와이어샤크 개요 및 설치와 실행(네트워크보안)(Wireshark로 배우는 컴퓨터 네트워크)
용어
이더넷 : 컴퓨터 네트워크 기술의 하나로, LAN, WAN 등에서 가장 많이 활용되는 기술 규격이다. OSI 모델의 물리 계층에서 신호와 배선, 데이터 링크 계층에서 MAC 패킷과 프로토콜의 형식을 정의한다.
소켓 : OS가 가진 기능의 하나로 별도 프로그램에서 이용하기 위한 함수(API)이다.
VoIP : Voice Over Internet Protocol의 약자로 인터넷을 이용한 음성 전송을 뜻 한다. 이 기술은 인터넷 프로토콜(IP) 네트워크를 통해 음성 통신과 멀티미디어 세션을 전달한다.
본문정리
패킷 분석기
네트워크를 통해 전달되는 패킷을 캡처하여 그 내용을 화면에 나타내 주는 소프트웨어이다.
LAN 케이블을 따라 전송되는 전자기 신호를 데이터로 흭득하는 것을 패킷 캡처라하며 흭득한 패킷의 의미를 알아보는 것을 덤프 분석이라고 한다.
패킷 분석기의 종류
하드웨어 분석기, 소프트웨어 분석기가 있다.
와이어샤크 개요
근거리 통신망 상에서 전달되는 패킷을 분석하는 도구이다.
와이어샤크의 용도
GPL에서 배포하는 무료 패킷 분석기이다.
와이어샤크의 주요 기능
이더넷, 무선 LAN, Bluetooth, USB 등 다양한 네트워크 유형의 트래픽을 캡쳐할 수 있다.
와이어샤크의 장점
패킷의 내용을 자세하게 보여주는 것과 패킷 해석이다.
와이어샤크의 취약 분야
상용 LAN 분석기에 비해 통계 기능이나 보고 기능, 임계치 기능이 비교적 약하다.
와이어샤크에서 패킷을 캡처/처리하는 방법
와이어샤크 하나만으로는 패킷을 쉽게 흑득할 수 없기 때문에 파일 캡처 드라이버를 사용한다. 일반적인 애플리케이션에서는 소켓을 통하여 데이터를 송수신하는데, 경유하면 데이터를 직접 캡처할 수 없다. 파일 캡쳐 드라이버를 이용하면 소켓을 건너뛰고 직접 패킷 분석기에서 네트워크를 통해 전달되는 모든 패킷을 조작할 수 있다.
파일 캡쳐 드라이버는 무차별 모드라는 특수한 설정으로 동작할 수 있다. 통삭적인 NIC는 자신과 관계있는 패킷만 캡처하지만, 설정시 목적지가 자신이 아닌 패킷일지라도 모두 캡쳐할 수 있다.(이거 위험한거아냐??)
해석기, 플러그인 및 디스플레이 필터
패킷이 들어오면, 와이어샤크는 먼저 프레임 유형을 확인하고, 해당 프레임 해석기로 보낸다. 프레임 헤더의 내용을 세분화 한 후, 해석기는 다음에 오는 내용을 살펴본다. 이더넷 해석기는 IP 해석기에게 패킷을 전달한다. IP 해석기는 IP 헤더의 프로토콜 필드를 살핀다.(응? 해석기에 대한 내용 밖에 없는데?)
그래픽 툴킷
GIMP 그래픽 툴킷은 와이어샤크를 위한 GUI를 제공한다.
와이어샤크 사용자 인터페이스
와이어샤크의 메인 화면 구성
툴 바 : 자주 사용하는 기능이 버튼으로 되어 있다.
상태 바 : 패킷의 상태를 색이들어간 ○ 표시로 나타낸다. 그 오른쪽 옆에는 패킷에 코멘트를 달 수 있는 버튼이 있다.
Protocol 열에는 가장 상위층의 정보가 나타난다. 패킷 목록 정보에는 디폴트로 색상을 구분하고 있다. DNS 트래픽은 파란색, HTTP 트래픽은 녹색, 오류 메시지는 검정색 등을 예로 들 수 있다,(이하의 그림이 그렇다는 말이 아니다!) 색상 규칙 내용은 View → Coloring Rules를 석택하여 확인 할 수 있다.
| No | 패킷의 일련 번호를 나타낸다. |
| Time | 패킷을 캡처한 시각을 나타낸다. 시각의 디스플레이 형식은 변경할 수 있다. |
| Source | 패킷의 발신지 상위층 주소를 나타낸다. |
| Destination | 패킷의 목적지 상위층 주소를 나타낸다. |
| Protocol | 상위층 프로토콜 이름을 나타낸다. |
| Length | 패킷의 길이를 나타낸다. |
| Ingo | 패킷의 개요를 나타낸다. |
패킷바이트열로 빨간색 박스는 패킷의 위치를 16진수로 나타낸 것이다. 녹색 박스는 실제 데이터 내용을 나타내며 이를 16진수로 표현한다.
