1. Wireshark (와이어샤크)
ㅇ 850개 이상 프로토콜 분석 지원
ㅇ 비교적 사용하기 쉬움
ㅇ 오픈 소스 형태로 개발됨 (최신 업데이트가 잘 이뤄짐)
- GPL 라이센스 ☞ 오픈 소스 라이선스 참조
ㅇ 다양한 플랫폼(리눅스,윈도우즈 등)에서 사용 가능
2. 기능 구분
ㅇ 패킷 캡처 (capture)
- 패킷 캡처, 캡처 파일 저장, 인쇄 등
ㅇ 필터링 (filtering) : 원하는 것 만을 드러내 보이기 위함
- 캡처 필터 (capture filter, 캡처시 작동됨)
- 디스플레이 필터 (display filter, 화면에 보여주는 것에 만 적용됨)
ㅇ 분석기 (dissector) : 패킷 분석 기능
- 패킷 내 프로토콜들을 파싱하고 디코딩하여 화면에 표시
- 알려진 프로토콜에 대해, 비 순서적으로 수신된 전체 스트림을 재조립, 한 곳에서 보게해 줌
ㅇ 기타 기능
- 패킷 캡처 데이터를 열거나, 변환시켜, 저장 가능
. 타 분석툴에 의해 저장된 것도 오픈 가능
- 다양한 통계 생성 등
3. 화면 구성
ㅇ 메뉴 바 (main menu)
- File, Edit, View, Go, Capture, Analyzer, Statisticsm, Telephony, Wireless, Tools, Help
. File : 캡처 파일 열기,합침,닫기 등
. Edit :
ㅇ 메인 툴 바 (main toolbar)
- 자주 사용되는 툴 바 모음
ㅇ 필터 툴 바 (디스플레이 필터)
ㅇ 패킷 목록 창 (packet list pane)
- 패킷별 타임라인 (발신지,목적지 ip 주소 등 간단한 요약 정보)
. No : 패킷 일련번호
. Time : 패킷 캡처 시각
. Source : 패킷의 출발지
. Destination : 패킷의 목적지
. Protocol : 프로토콜 명칭
. Length : 패킷 크기
. info : 최상위 계층의 정보
ㅇ 패킷 세부 사항 창 (packet details pane)
- 하위 트리 섹션 (펼쳐볼 수 있음)
- OSI 계층별로 프로토콜들을 구분하고, 분석한 내용
ㅇ 패킷 바이트 창 (packet bytes pane)
- 패킷의 원시 형태를 보여줌
ㅇ 상태 바 (statusbar)
- 현재 프로그램 상태, 캡처된 데이터 등
4. 캡처 및 필터링
ㅇ 패킷 캡처 드라이버 구동
- 운영체제 제공 소켓을 경유 않고, 직접 패킷 캡처 가능토록 하는 드라이버
- 와이어샤크 보안성 강화를 위해,
. 사용자 권한일 때, 와이어샤크 자체로 만 동작시키며,
. 관리자 권한일 때, NPF(NetGroup Packet Filter Driver) 만 동작시킴이 적절
- (구동) net start npf, (종료) net stop npf
* 패킷 캡처 드라이버
. WinPcap, Npcap (윈도우즈용), libpcap (유닉스/리눅스용)
ㅇ 캡처 필터
- 기본 구문 ☞ BPF 구문 참조
5. 커맨드라인 툴
ㅇ editcap.exe
ㅇ text2pcap.exe
ㅇ mergecap.exe
ㅇ capinfos.exe
ㅇ recordercap.exe
ㅇ tshar.exe
1.
2.
3.
4.
5.
6.
7.
8.