Windows에서 Wireshark를 사용하는 방법. Wireshark를 사용하는 방법? 트래픽 분석

08.08.2020

가끔 인터넷을 사용하다 보면 트래픽이 누출되거나 예상치 못한 시스템 리소스 소모가 발생하는 상황이 발생합니다. 문제의 원인을 신속하게 분석하고 탐지하기 위해 특별한 네트워크 도구가 사용됩니다. 그 중 하나인 WireShark가 기사에서 논의될 것입니다.

일반 정보

WireShark를 사용하기 전에 해당 범위, 기능 및 특징을 숙지해야 합니다. 간단히 말해서, 이 프로그램을 사용하면 유선 및 무선 네트워크 연결에서 실시간으로 패킷을 캡처할 수 있습니다. 이더넷, IEEE 802.11, PPP 및 유사한 프로토콜에 사용됩니다. VoIP 통화 트래픽 차단을 사용할 수도 있습니다.

이 프로그램은 GNU GPL 라이센스에 따라 배포됩니다. 즉, 무료이며 오픈 소스입니다. 많은 Linux 배포판, MacOS에서 실행할 수 있으며 Windows 운영 체제용 버전도 있습니다.

WireShark를 사용하는 방법?

먼저 시스템에 먼저 설치해야 합니다. 가장 일반적으로 사용되는 Linux 배포판 중 하나가 Ubuntu이므로 모든 예제가 Ubuntu에 표시됩니다.

설치하려면 콘솔에 다음 명령을 입력하세요.

sudo apt-get 설치 wireshark

그 후 프로그램이 기본 메뉴에 나타납니다. 거기에서 시작할 수 있습니다. 그러나 슈퍼유저 권한이 필요하므로 터미널에서 이 작업을 수행하는 것이 더 좋습니다. 이는 다음과 같이 수행할 수 있습니다.

모습

이 프로그램에는 편리한 그래픽 인터페이스가 있습니다. 사용자는 세 부분으로 나누어진 친근한 창을 보게 될 것입니다. 첫 번째는 캡처와 직접적인 관련이 있고, 두 번째는 파일 및 샘플 열기와 관련이 있으며, 세 번째는 도움말 및 지원입니다.

캡처 블록에는 캡처에 사용할 수 있는 네트워크 인터페이스 목록이 포함되어 있습니다. 예를 들어 eth0을 선택하고 시작 버튼을 클릭하면 차단 프로세스가 시작됩니다.

가로채는 데이터가 있는 창도 논리적으로 여러 부분으로 나뉩니다. 상단에는 다양한 요소가 포함된 제어판이 있습니다. 다음은 패키지 목록입니다. 표 형태로 제시되어 있습니다. 여기에서 패키지의 순서 번호, 차단된 시간, 전송 및 수신 주소를 확인할 수 있습니다. 사용된 프로토콜, 길이 및 기타 유용한 정보에 대한 데이터를 제거할 수도 있습니다.

목록 아래에는 선택한 패키지의 기술 데이터 내용이 포함된 창이 있습니다. 그리고 더 낮은 곳에는 16진수 형태로 표시됩니다.

데이터를 더 쉽게 읽을 수 있도록 각 보기를 더 큰 창으로 확장할 수 있습니다.

필터 적용

프로그램이 실행되는 동안 수십, 심지어 수백 개의 패킷이 항상 사용자 앞으로 전달됩니다. 수동으로 제거하는 것은 매우 어렵고 시간이 많이 걸립니다. 따라서 공식 WireShark 지침에서는 필터 사용을 권장합니다.

프로그램 창에는 필터라는 특수 필드가 있습니다. 필터를 보다 정확하게 구성하기 위해 표현식 버튼이 있습니다.

그러나 대부분의 경우 표준 필터 세트로 충분합니다.

ip.dst — 패킷 대상 IP 주소;
ip.src — 보낸 사람 주소;
ip.addr - 아무 IP나 가능합니다.
ip.proto - 프로토콜.

