패킷 분석 프로그램 와이퍼샤크(WireShark) 기본적인 사용 방법

와이어샤크(Wireshark) 란?

와이어샤크(Wireshark)네트워크 패킷감시분석하는 프로그램으로

패킷 손실없이 통신이 되는지 또는 어디서 손실이 발생하는지 네트워크 패킷캡처하여

분석하는 용도로 사용됩니다.

와이어샤크 주요특징

  • 크로스 플랫폼 지원가능(Windows, Linux, Mac 등 지원)
  • 패킷 분석을 위한 GUI제공함
  • 무차별 모드(Promiscuous mode) 지원함
  • Loopback 뿐만 아니라 시스템의 네트워크 어댑터도 분석이 가능함
  • 파일 형태저장기록이 가능함

와이퍼샤크 기본적인 사용법

wireshark사용방법

① 패킷을 분석을 위한 어댑터 연결하기

설치된 Wireshark를 실행 후 위의 사진처럼 패킷 수집이 가능한 네트워크 목록이 표시되는데

여기서 루프백 테스트를 하는 경우엔 ‘Adapter for loopback trffic capture‘를 선택 하시면 됩니다.

*루프백 : 내 PC에서 나간 신호내 PC로 다시 돌아오는 방식

wireshark사용방법03

② 패킷 분석 시작 후 중지하기

위의 사진처럼 확인을 해도 대략적인 정보를 얻을 수 있습니다.

예를들어 소켓을 이용하여 패킷을 보낸다고 가정 후 잘 도착했는지 확인 할려면

TCP 프로토콜 내 ip(Source)에서 도착지로 패킷이 얼마나(length) 갔는지를 확인할 수 있습니다.

여기서 뭔가 에러가 발생하였다면 빨간색으로 확인이 가능합니다.

  • No : 패킷을 수집한 순서
  • Time : 패킷을 수집된 시간
  • Source : 패킷을 보낸 주소
  • Destination : 패킷 도착

이렇게 네트워크 목록을 선택 후 패킷흐름을 볼 수 있으며 프로그램 좌측 상단에 Stop 버튼을 클릭하면 중지 됩니다.

wireshark사용방법04

③ 패킷 캡처하기

이미 캡처된 패킷이 있다면 시작 버튼을 클릭 시 저장 여부 안내창이 표시됩니다.

저장이 필요하면 ‘저장‘ 하시면 되겠습니다.

wireshark사용방법06

④ 패킷 저장하기

[파일] – [저장] or [파일] – [다른 이름으로 저장] 시 파일로 만들어지므로 공유가 가능합니다.

wireshark사용방법07

⑤ 패킷 캡처 다시 시작하기

다시 캡처를 원하시면 위의 사진에서 녹색 화살표 모양(Restart) 클릭 해주시면 되겠습니다.

wireshark사용방법08

⑥ 필터 사용하여 원하는 패킷만 조회하기

필터에 따라 원하는 값만 추출볼 수 있게 끔 가능하고 논리 연산자 AND, OR도 사용되므로

자주 사용하는 필터는 아래에 명시 하겠습니다.

ex) eth.addr == 00:3f:1e:00:00:23 // 출발지나 목적지 MAC로 검색

항목 설명
ip.src 보내는 IP 주소
ip.dst 받는(목적지) IP 주소
tcp.srcport 보내는 TCP 포트 번호
tcp.dstport 받는(목적지) TCP 포트 번호

 

Leave a Comment