Wireshark manual

과목명 : 사이버 포렌식 실습 지도교수 : 안미정 교수님

학과 : 사이버경찰학과 학번 : 10070012 이름 : 강훈중

Wireshark란??Wireshark는 세계에서 가장 널리 쓰이는 네트워크 분석 프로그램입니다. 매우 강력한 이 프로그램은 네트워크상에서 캡쳐한 데이터에 대한네트워크/상위 레이어 프로토콜의 정보를 제공해줍니다. 다른 네트워크 프로그램처럼, Wireshark는 패킷을 캡쳐하기위해pcap 네트워트 라이브러리를 사용합니다. 다운로드는 http://www.wireshark.org 에서 윈도우 비트 수에 맞춰서 다운이 가능 합니다.

Wireshark의 강점

- 쉬운 설치.

- GUI 인터페이스를 이용한 간단한 사용법.

- 매우 다양한 기능들.

 

Wireshark는 원래 개발자가 근무하던 회사를 떠난 뒤, 저작권 문제로 인해 프로그램의 이름을 변경하

기로 한 2006년까지 Ethereal로 불렸습니다.

 

Wireshark 실행화면

Capture -> Options

네트워크 인터페이스를 선택하고 Start을 클릭합니다.

Wireshark을 실행한 후의 모습.

Start를 누르게 되면 위와 같이 패킷을 보실 수가 있을 겁니다. 만약에 패킷이 안보이고 하

얀 화면만 나오신다면 인터넷 새창을 한번 켜보시면 패킷을 확인 할 수 있을 겁니다.

 

 메뉴설명

File

Open : 저장 된 파일을 열 때 사용한다.

Open Recent : 최근에 열었던 파일을 열 때 사용한다.

Merge…. :  저장되어있는 캡쳐 파일을 하나로 합칠 때 사용한다.

Close : 현재 캡쳐 하고 있는 화면을 닫는다.

Save : 현재 캡쳐 된 파일을 저장한다.

Save as : 현재 캡쳐 된 파일을 다른 이름으로 저장한다.

File Set : 현재 보고 있는 캡쳐 파일의 Filename/Created/Last Modified/Size/ 저장 경로를

볼 수 있다.

Export : 현재 파일을 여러파일로 저장합니다.

Print.. : 출력할 때 사용한다.

Quit : 나가기.

 Edit

 

Find Packet.. : 특정 패킷을 찾을 수 있다.

Find Next : 찾은 패킷의 다음으로 이동한다.

Find Previous : 찾은 패킷의 전으로 이동한다.

Mark packet(toggle) : 특정 패킷을 사용자 임의로 지정할 수 있다.( 복수선택가능)

Find Next Mark : 임의로 지정된 패킷 중 다음 패킷으로 이동한다.

Fine Previous Mark : 임의로 지정 된 패킷 중 이전 패킷으로 이동한다.

Mark All displayed packets : 현재 캡쳐 된 모든 패킷을 마크로지 정한다.

Unmark All Packets : 지정 된 모든 마크패킷을 원상태로 되돌린다.

Ignore Packet(toggle) : 지정된패킷은무시되어어떠한정보도화면에표시되지않는다.

(지정 된 패킷에는 Ignore 라고 표시된다.)

Ignore All Displated Packets : 화면상에 표시된 모든 패킷을 Ignore한다.

Un-Ignore All packets : Ignore 패킷을 원상태로 되돌린다.

Set Time Reference(toggle) : 지정된 패킷을 기준으로 패킷시간을 표시한다.

지정된 패킷에는 *ref* 표시가 생기며, 이 패킷을 0초로하여 다음패킷의 Time을 표시한다.

Find Next Reference : ref로 지정된 패킷의 다음 패킷으로 이동한다.

Find Previous Reference : fef로 지정된 패킷의 이전패킷으로 이동한다.

Configuration Profiles…. : 여러 환경설정 등을 여러 가지 분류로 각 각 저장 할 수 있다.

Preferences.. : 캡쳐 화면이나 윈도우창, 폰트 등을 상세하게 설정 할 수 있다.

 

View

 

Main Toolbar : 바로가기 단축 창을 on/off 할 수 있다.

Filter Toolbar : Filter 창을 on/off 할 수 있다.

Wireless Toolbar : Wireless 창을 on/off 할 수 있다.

Statusbar : 창 아래 보이는 패킷 파일의 대한정보를 on/off 할 수 있다.