WireShark에서 필터 사용 - 지침

프로그램이 필터와 어떻게 작동하는지 시험해 보려면 특정 명령을 입력해야 합니다. 예를 들어, ip.dst == 172.217.23.131과 같은 세트는 Google 웹사이트로 이동하는 모든 패킷을 표시합니다. 들어오고 나가는 모든 트래픽을 보려면 두 가지 공식을 결합하면 됩니다. ip.dst == 172.217.23.131 || ip.src == 172.217.23.131. 따라서 한 줄에 두 가지 조건을 동시에 사용하는 것으로 나타났습니다.

ip.ttl과 같은 다른 조건을 사용할 수 있습니다.< 10. Данная команда выведет все пакеты с длительностью жизни меньше 10. Чтобы выбрать данные по их размеру, можно применить такой подход — http.content_length > 5000.

추가 기능

편의를 위해 WireShark에는 분석할 필드로 패킷 매개변수를 빠르게 선택할 수 있는 방법이 있습니다. 예를 들어 기술 데이터가 있는 필드에서 원하는 개체를 마우스 오른쪽 버튼으로 클릭하고 열로 적용을 선택할 수 있습니다. 컬럼으로 필드 영역에 전송한다는 것은 무엇을 의미합니까?

마찬가지로 임의의 매개변수를 필터로 선택할 수 있습니다. 이를 위해 컨텍스트 메뉴에 필터로 적용 항목이 있습니다.

별도의 세션

WireShark를 두 네트워크 노드(예: 사용자와 서버) 사이의 모니터로 사용할 수 있습니다. 이렇게 하려면 관심 있는 패키지를 선택하고 상황에 맞는 메뉴를 불러온 후 Follow TCP Stream을 클릭하세요. 새 창에는 두 노드 간의 전체 교환 로그가 표시됩니다.

진단

WireShark에는 네트워크 문제를 분석하기 위한 별도의 도구가 있습니다. 전문가 도구라고 합니다. 왼쪽 하단에 둥근 아이콘 형태로 찾을 수 있습니다. 이를 클릭하면 오류, 경고 등 여러 탭이 있는 새 창이 열립니다. 도움을 받으면 어떤 노드에 오류가 발생하는지, 패킷이 도착하지 않는지 분석하고 네트워크의 다른 문제를 감지할 수 있습니다.

음성 트래픽

이미 언급했듯이 WireShark는 음성 트래픽도 가로챌 수 있습니다. 전체 전화 통신 메뉴가 이에 전념합니다. 이는 VoIP에서 문제를 찾아 신속하게 해결하는 데 사용할 수 있습니다.

전화 메뉴의 VoIP 통화 항목을 사용하면 완료된 통화를 보고 들을 수 있습니다.

개체 내보내기

이것은 아마도 프로그램의 가장 흥미로운 기능일 것입니다. 이를 통해 WireShark를 네트워크를 통해 전송되는 파일의 인터셉터로 사용할 수 있습니다. 이렇게 하려면 가로채기 프로세스를 중지하고 HTTP 개체를 파일 메뉴로 내보내야 합니다. 열리는 창에는 세션 중에 전송된 모든 파일 목록이 표시되며, 편리한 위치에 저장할 수 있습니다.

마지막으로

불행히도 인터넷에서 현재 러시아어 버전의 WireShark를 찾는 것은 어려울 것입니다. 가장 접근하기 쉽고 자주 사용되는 것은 영어입니다.

러시아어로 된 WireShark에 대한 자세한 지침도 마찬가지입니다. 개발자의 공식 버전은 영어로 제공됩니다. 초보자를 위한 짧고 짧은 WireShark 튜토리얼이 온라인에 많이 있습니다.

그러나 오랫동안 IT 분야에서 일해 온 사람들에게는 프로그램을 이해하는 데 특별한 어려움이 없을 것입니다. 그리고 훌륭한 기회와 풍부한 기능은 학습의 모든 어려움을 밝게 해줄 것입니다.

일부 국가에서는 WireShark와 같은 스니퍼를 사용하는 것이 불법일 수 있다는 점은 주목할 가치가 있습니다.

소개

컴퓨터 네트워크의 작동 및 노드의 네트워크 스택에서 문제가 발생하는 경우가 있는데, 그 원인은 잘 알려진 통계 수집 유틸리티(예: netstat) 및 ICMP 프로토콜(ping, Traceroute/ 트레이서트 등). 이러한 경우 문제를 진단하려면 네트워크 트래픽을 표시(듣기)하고 이를 개별 프로토콜의 전송 단위 수준에서 분석할 수 있는 보다 구체적인 도구를 사용해야 하는 경우가 많습니다( "냄새를 맡다", 냄새를 맡다).

