WireShark   와이어샤크

(2023-01-02)

1. Wireshark (와이어샤크)

  ㅇ 850개 이상 프로토콜 분석 지원
  ㅇ 비교적 사용하기 쉬움
  ㅇ 오픈 소스 형태로 개발됨 (최신 업데이트가 잘 이뤄짐)
     - GPL 라이센스오픈 소스 라이선스 참조
  ㅇ 다양한 플랫폼(리눅스,윈도우즈 등)에서 사용 가능


2. 기능 구분패킷 캡처 (capture)
     - 패킷 캡처, 캡처 파일 저장, 인쇄 등
  ㅇ 필터링 (filtering)  :  원하는 것 만을 드러내 보이기 위함
     - 캡처 필터 (capture filter, 캡처시 작동됨)
     - 디스플레이 필터 (display filter, 화면에 보여주는 것에 만 적용됨)
  ㅇ 분석기 (dissector)  :  패킷 분석 기능
     - 패킷프로토콜들을 파싱하고 디코딩하여 화면에 표시
     - 알려진 프로토콜에 대해, 비 순서적으로 수신된 전체 스트림을 재조립, 한 곳에서 보게해 줌
  ㅇ 기타 기능
     - 패킷 캡처 데이터를 열거나, 변환시켜, 저장 가능
        . 타 분석툴에 의해 저장된 것도 오픈 가능
     - 다양한 통계 생성 등


3. 화면 구성

  ㅇ 메뉴 바 (main menu)
     - File, Edit, View, Go, Capture, Analyzer, Statisticsm, Telephony, Wireless, Tools, Help
        . File  :  캡처 파일 열기,합침,닫기 등
        . Edit  : 
  ㅇ 메인 툴 바 (main toolbar)
     - 자주 사용되는 툴 바 모음
  ㅇ 필터 툴 바 (디스플레이 필터)
  ㅇ 패킷 목록 창 (packet list pane)
     - 패킷별 타임라인 (발신지,목적지 ip 주소 등 간단한 요약 정보)
        . No  :  패킷 일련번호
        . Time  :  패킷 캡처 시각
        . Source  :  패킷의 출발지
        . Destination  :  패킷의 목적지
        . Protocol  :  프로토콜 명칭
        . Length  :  패킷 크기
        . info  :  최상위 계층정보패킷 세부 사항 창 (packet details pane)
     - 하위 트리 섹션 (펼쳐볼 수 있음)
     - OSI 계층별로 프로토콜들을 구분하고, 분석한 내용
  ㅇ 패킷 바이트 창 (packet bytes pane)
     - 패킷의 원시 형태를 보여줌
  ㅇ 상태 바 (statusbar)
     - 현재 프로그램 상태, 캡처된 데이터4. 캡처 및 필터링패킷 캡처 드라이버 구동
     - 운영체제 제공 소켓을 경유 않고, 직접 패킷 캡처 가능토록 하는 드라이버
     - 와이어샤크 보안성 강화를 위해, 
        . 사용자 권한일 때, 와이어샤크 자체로 만 동작시키며, 
        . 관리자 권한일 때, NPF(NetGroup Packet Filter Driver) 만 동작시킴이 적절
     - (구동) net start npf, (종료) net stop npf
     * 패킷 캡처 드라이버 
        . WinPcap, Npcap (윈도우즈용), libpcap (유닉스/리눅스용)

  ㅇ 캡처 필터 
     - 기본 구문BPF 구문 참조


5. 커맨드라인

  ㅇ editcap.exe
  ㅇ text2pcap.exe 
  ㅇ mergecap.exe
  ㅇ capinfos.exe
  ㅇ recordercap.exe
  ㅇ tshar.exe

네트워크/프로토콜 분석
   1. 프로토콜 분석기   2. 스니핑   3. 포트 미러링,SPAN   4.   5. 무차별 모드   6. 와이어샤크   7. tcpdump/windump   8. 버클리 패킷 필터 (BPF)  


Copyrightⓒ written by 차재복 (Cha Jae Bok)               기술용어해설 후원
"본 웹사이트 내 모든 저작물은 원출처를 밝히는 한 자유롭게 사용(상업화포함) 가능합니다"