와이어샤크(Wireshark) 란?
와이어샤크(Wireshark)는 네트워크 패킷을 감시 및 분석하는 프로그램으로
패킷 손실없이 통신이 되는지 또는 어디서 손실이 발생하는지 네트워크 패킷을 캡처하여
분석하는 용도로 사용됩니다.
와이어샤크 주요특징
- 크로스 플랫폼 지원가능(Windows, Linux, Mac 등 지원)
- 패킷 분석을 위한 GUI제공함
- 무차별 모드(Promiscuous mode) 지원함
- Loopback 뿐만 아니라 시스템의 네트워크 어댑터도 분석이 가능함
- 파일 형태로 저장 및 기록이 가능함
와이퍼샤크 기본적인 사용법
① 패킷을 분석을 위한 어댑터 연결하기
설치된 Wireshark를 실행 후 위의 사진처럼 패킷 수집이 가능한 네트워크 목록이 표시되는데
여기서 루프백 테스트를 하는 경우엔 ‘Adapter for loopback trffic capture‘를 선택 하시면 됩니다.
*루프백 : 내 PC에서 나간 신호가 내 PC로 다시 돌아오는 방식
② 패킷 분석 시작 후 중지하기
위의 사진처럼 확인을 해도 대략적인 정보를 얻을 수 있습니다.
예를들어 소켓을 이용하여 패킷을 보낸다고 가정 후 잘 도착했는지 확인 할려면
TCP 프로토콜 내 ip(Source)에서 도착지로 패킷이 얼마나(length) 갔는지를 확인할 수 있습니다.
여기서 뭔가 에러가 발생하였다면 빨간색으로 확인이 가능합니다.
- No : 패킷을 수집한 순서
- Time : 패킷을 수집된 시간
- Source : 패킷을 보낸 주소
- Destination : 패킷 도착
이렇게 네트워크 목록을 선택 후 패킷흐름을 볼 수 있으며 프로그램 좌측 상단에 Stop 버튼을 클릭하면 중지 됩니다.
③ 패킷 캡처하기
이미 캡처된 패킷이 있다면 시작 버튼을 클릭 시 저장 여부 안내창이 표시됩니다.
저장이 필요하면 ‘저장‘ 하시면 되겠습니다.
④ 패킷 저장하기
[파일] – [저장] or [파일] – [다른 이름으로 저장] 시 파일로 만들어지므로 공유가 가능합니다.
⑤ 패킷 캡처 다시 시작하기
다시 캡처를 원하시면 위의 사진에서 녹색 화살표 모양(Restart) 클릭 해주시면 되겠습니다.
⑥ 필터 사용하여 원하는 패킷만 조회하기
필터에 따라 원하는 값만 추출 및 볼 수 있게 끔 가능하고 논리 연산자 AND, OR도 사용되므로
자주 사용하는 필터는 아래에 명시 하겠습니다.
ex) eth.addr == 00:3f:1e:00:00:23 // 출발지나 목적지 MAC로 검색
항목 | 설명 |
ip.src | 보내는 IP 주소 |
ip.dst | 받는(목적지) IP 주소 |
tcp.srcport | 보내는 TCP 포트 번호 |
tcp.dstport | 받는(목적지) TCP 포트 번호 |