네트워크 프로토콜 분석기또는 "스니퍼"매우 유용하다 네트워크 노드의 동작을 연구하고 네트워크 문제를 식별하는 도구. 물론 날카로운 칼과 같은 도구와 마찬가지로 스니퍼는 시스템 관리자나 정보 보안 엔지니어의 손에 있으면 도움이 될 수도 있고 컴퓨터 공격자의 손에 있으면 범죄 무기가 될 수도 있습니다.

이러한 전문 소프트웨어는 일반적으로 다음을 사용합니다. 네트워크 어댑터의 "무차별"(무차별) 작동 모드컴퓨터를 모니터링합니다(특히 네트워크 세그먼트, 스위치 포트 또는 라우터의 트래픽을 가로채기 위해). 아시다시피 이 모드의 핵심은 인터페이스로 들어오는 모든 프레임을 처리하기 위해, 일반 모드에서 발생하는 것처럼 네트워크 카드 및 브로드캐스트의 MAC 주소로 향하는 것만이 아닙니다.

이 글에서 다룬 제품은 와이어샤크네트워크 트래픽을 가로채서 대화형으로 분석하는 잘 알려진 도구로, 실제로 산업 및 교육 분야의 표준입니다. 에게 Wireshark의 주요 기능다음이 포함될 수 있습니다: 다중 플랫폼(Windows, Linux, Mac OS, FreeBSD, Solaris 등); 수백 가지의 다양한 프로토콜을 분석하는 능력; 그래픽 운영 모드와 명령줄 인터페이스(tshark 유틸리티) 모두 지원 강력한 트래픽 필터 시스템; 작업 결과를 XML, PostScript, CSV 형식 등으로 내보내기

또 다른 중요한 사실은 Wireshark가 오픈 소스 소프트웨어라는 것입니다. GNU GPLv2 라이센스에 따라 배포됩니다., 즉, 이 제품을 원하는 대로 자유롭게 사용할 수 있습니다.

Wireshark 설치

Windows 및 OS X 운영 체제용 최신 버전의 Wireshark와 소스 코드를 사용할 수 있습니다. 프로젝트 웹사이트에서 다운로드. Linux 배포판 및 BSD 시스템의 경우 이 제품은 일반적으로 표준 또는 추가 저장소에서 사용할 수 있습니다. 이 기사에 게시된 스크린샷은 Windows용 Wireshark 버전 1.6.2에서 가져온 것입니다. Wireshark는 오랫동안 안정적이고 기능적인 제품이었기 때문에 Unix 계열 운영 체제의 저장소에서 찾을 수 있는 이전 버전의 프로그램도 성공적으로 사용할 수 있습니다.

Wireshark는 Pcap(패킷 캡처) 라이브러리를 기반으로 합니다.이는 네트워크 인터페이스와의 상호 작용(특히 네트워크 프로토콜 및 로컬 네트워크 프로토콜의 임의 전송 단위 차단 및 생성)의 하위 수준 기능을 구현하기 위한 애플리케이션 프로그래밍 인터페이스를 제공합니다. Pcap 라이브러리는 tcpdump, snort, nmap, kismet 등과 같은 잘 알려진 네트워킹 도구의 기반이기도 합니다. Unix 계열 시스템의 경우 Pcap은 일반적으로 표준 소프트웨어 저장소에 있습니다. Windows 운영 체제 제품군에는 Winpcap이라는 Pcap 버전이 있습니다. 당신은 할 수 있습니다 프로젝트 웹사이트에서 다운로드. 그러나 Winpcap 라이브러리는 Windows용 Wireshark 설치 패키지에 포함되어 있으므로 일반적으로 이는 필요하지 않습니다.

프로그램을 설치하는 과정은 사용 중인 플랫폼의 특성에 맞게 조정된 모든 운영 체제에서 어렵지 않습니다. 예를 들어, Debian/Ubuntu의 Wireshark는 기본적으로 권한이 없는 사용자가 패킷을 가로챌 수 있는 권한을 갖지 않도록 설치되므로 프로그램은 sudo 사용자 ID 메커니즘을 사용하여 시작되어야 합니다(또는 표준 문서에 따라 필요한 조작을 수행해야 합니다). DEB 패키지).