Packet List : Packet 보이는 List창을 on/off 할 수 있다.

Packet Details : Packet의 정보를 확인 할 수 있는 창을 on/off 할 수 있다.

Packet Bytes : Packet의 16진수 및 데이터 창을 on/off 할 수 있다.

Time Display format : Packet의 시간정보표시를 임의로 바꿀 수 있다.

Name Resolution : Wireshark가 MAC, Network, Transport address의 프로토콜의 이름풀이

를 on/off 할 수 있다.

Colorize Packet List : 패킷 별 지정해놓은 색상을 on/off 할 수 있다.

Zoom In /Zoom Out : 글씨 크기를 조정 할 수 있다.

Normal Size : 원래 상태의 사이즈로 돌아온다.

Resize All Columns : 현재 사이즈에 맞춰 재배열한다.

Displated Columns : Packet List에 표시할 항목을 선택 할 수 있다.

Expand Subtrees : Packet Details창에 선택된 Packet의 정보를 펼칠 수 있다.

Expand All : Packet Details창의 모든 Packet의 정보를 펼친다.

Collaspse All : Packet Details창의 모든 Packet의 정보를 접는다.

Colorize Conversation : 모든 패킷의 색상을 바꿀 수 있다.

Reset Coloring 1-10 : 1-10에 저장된 패킷색상을 원상태로 되돌린다.

Coloring Rules .. : 패킷에 대한 색상을 임의의 색으로 바꿀 수 있다.

Show Packet in New Window : 선택된 Packet의 Details창과 bytes창을 한 번에 열 수 있

다.

Reload : 패킷의 최상단 패킷으로 이동한다.

 

Go

Back : 이전에 선택된 패킷으로 돌아간다.

Forward : 돌아오기전에선택되었던앞의패킷으로돌아간다.

Go to Packet… : Packet의 앞부분에 Number로 Packet을 찾을 수 있다.

Previous Packet : 선택된패킷을가운데화면으로고정시키고한칸위로이동한다.

Next Packet : 선택된패킷을가운데화면으로고정시키고한칸아래로이동한다.

First Packet : 모든 패킷의 가장 상단패킷으로 이동한다.

Last Packet : 모든 패킷의 가장 하단패킷으로 이동한다.

 

Capture

Interfaces

캡쳐 할 인터페이스를 선택할 수 있다.

Options

 

캡쳐를시작하기전에여러기본적인옵션들을선택할수있다.

Start : 캡쳐를 시작한다.

Stop : 캡쳐를 중지한다.

Restart : 캡쳐를 다시 시작한다.

Capture Filters… : 캡쳐된 Packet중 필터옵션을 설정하여 임의의 Packet만 선택하여 볼 수

있다.

 

Analyze

Display Filters…. : 미리 설정되어있는 Filter Option을 화면에 표시해준다. 사용자는선택하여

적용하거나새로운옵션을만들수있다.

Display Filter Macros… : 여러 긴 문장의 Filter 명령어를 매크로로 지정하여 편하게 쓸 수

있다.

Enabled Protocols… : wireshark가지원하는 Protocol을 확인하고 on/off 할 수 있다.

Decode As…. : 임의의 패킷을 원하는 패킷으로 변경할 수 있다.

User Specified Decodes… : 사용자가 임의로 변경한 Packet을 확인 할 수 있다.

Follow TCP Stream : TCP Packet의 데이터부분만 모아서 보기 쉽게 화면에 표시해준다.

Follow UDP Stream : UDP Packet의 데이터부분만 모아서 보기 쉽게 화면에 표시해준다.

Follow SSL Stream : SSL Packet의 데이터부분만 모아서 보기 쉽게 화면에 표시해준다.

Expert Info : Packet의 Errors, Warnings, Notes, Chats를 한 번에 확인 할 수 있다.

Expert Info Composite : Exper Info 부분의 Packet을 더욱 상세하게 확인 할 수 있다.

 

Statistics

Summary : Wireshark File, Time, Capture, display, Traffic..의 요약을 보여준다.

Protocol Hierarchy : 현재 캡쳐된 Packet의 종류와 전체패킷중의 Packet의 비율을 %로 확인

할 수 있다.

Conversations : 전체 Packet의 흐름을 확인 할 수 있다. (IPv4, IPv6, TCP, UDP등이 어디에

서 어디로 향했는지 한눈에 볼 수 있다.)

