- 웹서핑, FTP, 이메일, 인터넷 전화 등 실제로 인터넷에서 어떠한 형태로 전달되는지 확인할 수 있게 도움을 주는 도구 → Wireshark
패킷을 분석할 수 있다.
패킷을 확보하는 것 → 캡처(수집)
네트워크 분석(프로토콜 분석)
- 스니핑
- 네트워크의 통신 내용을 도청하는 행위
- 패킷 분석기, Lan 분석기 or 패킷 스니퍼를 사용하여 네트워크를 통하여 전달되는 트래픽의 내용을 캡처하는 기능을 갖는 SW or HW
- 또는 프로토콜 분석기
- 특정 유형의 네트워크에서는 이더넷 스니퍼 or 무선 스니퍼
- Wireshark를 활용하면..
- 성능에 따른 문제점 파악
- 침해당한 시스템의 흔적 찾아내기
- 오동작하는 응용 프로그램이나 네트워크 과부화 문제의 원인 파악
네트워크 전문가가 되는 방법?
- TCP/IP 통신 프로토콜의 이해
- 와이어샤크 사용법
- 패킷 구조와 패킷 흐름
1. 패킷 분석기
- 네트워크를 통해 전달되는 패킷을 캡처하여 그 내용을 화면에 나타내주는 소프트웨어이다.
- 패킷 분석기에는 상용과 무료가 있다.
- 대부분 정보기기의 케이블과 같은 전송매체로 연결한 근거리 통신망에 사용되는 분석 도구이다.
- 즉 네트워크 분석도구
- LAN 케이블을 따라 전달되는 전자기 신호를 데이터로 캡처하여 패킷의 내용을 볼 수 있다.
- LAN 케이블을 따라 전송되는 전자기 신호로 데이터를 획득하는 것
- 패킷 캡처
- 획득한 패킷의 의미 확인
- 덤프 분석
- 환경에 따라 자신의 컴퓨터 이외의 신호, 즉 타인의 통신이나 네트워크 전체의 통신 패킷으로 캡처할 수 있다.
- 그러나 다른 한편으로 타인의 통신을 도청하여 통신 내용을 몰래 알 수도 있다.
1.1 패킷 분석기의 종류
하드웨어 분석기
- 들고 다닐 수 있는 휴대형으로 액정화면과 네트워크에 접속하기 위한 연결구가 달려있다.
- 주로 네트워크에 트러블이 발생할 때 직접 현장에 가지고 가서 트러블을 해결하기 위해 사용
소프트웨어 분석기
- 노트북이나 서버에 설치하여 컴퓨터의 네트워크 인터페이스 카드를 이용하여 네트워크에 접속
- 상용과 무료가 존재
- 상용은 통계 기능, 보고 기능, 임게치 설정 기능이 존재
2. 와이어샤크 개요
- 와이어샤크는 근거리 통신망에서 전달되는 패킷을 분석하는 도구
- 제너럴 콤즈가 개발한 LAN 분석기
- 오픈소스 어플이며 누구나 자유롭게 자신의 PC나 노트북에 설치하여 사용할 수 있다.
2.1 와이어샤크의 용도
- 패킷을 캡처해서 TCP/IP 프로토콜을 이해하는데 활용하고자 한다.
- 그외에 네트워크 트러블 해결, 보안 문제 확인/해결, 디버그 확인 등 존재..
2.2 와이어 샤크의 주요 기능
- 대부분의 운영체제를 지원
- 실시간 패킷 데이터를 캡처 가능
- 패킷에 대한 프로토콜 정보를 자세하게 보여줌
- 캡처된 패킷 데이터를 열거나 저장 가능
- 다른 패킷 분석기가 획득한 패킷 캡처 데이터를 변환하여 읽거나 출력 가능
- 여러 조건으로 패킷을 제한해서 검색 가능
- LAN, 블루투스, USB 등 다양한 네트워크 유형의 트래픽을 캡처 할 수 있다.
2.3 와이어샤크의 장점
- 패킷의 내용을 자세하게 보여주는 것과 패킷 해석
- 버전 업이 자주 이루어짐
2.4 와이어샤크의 취약 분야
- 상용 LAN 분석기에 비해 통계 기능이나 보고 기능, 임게치 기능이 비교적 약하다고 할 수 있다.