Wireshark 작업의 기본 사항

Wireshark의 사용자 인터페이스는 GTK+ 라이브러리 위에 구축되었습니다.(김프 툴킷). 기본 프로그램 창에는 메뉴, 도구 모음 및 보기 필터, 패키지 목록, 선택한 패키지에 대한 자세한 설명, 패키지 바이트 표시(16진수 및 텍스트) 및 상태 표시줄 등의 요소가 포함되어 있습니다.

프로그램의 사용자 인터페이스는 잘 설계되어 있고 매우 인체공학적이며 매우 직관적이어서 사용자가 사소한 일에 방해받지 않고 네트워크 프로세스를 연구하는 데 집중할 수 있습니다. 또한 Wireshark 사용에 대한 모든 기능과 세부 사항은 다음 항목에 자세히 설명되어 있습니다. 사용자 매뉴얼. 따라서 이 기사에서는 문제의 제품의 기능, 예를 들어 잘 알려진 콘솔 유틸리티 tcpdump를 사용하여 다른 스니퍼와 비교한 기능에 중점을 둡니다.

따라서 Wireshark의 인체공학적 설계는 네트워크 상호 작용을 제공하기 위한 다층적 접근 방식을 반영합니다. 모든 작업은 목록에서 네트워크 패킷을 선택함으로써 사용자가 네트워크 패킷의 각 레이어 필드 값뿐만 아니라 모든 헤더(레이어)를 볼 수 있는 기회를 갖는 방식으로 수행됩니다. 래퍼 - 패키지에 포함된 이더넷 프레임, IP 헤더 자체, 전송 계층 헤더 및 애플리케이션 데이터 프로토콜입니다.

처리를 위한 원시 데이터는 Wireshark에서 실시간으로 얻거나 네트워크 트래픽 덤프 파일에서 가져올 수 있으며, 분석 작업을 위한 여러 덤프를 즉시 하나로 결합할 수 있습니다.

대량의 차단된 트래픽에서 필요한 패킷을 찾는 문제가 해결되었습니다. 두 가지 유형의 필터: 트래픽 수집(캡처 필터)그리고 그 사람 디스플레이 필터. Wireshark 컬렉션 필터는 Pcap 라이브러리 필터 언어를 기반으로 합니다. 이 경우의 구문은 tcpdump 유틸리티의 구문과 유사합니다. 필터는 필요한 경우 논리 기능(and, or, not)과 결합된 일련의 기본 요소입니다. 자주 사용하는 필터를 다음 폴더에 저장할 수 있습니다. 재사용용 프로필.

그림은 Wireshark 수집 필터의 프로필을 보여줍니다.

Wireshark 네트워크 패킷 분석기는 간단하면서도 풍부한 기능을 갖추고 있습니다. 표시 필터 언어. 패킷 헤더의 각 필드 값을 필터링 기준으로 사용할 수 있습니다.(예를 들어, ip.src는 네트워크 패킷의 소스 IP 주소이고, frame.len은 이더넷 프레임의 길이입니다.) 비교 연산을 사용하면 필드 값을 지정된 값과 비교할 수 있습니다.(예를 들어, frame.len을 사용하고 여러 표현식을 논리 연산자로 결합합니다(예: ip.src==10.0.0.5 및 tcp.flags.fin). 표현식을 구성하는 과정에서 좋은 도우미는 다음과 같습니다. 표시 규칙 설정 창(필터 표현식):

네트워크 패킷 분석 도구

비연결형 프로토콜은 단순히 개별 패킷을 살펴보고 통계를 계산하여 연구할 수 있지만, 연결 지향 프로토콜의 작동을 연구하는 것은 네트워크 상호 작용의 진행 상황을 분석하기 위한 추가 기능을 사용할 수 있으므로 크게 단순화됩니다.

Wireshark의 유용한 기능 중 하나는 "TCP 스트림을 따르세요"(문자 그대로 "TCP 스트림 따르기") 분석 하위 메뉴 "분석"을 사용하면 선택한 패킷이 속한 스트림의 TCP 세그먼트에서 애플리케이션 프로토콜 데이터를 추출할 수 있습니다.