Endpoints : 각 Packet의 Rx, Tx신호의 흐름을 한눈에 확인 할 수 있다.

Packet Lengths… :  Filter옵션을 넣으면 그 Filter에 대한 Packet의 길이를 확인 할 수 있다.

IO Graphs : 전체 패킷에 대한 흐름을 그래프로 확인할 수 있다. Filter옵션을 넣어 특정

Packet만 확인 할 수 있다.

Conversation List : 특정 Packet에 대한 흐름을 확인 할 수 있다.

Endpoint List : 특정 Packet의 Rx,Tx신호의 흐름을 한눈에 확인 할 수 있다.

Service Response Time : 보다 정밀한 검사가 가능한 16개의 프로토콜이 제공됩니다.

Flow Graph : 전체 Packet에 대한 흐름을 그래프로 한눈에 확인 할 수 있다.

HTTP : HTTP Protocol과 관련된 Packet중 손실률성공 Packet등을 확인 할 수 있다.

IP Addresses : 임의의 Packet에 대한 IP주소의 개수, 속도, 퍼센트를 확인 할 수 있다.

IP Destinations : 임의의 packet에 대한 도착지 IP주에 대한 개수, 속도, 퍼센트를 확인 할

수 있다.

IP Protocol Types : 임의의 Packet에대한 IP Protocol의  대한개수, 속도, 퍼센트를 확인 할

수 있다.

TCP Stream Graph : TCP Packet에 대한 다양한 그래프를 확인 할 수 있다.

UDP Multicast Streams : 멀티캐스트로사용한 UDP를 확인 할 수 있다.

 

Telphony

Wireshark에서 지원되는 다양한 Telephony의 패킷들을 확인 할 수 있다.

 

단축키

자주 쓰이는 기능들을 손쉽게 쓰기위한 bar. 마우스를 위에 올려놓으면 자세한 정보를 확인

할 수 있다.

 PACKET DETAILS PANE

packet list 패널은 캡쳐된 모든 패킷을 보여줍니다. Source/destination MAC/IP 주소, TCP

/UDP 포트 번호, 프로토콜, 패킷 내용 등의 정보를 얻을 수 있다.

 

PACKET DETAILS PANE

Packet Details 화면은 패킷을 Wireshark가 스스로 정리하여 모든 패킷의 상세 정보를 자세

히 볼 수 있다.

DISSECTOR PANE

packet bytes 패널 이라고도 하는 dissector 패널은 packet details 패널과 내용은 같지만 데

이터를 16진수로 나타내 준다.

필터CAPTURE FILTERS

         

Protocol:

사용 가능한 값: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.

프로토콜을 지정하지 않으면 모든 프로토콜을 사용한다.

Direction:

사용 가능한 값: src, dst, src and dst, src or dst

출발지나 목적지를 지정하지 않으면 "src or dst" 키워드가 사용된다.

예를 들어, "host 10.2.2.2"은 "src or dst host 10.2.2.2"과 동일하다.

Host(s):

사용 가능한 값: net, port, host, portrange.

호스트를 지정하지 않으면 "host" 키워드가 사용된다.

예를 들어, "src 10.1.1.1"은 "src host 10.1.1.1"과 같은 의미다.

Logical Operations:

사용 가능한 값: not, and, or.

부정 연산("not")이 가장 높은 우선순위를 갖습니다. 논리합("or")과 논리곱("and")는 같은 우

선순위를 가지며 왼쪽에서 오른쪽으로 처리된다.

예를 들어,

"not tcp port 3128 and tcp port 23"은 "(not tcp port 3128) and tcp port 23"과 동일하게

작용한다.

"not tcp port 3128 and tcp port 23" 은 "not (tcp port 3128 and tcp port 23)"과는 동일

하지 않다.

 

사용 예:

tcp dst port 3000

목적지가 TCP 포트 3000인 패킷을 보여준다.

ip src host 1.1.1.1

출발지 IP 주소가 1.1.1.1인 패킷을 보여준다.

host 10.1.2.3

출발지와 목적지 IP 주소가 10.1.1.1인 패킷을 보여준다.

src host 10.7.2.12 and not dst net 10.200.0.0/16

출발지 IP 주소가 10.7.2.12이면서, 목적지 IP 네트워크가 10.200.0.0/16이 아닌 패킷을 보여

준다.