밑의 빨간색 박스는 엑스퍼트 모드로 문제가 있는 패킷을 자동적으로 추출하는 기능을 말하며, 청색은 문제 없는 것, 화액은 주의해야할 패킷, 적색은 오류 패킷을 의미한다. 파란색 박스는 패킷에 코멘트를 달 수 있다.
각 메뉴의 주요 기능 설명이다.
| File | 파일 열기, 파일 결합, 저장, 인쇄, Export, Import 등을 한다. |
| Edit | 패킷의 검색, 강조, 시간 참조나 조정 외에 코멘트 입력이나 편집을 한다. |
| View | 툴 바나 화면 표시, 패킷 색상 표시 등을 한다. |
| Go | 특정 패킷으로 이동한다. |
| Capture | 패킷 캡쳐 시작, 종료, 캡쳐 피러를 편집한다. |
| Analyze | 디스플레이 필터(패킷을 보여줄 때 범위 설정) 작성, 편집이나 패킷을 해석한다. TCP/UDP/SSL/HTTP의 추적도 여기서 한다. |
| Statistics | 캡처한 패킷을 분석하고 프로토콜마다 통계를 작성하거나 패킷 수의 목록이나 프로토콜 분포 드으이 통계 정보를 보여준다. |
| Telephony | 주로 VoIP(Voice Over IP)에 관한 통계 정보나 표를 보여준다. |
| Wireless | Bluetooth나 무선 LAN에 관한 기능이 정리되어 있다. |
| Tools | 와이어샤크와 관련하여 이용하는 각종 도구 기능이 정리되어 있다. |
| Help | 사용법에 대한 도움말 기능이다. |
본문제
Q1. 네트워크 분석의 목적은 무엇인가?
프로토콜 분석이라고도 불리며 네트워크를 통하여 전달되는 트래픽을 살펴보고, 분석하는 행위이다.
Q2. Ncap의 주요 기능은 무엇인가?
Windows용 패킷 캡처 드라이버이다.
Q3. AirPcap의 주요 기능은 무엇인가?
무선용 패킷 캡처 드라이버이다.
Q4. Wiretap 라이브러리의 주요 기능은 무엇인가?
저장된 추적 파일에 대한 입출력 기능을 위해 사용한다.
Q5. libpcap의 주요 기능은 무엇인가?
UNIX/Linux용 패킷 캡처 드라이버이다.
Q6. 와이어샤크의 주요 용도를 아는대로 기술하시오.
컴퓨터 네트워크 프로토콜을 배우기위해, 네트워크 관리자가 네트워크 트러블을 해결하기 위해, 개발자가 프로토콜을 구현할 때 디버그하기 위해, 품질 관리 엔지니어가 네트워크 애플리케이션을 확인하기 위해
Q7. 트래픽 캡처 처리과정을 기술하시오.
Npcap, AirPcap 및 libpcap 링크-계층 인터페이스 중 하나의 인터페이스에 의해 처리된다.
dumpcap이라는 도구가 실제 패킷 캡처를 시작하게 한다. 네트워크를 통해 수집된 프레임들은 특수 목적 링크 계층 드라이버 중 하나를 통하여 바로 와이어샤크의 캡처 엔진으로 전달된다. 캡처/추적 파일을 읽어들일 때는 Npcap, AirPcap 및 libpcap 인터페이스는 사용되지 않는다. Wiretap 라이브러리는 프레임을 코어엔진으로 전달한다.
Q8. 와이어샤크 홈페이지에서 확인한 최신 버전은 무엇인가?
https://www.wireshark.org/#download
Wireshark · Go Deep.
What is SharkFest? SharkFest™, launched in 2008, is a series of annual educational conferences staged in various parts of the globe and focused on sharing knowledge, experience and best practices among the Wireshark® developer and user communities. Shar
www.wireshark.org
4.0.0이다.
Q9. 와이어샤크의 패킷 목록 정보, 패킷 상제 정보, 패킷 바이트 정보란을 설명하시오.
위에 설명 다했다.
Q10. 텍스트판 와이어샤크의 이름은 무엇인가?
모르겠다 ㅎ 내눈엔 안보인다. 근데 이걸 왜 알아야햌ㅋㅋㅋ
Q11. 컬러링 규칙을 확인하면 HTTP 색상은 무엇인가?
연초록색