분석 하위 메뉴의 또 다른 흥미로운 항목은 "전문가 정보 종합", 내장된 Wireshark 전문가 시스템의 창을 엽니다. 이 시스템은 패킷의 오류와 주석을 감지하고 자동으로 덤프에서 개별 연결을 선택하고 특성화합니다. 이 모듈은 개발 중이며 프로그램 버전별로 개선되고 있습니다.

통계 하위 메뉴에서 "통계"연구 중인 트래픽의 모든 종류의 통계적 특성을 계산하고, 네트워크 흐름 강도 그래프를 작성하고, 서비스 응답 시간을 분석하는 등의 작업을 수행할 수 있는 옵션이 수집되었습니다. 응, 포인트야 "프로토콜 계층 구조"총 트래픽의 비율, 특정 프로토콜에 의해 전송된 패킷 수 및 바이트 수를 나타내는 프로토콜의 계층적 목록 형식으로 통계를 표시합니다.

기능 "엔드포인트"각 노드의 들어오고 나가는 트래픽에 대한 다단계 통계를 제공합니다. 절 "대화"(문자 그대로 "대화")를 사용하면 서로 상호 작용하는 노드 간에 전송되는 다양한 프로토콜(개방형 시스템 상호 연결 모델의 링크, 네트워크 및 전송 계층)의 트래픽 양을 확인할 수 있습니다. 기능 "패킷 길이"패킷의 분포를 길이별로 표시합니다.

절 "플로우 그래프..."패킷 흐름을 그래픽으로 나타냅니다. 이 경우 차트에서 요소를 선택하면 기본 프로그램 창 목록의 해당 패키지가 활성화됩니다.

최신 버전의 Wireshark에 있는 별도의 하위 메뉴는 IP 전화 통신 전용입니다. "도구" 하위 메뉴에는 항목이 있습니다. "방화벽 ACL 규칙", 선택한 패키지에 대한 방화벽 규칙 생성을 시도합니다(버전 1.6.x는 Cisco IOS, IP 필터, IPFirewall, Netfilter, 패킷 필터 및 Windows 방화벽 형식 지원).

이 프로그램에는 경량 통역사도 내장되어 있습니다. 루아 프로그래밍 언어. Lua를 사용하면 Wireshark에서 자신만의 프로토콜 디코더와 이벤트 핸들러를 만들 수 있습니다.

결론 대신

Wireshark 네트워크 패킷 분석기는 Unix/Linux 플랫폼 모두에서 성공하고 Windows 및 Mac OS X 사용자들 사이에서 인기가 있는 오픈소스 제품의 예입니다. 물론 Wireshark 외에도 현장에는 강력하고 포괄적인 지능형 솔루션이 있습니다. 네트워크 트래픽 연구의 기능이 훨씬 더 광범위해졌습니다. 그러나 첫째, 비용이 많이 들고, 둘째, 배우고 운영하기가 어렵습니다. 셋째, 모든 것이 자동화될 수는 없으며 어떤 전문가 시스템도 좋은 전문가를 대체할 수 없다는 점을 이해해야 합니다. 따라서 네트워크 트래픽 분석이 필요한 작업에 직면했다면 Wireshark가 적합한 도구입니다. 그리고 명령줄 팬은 유틸리티를 사용할 수 있습니다. tshark - Wireshark의 콘솔 버전.

우리 포럼에 게시하려면 흥미롭고 유용한 기사가 필요합니다. 교정자와 편집자가 있으므로 철자와 텍스트 서식에 대해 걱정할 필요가 없습니다. 모든 것을 확인하고 아름답게 정리해드립니다.

다른 네트워크를 해킹하는 방법을 배우기 전에 네트워크를 제어하고 이것이 네트워크 트래픽이 무엇인지, 필터링하는 방법을 이해할 수 있어야 합니다. Wireshark는 아직 발명된 것보다 더 강력한 것이 없기 때문에 이에 이상적이며, 짐작할 수 있듯이 이에 대해 이야기하겠습니다. Wireshark는 실시간으로 네트워크 패킷을 분석하고 캡처하는 데 완벽한 무기입니다. 그러나 가장 중요한 것은 읽기에 매우 편리한 형식으로 표시된다는 것입니다.

Wireshark에는 네트워크 트래픽을 자세히 살펴보고 개별 패킷을 검사할 수 있는 다양한 필터, 색상 코딩 및 기타 여러 기능이 함께 제공됩니다.

너의 상상력을 사용해라!