 DISPLAY FILTERS

display 필터는 캡쳐된 데이터에서 원하는 정보를 찾을 때 사용한다.

display 필터의 검색 능력은 capture 필터 보다 더 뛰어납니다. 그리고 필터의 내용을 바꾸

고 싶을 때 캡쳐 작업을 다시 시작하지 않아도 된다.

Protocol:

OSI layer 2에서 layer 7 사이에 있는 매우 다양한 프로토콜을 사용 할 수 있습니다. 그것들

은 메인 화면에 보이는 "Expression..." 버튼을 클릭하면 볼 수 있다.

비교 연산자:

6개의 비교 연산자를 사용 할 수 있다.

snmp || dns || icmp : SNMP 혹은 DNS 혹은 ICMP 트래픽을 보여준다.

논리 표현 식:

사용 예:

ip.addr == 10.1.1.1 : 출발지나 목적지의 IP 주소가 10.1.1.1인 패킷을 보여준다.

통계화면의 상단에 있는 "statistics"을 클릭하면 다양한 통계자료를 볼 수 있다.protocol hierarchy창에서는 각 OSI layer별로 세부적인 데이터를 확인 할 수 있다. 

 Conversations

TCP/IP어플리케이션이나 프로토콜을 사용한다면, Ethernet, IP, TCP, UDP 의conversations 을

위한 4개의 탭이 활성화 된 것을 볼 수 있다. "conversation"이란 두 호스트 사이의 트래픽

을 말한다. 각 탭의 프로토콜 명 옆에 있는 숫자는 conversation의 수를 나타낸다.

 

Ethernet conversations:

 TCP conversations:

 

UDP conversations:

Endpoints

Endpoints 창은 각 장치 별로 주고받은 데이터에 대한 통계 정보를 보여준다.

탭에서 프로토콜 이름 옆에 있는 숫자는 endpoints의 수를 나타냅니다.

(화면구성은 Conversations와 동일하고 표시되는 내용만 다르다.)

 

Packet Length

패킷의 수와 속도비율을 보여준다.

IO Graphs

각 Packet별 사용자가 보기 편하게 실시간 그래프로 나타내어 준다.

Filter옵션으로 한눈에 Packet의 양을 보기 쉽게 확인 할 수 있습니다.

Flow Graph

"Flow Graph" 섹션은 TCP 연결흐름을 한눈에 확인 할 수 있다.

처음 세 줄은 TCP 연결이 "SYN", "SYN ACK", "ACK"의 순서로 만들어지는 것을 보여준다.

 HTTP

HTTP (Hypertext Transfer Protocol)는 HTML 파일을 전송하기 위한 클라이언트/서버간 통신

프로토콜이다.

대부분의 웹 브라우저 사용자인 HTTP 클라이언트는 파일을 찾기 위해 HTTP request을

"URL"과 함께 웹 서버에보냅니다. 그리고 웹 서버는 HTTP reponse을 통해 그에 대한 응답

을 하고, 클라이언트가 원하는 웹 페이지를 보여준다.

 

"HTTP" 아래 세가지 하위 섹션이 존재한다.

- Load Distribution

- Packet Counter

- Requests

 

Load distribution:

 

Packet Counter:

HTTP 요청과 응답을 보여줍니다.

Requests:

웹 서버에서 요청 받은 파일들을 보여준다.

IP address

네트워크 패킷의 출발지 IP주소를 보여준다.

IP destinations

"Destinations" 섹션은 네트워크 패킷의 모든 목적지 IP 주소를 보여준다.

IP Protocol Types

TCP나 UDP 포트의 통계 정보를 보여준다.

출처 http://blog.naver.com/PostView.nhn?blogId=ssecurity&logNo=150106884041&parentCategoryNo=&categoryNo=&viewDate=&isShowPopularPosts=false&from=postView

이번 과제를 하면서 wireshark가 패킷 분석에 엄청난 도움이 되는 프로그램이라는 걸 다시 한 번 느끼게 되었습니다. 위에 출처에 블로그가 너무 잘되 있어서 설명을 보고 매뉴얼에 대한 실습을 해보면서 사용법에 조금은 익숙해지고 이해도 된 것 같습니다.프로그램의 매뉴얼이 대부분 영어라서 많이 사용해보지 않으면 익숙해지기 어려워 수업시간에 실습하는데 어려움이 있었는데 이번 과제가 큰 도움이 된거 같습니다.