알 수있는 것
- Wireshark는 네트워크에서 앞뒤로 이동하는 데이터를 캡처하고 표시하는 오픈 소스 애플리케이션입니다.
- 드릴 다운하여 각 패킷의 내용을 읽을 수 있기 때문에 네트워크 문제를 해결하고 소프트웨어를 테스트하는 데 사용됩니다.
이 문서의 지침은 Windows 및 Mac 용 Wireshark 3.0.3에 적용됩니다.
Wireshark는 무엇입니까?
원래 Ethereal로 알려진 Wireshark는 모든 주요 네트워크 유형에서 수백 가지 프로토콜의 데이터를 표시합니다. 데이터 패킷은 실시간으로 보거나 오프라인으로 분석 할 수 있습니다. Wireshark는 CAP 및 ERF를 포함한 수십 개의 캡처 / 추적 파일 형식을 지원합니다. 통합 된 암호 해독 도구는 WEP 및 WPA / WPA2를 포함한 여러 공통 프로토콜에 대해 암호화 된 패킷을 표시합니다.
Wireshark 다운로드 및 설치 방법
Wireshark는 macOS 및 Windows 용 Wireshark Foundation 웹 사이트에서 무료로 다운로드 할 수 있습니다. 최신 안정 릴리스와 현재 개발 릴리스를 볼 수 있습니다. 고급 사용자가 아니라면 안정 버전을 다운로드하십시오.
:max_bytes(150000):strip_icc()/001_wireshark-tutorial-4143298-52d1294a66f64810b14dbfc6fdbe00de.jpg)
Windows 설치 프로세스 중에 설치를 선택하십시오. WinPcap or Npcap 이러한 메시지가 표시되면 라이브 데이터 캡처에 필요한 라이브러리가 포함됩니다.
:max_bytes(150000):strip_icc()/001-wireshark-tutorial-4143298-8944764352c445c89af8571085055965.jpg)
Wireshark를 사용하려면 장치에 관리자로 로그인해야합니다. Windows 10에서 Wireshark를 검색하고 관리자 권한으로 실행. macOS에서 앱 아이콘을 마우스 오른쪽 버튼으로 클릭하고 정보 얻으. 에서 공유 및 권한 설정, 관리자에게 제공 읽기 및 쓰기 특권.
:max_bytes(150000):strip_icc()/002-wireshark-tutorial-4143298-09827053b9cd4445ac165d68a0039808.jpg)
이 애플리케이션은 Linux 및 Red Hat, Solaris 및 FreeBSD를 포함한 기타 UNIX 계열 플랫폼에서도 사용할 수 있습니다. 이러한 운영 체제에 필요한 바이너리는 다음의 Wireshark 다운로드 페이지 하단에서 찾을 수 있습니다. 타사 패키지 부분. 이 페이지에서 Wireshark의 소스 코드를 다운로드 할 수도 있습니다.
Wireshark로 데이터 패킷을 캡처하는 방법
Wireshark를 시작하면 시작 화면에 현재 장치에서 사용 가능한 네트워크 연결이 나열됩니다. 각각의 오른쪽에는 해당 네트워크의 실시간 트래픽을 나타내는 EKG 스타일의 선 그래프가 표시됩니다.
Wireshark로 패킷 캡처를 시작하려면 :
-
하나 이상의 네트워크를 선택하고 메뉴 표시 줄로 이동 한 다음 포착.
여러 네트워크를 선택하려면 변화 키를 선택하십시오.
:max_bytes(150000):strip_icc()/003-wireshark-tutorial-4143298-024370e017284dc0a251f91a3566cf06.jpg)
-
에서 Wireshark 캡처 인터페이스 창에서 선택 스타트.
패킷 캡처를 시작하는 다른 방법이 있습니다. 선택 상어 지느러미 Wireshark 도구 모음의 왼쪽에서Ctrl 키 + E을 클릭하거나 네트워크를 두 번 클릭합니다.
:max_bytes(150000):strip_icc()/004-wireshark-tutorial-4143298-3db6aeba8777467c8fc3e42ac304f3f6.jpg)
-
고르다 입양 부모로서의 귀하의 적합성을 결정하기 위해 미국 이민국에 > 다른 이름으로 저장 또는 선택 수출 캡처를 기록하는 옵션.
