반응형

 

 

 

안녕들 하시죠 !

 

이번시간에는 Wireshark에 대해 알아보겠습니다.

 

 

Wirshark 란?

 

와이어샤크는 네트워크 패킷을 캡처하고 분석하는 오픈소스 도구이다.

처음엔 ' Ethereal ' 이라는 이름으로 나왔다가 이후에 상표문제로 ' Wireshark '로 바뀌었다.

강력하고 쉬운 사용법때문에 해킹뿐만 아니라 보안 취약점 분석, 보안 컨설팅, 개인정보 영향평가 등 여러 분야에서 폭 넓게 사용된다.

 

Wireshark 기본 작동 개념

 

 

같은 네트워크 구간의 Noel과 Susan은 이메일이나 메신저 등을 통해 대화를 주고받는다.

여기에서 Wireshark를 사용하는 제3자는 이 둘 사이의 네트워크로 돌아다니는 패킷( 네트워크상의 데이터 )을 수신하여 저장한다.

이때, PCAP이라는 파일 포맷으로 저장된다.

PCAP 은 Packet Capture의 약자로 네트워크 트래픽을 캡처하는 API구성이다.

Wireshark는 자체 프로그램으로 네트워크 트래픽을 캡처하는 것이 아니고, 운영체제에서 지원하는 캡처 라이브러리를 이용하여 수집한다.

유닉스 : libpcap

윈도우 : Winpcap

 

Wireshark 설치

 

Kali Linux 사용자의 경우 기본적으로 설치가 되어있다.

window 사용자의 경우 wireshark 홈페이지에서 무료로 다운받아 사용이 가능하다.

https://www.wireshark.org/

 

1. 홈페이지에서 다운 후 실행

 

 

본인 운영체제에 맞게 다운받으시면 됩니다.

 

 

2. 설치 진행

 

 

 

 

 

 

 

3. Winpcap 설치

 

위의 과정을 마치고 나면 winpcap 설치가 진행됩니다.

 

 

 

 

Wireshark 인터페이스

 

윈도우 환경에서 wireshark를 실행시켜보겠습니다.

 

 

제 환경에서는 와이어샤크가 자동으로 Wi-Fi 인터페이스를 찾아놨습니다.

보통은 이더넷 이라고 뜰껀데 더블클릭해주시면 실행됩니다.

우선 간단한 인터페이스 기능을 알고가겠습니다.

 

 

: 시작

: 종료

: 다시시작

 

: 호스트 간에 주고받은 패킷을 나열해 놓는 부분

 

No. : 패킷이 수집된 순서를 나타냄

Time : 패킷이 수집된 시간을 나타냄

Source ( 패킷을 보낸 주소 ) ↔ Destination ( 패킷이 도착한 주소 )

Protocol : 패킷 프로토콜 정보

Length : 패킷의 길이

info : 패킷의 상세 정보

 

: ④에서 주고받은 패킷의 내부 헤더 정보, 즉 이 패킷들을 어떤 규칙이나 전송 기준으로 주고받았는지를 보여준다

: 실제 주고받은 내용을 16진수로 보여준다

 

 

 

 

이제 제 PC에서 cmd창에 들어가 google.com으로 ping 명령어를 사용해보겠습니다.

ping google.com

 

 

주황색 하이라이트 부분을 집중해서 보시면 될 것 같습니다.

4231라인을 보시면 ICMP 프로토콜을 사용해 출발지인 제 IP ( 192.168.0.13 ) 도착지인 구글 IP ( 216.58.197.238 ) 로 

request를 보내고있네요.

cmd창을 보면 4번 ping을 보내는데 wireshark창을 보게되면 request 4번 reply 4번 총 8번의 교환이 있었네요.

 

* ICMP ( Internet Control Message Protocol ) 란?

 

인터넷 제어 메시지 프로토콜로서 보통은 오류 메시지를 전송하는데에 쓰이며 인터넷 프로토콜 주요 구성원 중 하나이다.

송신 시스템과 수신 시스템 사이의 패킷을 최적의 경로를 통해 전달하는 역할을 한다.

 

Wireshark 필터링

 

와이어샤크를 사용하다보면 실시간으로 수 많은 패킷을 수집하기 때문에 내가 원하는 패킷을 찾기가 힘듭니다.

그런 문제점을 극복하기위해 필터링 기법에 대해 알아보겠습니다.

 

 

와이어샤크 상단 부분을 보면 apply a display filter 라는 부분이 있습니다.

그곳에 필터링 문법을 적고 엔터를 입력하면 됩니다.

 

예를 들어 ip.addr == 192.168.0.13 이라고 입력하게되면 제 Ip ( 192.168.0.13 ) 에만 해당하는 내용이 나오게됩니다.

 

사용 예)

 

tcp dst port 8888 // 목적지가 tcp 8888 포트인 패킷

ip src host 192.168.0.13 // 출발지 IP 주소가 192.168.0.13인 패킷

not icmp // icmp가 아닌것 모두 검색

eth.addr == 28:16:ad:00:33:04 // 출발지나 도착지 MAC주소로 검색

 

등등 수많은 문법들이 있으니 필요할 때 구글링을 통해 사용하면 될 것 같습니다.

 

오늘은 여기까지입니다 감사합니다 !

 

 

 

참고서적 이상한 「웹해킹 입문」 프리렉(2016) p135~142

'Network' 카테고리의 다른 글

IPS & IDS  (0) 2018.12.09
Wireshark 패킷 스니핑  (0) 2018.11.18
네트워크 스캐닝 / WPScan  (0) 2018.11.09
네트워크 해킹  (0) 2018.11.09
TCP & UDP & 3,4 Way HandShaking  (0) 2018.11.06

+ Recent posts