나는 예를 든다 :

다른 사람의 네트워크에 연결했는데 그 사람이 무엇을 사용하는지, 무엇을 어떻게 네트워크를 통과하는지 알아내야 한다고 가정해 보겠습니다. Wireshark는 완벽한 솔루션입니다. 패키지를 연구한 후 필요한 모든 데이터를 쉽게 찾을 수 있습니다. 하지만 이는 단지 예시일 뿐이므로 누구나 필요에 따라 자유롭게 사용할 수 있습니다!

애플리케이션 >>인터넷 >>Wireshark

보시다시피, 그는 좋은 메뉴를 가지고 있고 모든 것이 명확해 보입니다. 그러나 실제로 이는 매우 복잡한 속성입니다. 먼저 기본적인 기능을 살펴보겠습니다.

연결된 네트워크를 선택하고 시작을 클릭하세요. 보시다시피 패킷이 캡처되기 시작했으며 네트워크의 모든 트래픽이 표시됩니다.

트래픽 캡처를 중지하려면 ' 실행 중인 라이브 캡처를 중지하세요. «

우리는 팀의 새로운 코스를 여러분의 관심에 제시합니다 코드비- "처음부터 웹 애플리케이션의 침투 테스트." 일반 이론, 작업 환경 준비, 수동적 퍼징 및 핑거프린팅, 능동적 퍼징, 취약성, 착취 후, 도구, 사회 공학 등.

이미 알고 있듯이 트래픽 색상은 다르며 그 의미가 매우 흥미롭습니다. Wireshark는 다양한 색상을 사용하여 다양한 유형의 트래픽을 인식하는 데 도움을 줍니다.

필터링에 필요한 트래픽을 ' 필터:" 및 Wireshark 자체가 힌트를 제공하거나 "를 클릭하여 선택할 수 있습니다. 표현 "

다음을 클릭하여 자체 필터를 만들 수도 있습니다. 분석 >>표시 필터

필요한 패키지가 보이면 해당 내용을 볼 수 있습니다.

또한 패키지의 모든 내용과 관련 데이터를 모두 볼 수 있습니다.

이미 알고 있듯이 이는 트래픽을 보는 데 매우 강력한 기능입니다. 네트워크 문제 해결 및 네트워크 개발을 위해 많은 전문가들이 매우 널리 사용합니다.

이것은 단지 시작일 뿐입니다. 이 속성을 하나씩 자세히 설명하고 분석할 것이므로 더 많은 기사를 기대해 주세요.

Wireshark는 컴퓨터의 네트워크 인터페이스를 통과하는 트래픽을 분석하는 데 사용할 수 있는 강력한 네트워크 분석기입니다. 네트워크 문제를 감지 및 해결하고, 웹 애플리케이션, 네트워크 프로그램 또는 사이트를 디버그하는 데 필요할 수 있습니다. Wireshark를 사용하면 모든 수준에서 패킷의 내용을 완전히 볼 수 있으므로 낮은 수준에서 네트워크가 어떻게 작동하는지 더 잘 이해할 수 있습니다.

모든 패킷은 실시간으로 캡처되어 읽기 쉬운 형식으로 제공됩니다. 이 프로그램은 매우 강력한 필터링 시스템, 색상 강조 표시 및 올바른 패키지를 찾는 데 도움이 되는 기타 기능을 지원합니다. 이 튜토리얼에서는 Wireshark를 사용하여 트래픽을 분석하는 방법을 살펴보겠습니다. 최근 개발자들은 Wireshark 2.0 프로그램의 두 번째 분기 작업을 시작했으며 특히 인터페이스에 대한 많은 변경과 개선이 이루어졌습니다. 이것이 우리가 이 글에서 사용할 것입니다.

트래픽 분석 방법을 고려하기 전에 프로그램이 어떤 기능을 더 자세히 지원하는지, 어떤 프로토콜과 함께 작동할 수 있는지, 무엇을 할 수 있는지 고려해야 합니다. 프로그램의 주요 기능은 다음과 같습니다.

