무작정 해킹 공부/네트워크 해킹

[패킷 분석 도구] Wireshark - 기본 사용법

startonebyone 2024. 3. 12. 23:44

Wireshark란?

와이어샤크는 네트워크 패킷을 감시 및 분석하는 프로그램이다.

어떤 문제가 생겼을 시에 와이어샤크로 패킷을 분석하고 문제점을 찾는데 사용된다.

 

Wireshark 다운로드 홈페이지

https://www.wireshark.org/#download

 

Wireshark · Go Deep

Wireshark: The world's most popular network protocol analyzer

www.wireshark.org

 

Wireshark 설치

모든 단계를 디폴트로 넘기고, 중간에 Npcap 드라이버만 체크해서 설치해주면 된다.

이 드라이버가 없으면 캡처가 불가능하기에 꼭 체크해줘야 한다.

Install Npcap 버전 체크.

Install USBPcap 버전 - USB 트래픽을 모니터링 하고 싶을 경우 체크

 

Wireshark를 처음 실행하면 위와 같이 패킷 수집이 가능한 네트워크 인터페이스 목록이 표시될 것이다. 

이 중 이더넷 인터페이스를 클릭하면 왼쪽 상단에 파란색 상어 지느러미 버튼이 활성화 되는 것을 볼 수 있고 해당 인터페이스에서 오고 가는 패킷들을 찾아주는 것을 알 수 있다.

이렇게 패킷들을 실시간으로 확인할 수 있다.

  • No. : 패킷을 수집한 순서
  • Time : 패킷이 수집된 시간
  • Source : 패킷을 보낸 주소
  • Destination : 패킷 도착 주소
  • Protocol : 프로토콜 정보
  • Length : 패킷 길이
  • Info : 패킷 정보

 

에러 사항이 있을 경우 빨간색 or 검은색으로 패킷이 오고가는 것을 확인할 수 있다.

패킷 수집을 중단하고 싶으면 좌측 상단에 빨간색 네모 버튼을 누르면 되고,

다시 활성화하고 싶다면 첫 번째 파란색 상어지느러미를 눌러주면 된다. 

세 번째 초록색 버튼은 다시 시작 버튼이므로, 다시 캡처하고 싶다면 눌러주면 된다.

 

  • File
    - Open : 저장된 패킷 파일(dump) 열기
    - Saved : 수집한 패킷을 파일로 저장
    - Merge : 수집한 여러 개의 패킷 파일을 선택해서 하나로 병합
    - Export : 특정 패킷 추출
  • Edit
    - Find Packet : 특정 패킷 찾기
    - Mark/Unmark Packet : 특정 패킷 찾는 방법. mark 기능으로 표시 가능
    - Ignore : 불필요한 패킷 무시하기
    - Preferences : 패킷 프레임의 레이아웃 및 폰트, 색상 설정 가능
  • View
    - 화면 구성 관리 및 보여지는 패킷 관리
    - Colorize : 패킷은 기본적으로 색을 지니지 않지만, 와이어샤크에서 분석의 편의를 위해 구분 패킷을 구분해 놓은 색상을 관리할 수 있다.
    - Coloring Rules : 색상 관리
  • Go : 특정 패킷을 찾거나 이동할 때 사용
  • Capture : 패킷 수집을 일시정지, 시작, 재시작 등을 관리하는 메뉴
  • Analyze : 분석 설정
  • Statistics : 통계 데이터 관리
  • Telephony : Voip 패킷 분석(전화기)
  • Wireless : 무선 통신을 볼 수 있는 기능
  • Tools : 와이어샤크에 쓰이는 도구
  • Help : 도움말

 

< 버튼 설명 >

- 패킷 캡처 시작

- 패킷 캡처 멈춤

- 캡처 재시작

- 캡처 옵션

- 파일 열기

- 현재 캡처 화면 저장

- 현재 캡처 중인 화면 닫기

- pcap 파일 새로고침

- 특정 패킷 검색

- 이전 패킷으로 돌아가기

- 앞의 패킷으로 이동

- 지정된 패킷으로 이동

- 모든 패킷의 맨 위로 이동

- 모든 패킷의 맨 아래로 이동

- 패킷 캡처 중 자동으로 스크롤을 내림

- 색상 규칙에 맞게 패킷 색 변경

- zoom in

- zoom out

- normal size

- 내용에 맞게 패킷 목록 열 크기 조정

 

< 패킷 필터링 >

원하는 패킷만 보고싶을 경우 패킷 필터링을 걸어주면 된다.

툴바 아래의 초록색 창에 IP 주소나 포트 번호, 그 외의 여러 조건들을 설정해서 원하는 패킷만 골라서 볼 수 있다.

자주 사용하는 필터링 예시

  • ip.addr == 192.168.0.5     // 출발지나 목적지가 해당 IP 주소인 것을 검색
  • eth.addr == [맥주소]         // 출발지나 목적지 Mac 주소로 검색
  • tcp.port == 3301               // TCP 출발지나 목적지 포트 번호 검색
  • tcp.srcport / dstport          // 출발지 TCP 포트 번호 / 도착지 TCP 포트 번호
  • !tcp.port                            // 입력한 TCP 포트 예외 검색
  • ip.src / ip.dst                     // 출발지(보내는) IP 주소 / 도착지(받는) IP 주소
  • ip.src != 10.0.0.1               // 출발지 IP 주소가 해당 IP 주소가 아닌 것을 검색
  • eth.dst == [맥 주소]           // 목적지 Mac 주소 검색