:max_bytes(150000):strip_icc()/005-wireshark-tutorial-4143298-c60e3bb4537a4615b8326d5ff8550407.jpg)
-
캡처를 중지하려면 Ctrl 키 + E. 또는 Wireshark 툴바로 이동하여 빨간색 중지 상어 지느러미 옆에있는 버튼입니다.
:max_bytes(150000):strip_icc()/006-wireshark-tutorial-4143298-016d2b41501149d994d0d9e78239d964.jpg)
패킷 내용을보고 분석하는 방법
캡처 된 데이터 인터페이스에는 세 가지 주요 섹션이 있습니다.
- 패킷 목록 창 (상단 섹션)
- 패킷 세부 정보 창 (가운데 섹션)
- 패킷 바이트 창 (하단 섹션)
:max_bytes(150000):strip_icc()/008_wireshark-tutorial-4143298-7fc1de4be4e746278f59f2179a453528.jpg)
패킷 목록
창 상단에있는 패킷 목록 창에는 활성 캡처 파일에서 찾은 모든 패킷이 표시됩니다. 각 패킷에는 다음과 같은 각 데이터 포인트와 함께 자체 행과 해당 번호가 할당됩니다.
- 아니:이 필드는 동일한 대화의 일부인 패킷을 나타냅니다. 패킷을 선택할 때까지 비어 있습니다.
- 시간: 패킷이 캡처 된 시간 소인이이 열에 표시됩니다. 기본 형식은이 특정 캡처 파일이 처음 생성 된 이후의 초 또는 부분 초입니다.
- 출처: 이 열에는 패킷이 시작된 주소 (IP 또는 기타)가 포함됩니다.
- 목적지: 이 열에는 패킷이 전송되는 주소가 포함됩니다.
- 프로토콜 : TCP와 같은 패킷의 프로토콜 이름은이 열에서 찾을 수 있습니다.
- 길이: 패킷 길이 (바이트)가이 열에 표시됩니다.
- 정보 : 패킷에 대한 추가 세부 정보는 여기에 제공됩니다. 이 열의 내용은 패킷 내용에 따라 크게 다를 수 있습니다.
시간 형식을 더 유용한 것으로 변경하려면 (예 : 실제 시간) 보기 > 시간 표시 형식.
:max_bytes(150000):strip_icc()/007-wireshark-tutorial-4143298-ac0e56f1a0984c1b93a91b1641c7fe88.jpg)
상단 창에서 패킷을 선택하면 하나 이상의 기호가 아니. 기둥. 열리거나 닫혀있는 괄호와 곧은 수평선은 패킷 또는 패킷 그룹이 네트워크에서 동일한 전후 대화의 일부인지 여부를 나타냅니다. 점선은 패킷이 대화의 일부가 아님을 나타냅니다.
:max_bytes(150000):strip_icc()/008-wireshark-tutorial-4143298-13534b80059945e88759286cb3338360.jpg)
패킷 세부 정보
가운데에있는 세부 정보 창에는 선택한 패킷의 프로토콜 및 프로토콜 필드가 축소 가능한 형식으로 표시됩니다. 각 선택을 확장하는 것 외에도 특정 세부 정보를 기반으로 개별 Wireshark 필터를 적용하고 원하는 항목을 마우스 오른쪽 버튼으로 클릭하여 프로토콜 유형에 따라 데이터 스트림을 따를 수 있습니다.
:max_bytes(150000):strip_icc()/009-wireshark-tutorial-4143298-490a6676280b43cd900557647ff9e92d.jpg)
패킷 바이트
하단에는 선택한 패킷의 원시 데이터를 16 진수보기로 표시하는 패킷 바이트 창이 있습니다. 이 16 진 덤프에는 데이터 오프셋과 함께 XNUMX 개의 XNUMX 진 바이트와 XNUMX 개의 ASCII 바이트가 포함됩니다.
이 데이터의 특정 부분을 선택하면 패킷 세부 정보 창에서 해당 섹션이 자동으로 강조 표시되며 그 반대의 경우도 마찬가지입니다. 인쇄 할 수없는 바이트는 마침표로 표시됩니다.
:max_bytes(150000):strip_icc()/010-wireshark-tutorial-4143298-9b5ba526d6e54f8bb3ac49eaea6d08fa.jpg)
이 데이터를 XNUMX 진수가 아닌 비트 형식으로 표시하려면 창 내의 아무 곳이나 마우스 오른쪽 단추로 클릭하고 비트로.