- 와이어 샤크는 침입탐지시스템으로 개발된 것이 아니어서 네트워크의 변화를 감지하고 화면에 경고 메시지를 나타내거나 관리자에게 메일을 보낼 수 없다
2.5 와이어샤크의 버전 업
- 4 ~ 8주에 한번씩 업데이트를 한다.
2.6 와이어샤크의 안정판과 과거 안정판 버전
- 두 개의 버전으로 나눠져있고 안정판을 사용하는게 좋다
3. 와이어샤크에서 패킷을 캡처/처리하는 방법
-
- 기본 개념
- 와이어샤크: 네트워크 패킷을 실시간으로 캡처하고 분석하는 도구
- 패킷 캡처 드라이버가 실제 패킷을 수집하는 역할
-
- 주요 패킷 캡처 방식
- 네트워크 카드가 자신에게 오지 않은 패킷까지도 모두 캡처
- NIC가 모든 패킷을 수신할 수 있게 됨
- 컴퓨터를 네트워크에 연결하기 위한 하드웨어 장치(Network Interface Card)
-
- 운영체제별 캡처 인터페이스
- Npcap (Windows용 패킷 캡처 드라이버)
- libPcap (UNIX/Linux용 패킷 캡처 드라이버)
- AirPcap (무선용 패킷 캡처 드라이버
-
- 패킷 처리 과정
- dumpcap: 실제 패킷 캡처 담당
- Wiretap Library: 다양한 파일 형식 지원
- Core Engine: 패킷 분석 및 필터링 (Berkeley Packet Filtering)
- GTK: 사용자 인터페이스 제공
-
- 핵심 기능
- 실시간 패킷 캡처
- 다양한 프로토콜 분석
- 패킷 필터링 및 검색
- 여러 파일 형식 지원
3.1 해석기, 플러그인 및 디스플레이 필터
해석기(Dissector)의 역할
- 해독기라고도 함
- 플러그인과 디스플레이 필터를 통해 패킷을 상세히 분석
- 들어오는 트래픽에 대해 작동
패킷 해석 과정
- 먼저 프레임 유형을 확인 (예: 이더넷)
- 프레임 헤더 내용을 세분화하여 해석
- 계층별 분석:
- 이더넷 헤더: 유형 필드 값 0x0800 → IP 패킷임을 인식
- IP 해석기가 IP 헤더의 프로토콜 필드 확인
- 값이 0x06(TCP)이면 → TCP 해석기로 전달
핵심: 각 프로토콜마다 전용 해석기가 있어서 계층별로 순차적 분석
3.2 그래픽 툴킷
GIMP(GNU Image Manipulation Program) 그래픽 툴킷
- 와이어샤크의 사용자 인터페이스(GUI) 제공
- 하나의 플랫폼에서 동작하는 와이어샤크 ≠ 다른 플랫폼용 시스템
- 별도 인터페이스 요구 시 GTK+ 정보는 www.gtk.org 참조
4. 와이어샤크 정보
- 와이어샤크 공식 옴페이지
- 와이어샤크의 Wiki
- 샘플 캡쳐
- 와이어샤크 추적 파일
- 와이어샤크의 FAQ 페이지
- 와이어샤크의 메일링리스트
- Protocols.com 등등.. 존재
5. 와이어샤크 설치와 실행
- 다운로드 사이트 접속 https://www.wireshark.org/download.html
- Windows x64 Installer 클릭(윈도우만)
5.2 와이어샤크 설치
5.3 설치 확인과 시작
- cd C:\Program Files\Wireshark
- 이거 되면 설치된거입니다.
- dir *.exe
- 파일 쫘자작 뜨면 있는겁니다.
- dhcp
6. 와이어샤크 사용자 인터페이스
- 시작 버튼만 압시다…^^/////
- DHCP를 활용하여 직접 정보를 찾아봅시다 한 번!
'CS 공부 > 네트워크' 카테고리의 다른 글
| Wireshark로 배우는 컴퓨터네트워크 [5장 IP 주소] (0) | 2025.05.31 |
|---|---|
| Wireshark로 배우는 컴퓨터네트워크 [4장 IP 주소] (0) | 2025.05.31 |
| Wireshark로 배우는 컴퓨터네트워크 [3장 네트워크층 개요] (0) | 2025.05.31 |
| Wireshark로 배우는 컴퓨터네트워크 [2장 OSI 모델과 TCP/IP 프로토콜] (0) | 2025.05.25 |
| Wireshark로 배우는 컴퓨터 네트워크 [1장 개요] (0) | 2025.05.25 |