유선 또는 기타 유형의 네트워크 인터페이스에서 실시간으로 패킷을 캡처하고 파일에서 읽습니다.
지원되는 캡처 인터페이스는 이더넷, IEEE 802.11, PPP 및 로컬 가상 인터페이스입니다.
필터를 사용하면 다양한 매개변수를 기반으로 패킷을 필터링할 수 있습니다.
알려진 모든 프로토콜은 목록에서 다양한 색상으로 강조 표시됩니다(예: TCP, HTTP, FTP, DNS, ICMP 등).
VoIP 통화 트래픽 캡처 지원
인증서를 사용할 수 있는 경우 HTTPS 트래픽의 암호 해독이 지원됩니다.
키와 핸드셰이크를 사용하여 무선 네트워크의 WEP 및 WPA 트래픽을 해독합니다.
네트워크 부하 통계 표시
모든 네트워크 계층의 패키지 내용을 봅니다.
패키지를 보내고 받는 시간을 표시합니다.

이 프로그램에는 다른 많은 기능이 있지만 이것이 여러분이 관심을 가질 만한 주요 기능이었습니다.

와이어샤크를 사용하는 방법

이미 프로그램이 설치되어 있다고 가정하지만, 그렇지 않은 경우 공식 저장소에서 설치할 수 있습니다. 이렇게 하려면 Ubuntu에서 다음 명령을 입력하십시오.

sudo apt 설치 wireshark

설치 후 배포판의 기본 메뉴에서 프로그램을 찾을 수 있습니다. 슈퍼유저 권한으로 Wireshark를 실행해야 합니다. 그렇지 않으면 네트워크 패킷을 분석할 수 없기 때문입니다. 이 작업은 주 메뉴에서 수행하거나 KDE 명령을 사용하여 터미널을 통해 수행할 수 있습니다:

Gnome/Unity의 경우:

프로그램의 기본 창은 세 부분으로 나뉩니다. 첫 번째 열에는 분석에 사용할 수 있는 네트워크 인터페이스 목록이 포함되어 있고, 두 번째 열에는 파일 열기 옵션, 세 번째 열에는 도움말이 포함되어 있습니다.

네트워크 트래픽 분석

분석을 시작하려면 네트워크 인터페이스(예: eth0)를 선택하고 버튼을 클릭하세요. 시작.

그 후에는 이미 인터페이스를 통과하는 패킷 스트림이 포함된 다음 창이 열립니다. 이 창은 여러 부분으로 나누어져 있습니다.

윗부분- 다양한 버튼이 있는 메뉴와 패널입니다.
패키지 목록- 분석할 네트워크 패킷의 흐름이 표시됩니다.
패키지 내용물- 바로 아래에는 선택한 패키지의 내용물이 표시되어 있으며, 운송 수준에 따라 카테고리로 구분되어 있습니다.
실제 성능- 맨 아래에는 패키지 내용이 실제 형태와 HEX 형태로 표시됩니다.

패키지를 클릭하면 해당 내용을 분석할 수 있습니다.

여기서는 사이트의 IP 주소를 얻기 위한 DNS 요청 패킷을 볼 수 있으며, 요청 자체에서는 도메인이 전송되고, 응답 패킷에서는 질문과 답변을 받습니다.

보다 편리하게 보려면 항목을 두 번 클릭하여 새 창에서 패키지를 열 수 있습니다.

Wireshark 필터

필요한 패키지를 찾기 위해 패키지를 수동으로 탐색하는 것은 특히 활성 스레드의 경우 매우 불편합니다. 따라서 이 작업에는 필터를 사용하는 것이 좋습니다. 메뉴 아래에 필터 입력을 위한 특수 라인이 있습니다. 클릭하시면 됩니다 표현필터 디자이너를 열려면 필터 디자이너가 많이 있으므로 가장 기본적인 것을 살펴 보겠습니다.

ip.dst- 대상 IP 주소;
ip.src- 발신자의 IP 주소
ip.addr- 발신자 또는 수신자의 IP;
ip.proto- 규약;
tcp.dst포트- 목적지 항구
tcp.srcport- 송신 포트;
ip.ttl- TTL 필터는 네트워크 거리를 결정합니다.
http.request_uri- 요청한 사이트 주소.

필드와 필터 값 사이의 관계를 지정하려면 다음 연산자를 사용할 수 있습니다.

== - 같음;
!= - 같지 않다.
< - 더 적은;
> - 더;
<= - 작거나 같음;
>= - 그 이상 또는 같음;
성냥- 정규식;
포함- 포함되어 있습니다.

여러 표현식을 결합하려면 다음을 사용할 수 있습니다.

