 주소가 10.1.2.3이 아니면서, 동시에 목적지 IP 주소가 10.4.5.6이 아닌 패킷을 화면에 보여줍니다.
다른 말로 하자면, 화면에 보여지는 패킷은 다음과 같을 것입니다:
출발지 IP 주소 : 10.1.2.3이 아닌 모든 주소, 그리고 목적지 IP 주소 : 10.4.5.6이 아닌 모든 주소
tcp.port == 25 |
출발지와 목적지의 TCP 포트가 25인 패킷을 보여줍니다. |
tcp.dstport == 25 |
목적지의 TCP 포트가 25인 패킷을 보여줍니다. |
tcp.flags |
TCP 플래그를 가지고 있는 패킷을 보여줍니다. |
tcp.flags.syn == 0x02 |
TCP SYN 플래그를 가지고 있는 패킷을 보여줍니다. |
필터 구문에 문제가 없다면, 녹색으로 하이라이트 될 것이며, 잘못됐다면 붉은색으로 하이라이트 될 것입니다.
통계
화면의 상단에 있는 "statistics"을 클릭하면 다양한 통계자료를 볼 수 있습니다.
protocol hierarchy창에서는 각 OSI layer별로 세부적인 데이터를 확인 할 수 있습니다.
Conversations
TCP/IP어플리케이션이나 프로토콜을 사용한다면, Ethernet, IP, TCP, UDP 의conversations 을 위한 4개의 탭이활성화 된 것을 볼 수 있습니다. "conversation"이란 두 호스트 사이의 트래픽을 말합니다.
각 탭의 프로토콜 명 옆에 있는 숫자는 conversation의 수를 나타냅니다. 예: "Ethernet:6"
Ethernet conversations:
TCP conversations:
UDP conversations:
Endpoints
Endpoints 창은 각 장치 별로 주고 받은 데이터에 대한 통계 정보를 보여준다.
탭에서 프로토콜 이름 옆에 있는 숫자는 endpoints의 수를 나타냅니다. 예 : "Ethernet:6".
(화면 구성은 Conversations와 동일 하고 표시되는 내용만 다르다)
Packet Length
패킷의 수와 속도 비율을 보여줍니다.
IO Graphs
각 Packet별 사용자가 보기 편하게 실시간 그래프로 나타내어 줍니다.
Filter옵션으로 한눈에 Packet의 양을 보기 쉽게 확인 할 수 있습니다.
Flow Graph
"Flow Graph" 섹션은 TCP 연결 흐름을 한눈에 확인 할 수 있다.
처음 세 줄은 TCP 연결이 "SYN", "SYN ACK", "ACK"의 순서로 만들어지는 것을 보여줍니다.
HTTP
HTTP (Hypertext Transfer Protocol)는 HTML 파일을 전송하기 위한 클라이언트/서버간 통신 프로토콜이다
대부분의 웹 브라우저 사용자인 HTTP 클라이언트는 파일을 찾기 위해 HTTP request을 "URL"과 함께 웹 서버에보냅니다. 그리고 웹 서버는 HTTP reponse을 통해 그에 대한 응답을 하고, 클라이언트가 원하는 웹 페이지를 보여준다.
"HTTP" 아래 세가지 하위 섹션이 존재한다.
- Load Distribution
- Packet Counter
- Requests
Load distribution:
Packet Counter:
HTTP 요청과 응답을 보여줍니다.
Requests:
웹 서버에서 요청 받은 파일들을 보여준다.
IP address
네트워크 패킷의 출발지 IP주소를 보여준다.
IP destinations
"Destinations" 섹션은 네트워크 패킷의 모든 목적지 IP 주소를 보여준다.
IP Protocol Types
TCP나 UDP 포트의 통계 정보를 보여준다
아 끝났네요^^ 와이어샤크는 손쉬운 조작으로 강력한 기능을 보여주네요~
간단하게 쓰기에는 정말 좋은거 같아요 ~
이제 기본 툴은 여기까지 하고 다음 시간부터는 OSI 7계층 정리와 패킷에 대한 분석
그리고 시간이 남으면 와이어 샤크로 여려 상황의 대한 패킷분석을 보여 드릴께요^^
읽어주셔서 감사합니다__)/
'Windows > TIP' 카테고리의 다른 글
윈도우 10 숨겨진 기능 9가지 (0) | 2021.02.09 |
---|---|
VB 기본용어 정리 (0) | 2021.02.09 |
커널(Kernal)이란 (0) | 2021.02.09 |
호스트파일 변조 (0) | 2021.02.09 |
[C 강좌] 헤더 파일 (0) | 2021.02.09 |
설정
트랙백
댓글
글
커널(Kernal)이란
커널(Kernal)이란
컴퓨터에서 커널(kernel)은 운영 체제의 핵심 부분으로서,
운영 체제의 다른 부분 및 응용 프로그램 수행에 필요한 여러 가지 서비스를 제공한다.
커널의 역할
보안
커널은 컴퓨터의 하드웨어와 프로세스의 보안을 담당한다.
자원관리
한정된 시스템 자원을 효율적으로 관리한다.
추상화
같은 종류의 부품에 대해 다양한 하드웨어를 설계할 수 있기 때문에 하드웨어에 직접 접근하는 것은
문제를 매우 복잡하게 만들 수 있다. 일반적으로 커널은 운영 체제의 복잡한 내부를
감추고 깔끔하고 일관성 있는 인터페이스를 하드웨어에 제공하기
위해 몇 가지 하드웨어 추상화(같은 종류의 장비에 대한 공통 명령어의 집합)들로 구현된다.
커널의 종류
단일형 커널(monolithic kernel)
커널의 다양한 서비스 및 높은 수준의 하드웨어 추상화를 하나의 덩어리로 묶은 것이다.
운영 체제 개발자 입장에서 유지 보수가 일반적으로 더 어려우나 성능이 좋다.
마이크로커널(micro kernel)
하드웨어 추상화에 대한 간결한 작은 집합을 제공하고 더 많은 기능은 서버라고 불리는 응용 소프트웨어를 통해 제공한다.
혼합형 커널(hybrid kernel)
성능 향상을 위해 추가적인 코드를 커널 공간에 넣은 점을 제외하면 많은 부분은 순수 마이크로커널과 비슷하다.
수정 마이크로커널이라고도 한다.
나노커널(nanokernel)
실질적으로 모든 서비스를 책임진다.
엑소커널(exo kernel)
낮은 수준의 하드웨어 접근을 위한 최소한의 추상화를 제공한다.
전형적으로 엑소커널 시스템에서는 커널이 아닌 라이브러리가 단일형 커널 수준의 추상을 제공한다.
'Windows > TIP' 카테고리의 다른 글
VB 기본용어 정리 (0) | 2021.02.09 |
---|---|
와이어 샤크 사용방법 (0) | 2021.02.09 |
호스트파일 변조 (0) | 2021.02.09 |
[C 강좌] 헤더 파일 (0) | 2021.02.09 |
하드 디스크 용량별 구분 (0) | 2021.02.09 |
설정
트랙백
댓글
글
호스트파일 변조
c:\Windows\System32\drivers\etc에 위치한 hosts 파일을 이용한 호스트파일변조로
원리는 간단합니다.
'Windows > TIP' 카테고리의 다른 글
와이어 샤크 사용방법 (0) | 2021.02.09 |
---|---|
커널(Kernal)이란 (0) | 2021.02.09 |
[C 강좌] 헤더 파일 (0) | 2021.02.09 |
하드 디스크 용량별 구분 (0) | 2021.02.09 |
유니코드표 (0) | 2021.02.09 |