:max_bytes(150000):strip_icc()/011-wireshark-tutorial-4143298-0b7390128b5a47c38aca851eeed120b5.jpg)
Wireshark 필터를 사용하는 방법
캡처 필터는 지정된 기준을 충족하는 패킷 만 기록하도록 Wireshark에 지시합니다. 특정 패킷 만 표시되도록 생성 된 캡처 파일에 필터를 적용 할 수도 있습니다. 이를 디스플레이 필터라고합니다.
Wireshark는 기본적으로 많은 사전 정의 된 필터를 제공합니다. 이러한 기존 필터 중 하나를 사용하려면 디스플레이 필터 적용 Wireshark 도구 모음 아래 또는 캡처 필터 입력 시작 화면 중앙에있는 필드.
예를 들어, TCP 패킷을 표시하려면 다음을 입력하십시오. TCP. Wireshark 자동 완성 기능은 입력을 시작할 때 제안 된 이름을 표시하므로 찾고있는 필터에 대한 올바른 모니 커를 더 쉽게 찾을 수 있습니다.
:max_bytes(150000):strip_icc()/012-wireshark-tutorial-4143298-5e45505c0f434a9ba2d3a8f70a850617.jpg)
필터를 선택하는 또 다른 방법은 북마크 입력 필드의 왼쪽에 있습니다. 고르다 필터 표현식 관리 or 디스플레이 필터 관리 필터를 추가, 제거 또는 편집합니다.
:max_bytes(150000):strip_icc()/013-wireshark-tutorial-4143298-f169e33e47ba4aafb336b9d47029867d.jpg)
입력 필드 오른쪽에있는 아래쪽 화살표를 선택하여 기록 드롭 다운 목록을 표시하여 이전에 사용한 필터에 액세스 할 수도 있습니다.
:max_bytes(150000):strip_icc()/014-wireshark-tutorial-4143298-f09d24778ff94ff29a2bbd3ee883fc4c.jpg)
캡처 필터는 네트워크 트래픽 기록을 시작하는 즉시 적용됩니다. 표시 필터를 적용하려면 입력 필드 오른쪽에있는 오른쪽 화살표를 선택합니다.
Wireshark 색상 규칙
Wireshark의 캡처 및 디스플레이 필터는 화면에 기록되거나 표시되는 패킷을 제한하지만 색상 화 기능은 한 단계 더 발전합니다. 개별 색상에 따라 다양한 패킷 유형을 구분할 수 있습니다. 이렇게하면 패킷 목록 창에서 행 색상별로 저장된 집합 내에서 특정 패킷을 빠르게 찾습니다.
:max_bytes(150000):strip_icc()/wireshark-colors-59512e8f3df78cae8137715b.png)
Wireshark에는 약 20 개의 기본 색상 규칙이 제공되며 각 규칙은 편집, 비활성화 또는 삭제할 수 있습니다. 고르다 보기 > 채색 규칙 각 색상의 의미에 대한 개요는 고유 한 색상 기반 필터를 추가 할 수도 있습니다.
:max_bytes(150000):strip_icc()/015-wireshark-tutorial-4143298-91567e80185c4f16bfc46f6793c0301a.jpg)
고르다 보기 > 색상 화 패킷 목록 패킷 색상 화를 켜고 끕니다.
Wireshark의 통계
다른 유용한 측정 항목은 통계 드롭 다운 메뉴. 여기에는 캡처 파일에 대한 크기 및 타이밍 정보와 함께 패킷 대화 분석에서 HTTP 요청의로드 분산에 이르기까지 다양한 주제의 차트 및 그래프가 포함됩니다.
:max_bytes(150000):strip_icc()/020__wireshark-tutorial-4143298-24bfe8984431438b9ba2ec43f701607d.jpg)
디스플레이 필터는 인터페이스를 통해 이러한 많은 통계에 적용 할 수 있으며 결과는 CSV, XML 및 TXT를 포함한 일반적인 파일 형식으로 내보낼 수 있습니다.
Wireshark 고급 기능
Wireshark는 또한 Lua 프로그래밍 언어로 프로토콜 해부를 작성하는 기능을 포함한 고급 기능을 지원합니다.