&& - 패키지에 대해 두 표현식이 모두 참이어야 합니다.
|| - 표현 중 하나가 참일 수 있습니다.

이제 예제를 사용하여 여러 필터를 자세히 살펴보고 관계의 모든 징후를 이해해 보겠습니다.

먼저 194.67.215로 전송된 모든 패킷을 필터링하겠습니다. 필터 필드에 문자열을 입력하고 적용하다. 편의를 위해 버튼을 사용하여 Wireshark 필터를 저장할 수 있습니다. 구하다:

IP.dst == 194.67.215.125

그리고 전송된 패킷뿐만 아니라 이 노드로부터 응답으로 수신된 패킷도 수신하려면 두 가지 조건을 결합할 수 있습니다.

ip.dst == 194.67.215.125 || ip.src == 194.67.215.125

전송된 대용량 파일을 선택할 수도 있습니다.

http.content_length > 5000

Content-Type을 필터링하면 업로드된 모든 사진을 선택할 수 있습니다. 이미지라는 단어가 포함된 패킷인 Wireshark 트래픽을 분석해 보겠습니다.

http.content_type에 이미지가 포함되어 있습니다.

필터를 지우려면 버튼을 누르세요. 분명한. 필터링에 필요한 모든 정보를 항상 알 수는 없지만 네트워크를 탐색하고 싶은 경우가 있습니다. 패키지의 모든 필드를 열로 추가하고 각 패키지의 일반 창에서 해당 내용을 볼 수 있습니다.

예를 들어, 패킷의 TTL(Time to Live)을 열로 표시하고 싶습니다. 이렇게 하려면 패키지 정보를 열고 IP 섹션에서 이 필드를 찾으세요. 그런 다음 상황에 맞는 메뉴를 호출하고 옵션을 선택하십시오. 열로 적용:

같은 방법으로 원하는 필드를 기반으로 필터를 만들 수 있습니다. 그것을 선택하고 상황에 맞는 메뉴를 불러온 다음 클릭하십시오. 필터로 적용또는 필터로 준비을 선택한 다음 선택된선택한 값만 표시하거나 선택되지 않은제거하려면:

지정된 필드와 해당 값이 적용되거나 두 번째 경우 필터 필드에 삽입됩니다.

이러한 방식으로 모든 패키지 또는 열의 필드를 필터에 추가할 수 있습니다. 상황에 맞는 메뉴에도 이 옵션이 있습니다. 프로토콜을 필터링하려면 더 간단한 조건을 사용할 수 있습니다. 예를 들어 HTTP 및 DNS 프로토콜에 대한 Wireshark 트래픽을 분석해 보겠습니다.

프로그램의 또 다른 흥미로운 기능은 Wireshark를 사용하여 사용자 컴퓨터와 서버 간의 특정 세션을 추적한다는 것입니다. 이렇게 하려면 패키지의 상황에 맞는 메뉴를 열고 다음을 선택하세요. TCP 스트림을 따르세요.

그러면 서버와 클라이언트 간에 전송된 모든 데이터를 찾을 수 있는 창이 열립니다.

Wireshark 문제 진단

Wireshark 2.0을 사용하여 네트워크 문제를 감지하는 방법이 궁금할 수 있습니다. 이를 위해 창 왼쪽 하단에 둥근 버튼이 있습니다. 클릭하면 창이 열립니다. 전문가 도구. 여기에서 Wireshark는 모든 오류 메시지와 네트워크 문제를 수집합니다.

창은 오류, 경고, 공지, 채팅 등의 탭으로 구분됩니다. 이 프로그램은 많은 네트워크 문제를 필터링하고 찾을 수 있으며 여기에서 해당 문제를 매우 빠르게 볼 수 있습니다. Wireshark 필터도 여기에서 지원됩니다.

Wireshark 트래픽 분석

연결이 암호화되지 않은 경우 사용자가 다운로드한 파일과 본 파일을 매우 쉽게 이해할 수 있습니다. 이 프로그램은 콘텐츠 추출을 매우 훌륭하게 수행합니다.

이렇게 하려면 먼저 패널의 빨간색 사각형을 사용하여 트래픽 캡처를 중지해야 합니다. 그럼 메뉴를 열어주세요 파일 -> 객체 내보내기 -> HTTP: