REPORT 제목 : Wireshark 사용매뉴얼 담당교수님 : 안미정교수님과목 : 네트워크포렌식학과 : 사이버경찰학과학번 : 성명 : 윤정욱제출일자 :

Similar documents
이세원의 인터넷통신 과제 02.hwp

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

Microsoft Word - WireShark 프로그램의 기능 분석_ver1.1.doc

Wireshark Part 2 1

bn2019_2

슬라이드 1

[ tcpdump 패킷캡처프로그램 ] tcpdump란? tcpdump 버전확인 tcpdump 플래그 (flags) tcpdump 사용법 tcpdump의사용예제 telnet을활용해 root와 passwd 암호알아내기 [01] tcpdump란? tcpdump는 Lawren

Network seminar.key

[ 네트워크 1] 3 주차 1 차시. IPv4 주소클래스 3 주차 1 차시 IPv4 주소클래스 학습목표 1. IP 헤더필드의구성을파악하고요약하여설명할수있다. 2. Subnet ID 및 Subnet Mask 를설명할수있고, 각클래스의사용가능한호스트수와사설 IP 주소및네트

시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 /

Orcad Capture 9.x

1217 WebTrafMon II

[ R E P O R T ] 정보통신공학전공 김성태

PowerPoint Template

ARMBOOT 1

ORANGE FOR ORACLE V4.0 INSTALLATION GUIDE (Online Upgrade) ORANGE CONFIGURATION ADMIN O

Remote UI Guide

Assign an IP Address and Access the Video Stream - Installation Guide

UDP Flooding Attack 공격과 방어

일반적인 네트워크의 구성은 다음과 같다

(SW3704) Gingerbread Source Build & Working Guide

Microsoft Word doc

Microsoft Word - src.doc

Microsoft Word - WP_04_Firewall.NAT.doc

hd1300_k_v1r2_Final_.PDF

Microsoft Word - CPL-TR wireshark.doc

Microsoft Word - Tcpdump 사용설명서.doc

CD-RW_Advanced.PDF

2009년 상반기 사업계획

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

Solaris Express Developer Edition

PWR PWR HDD HDD USB USB Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl Cable PC PC DDNS (

PowerPoint 프레젠테이션

EndNote X2 초급 분당차병원도서실사서최근영 ( )

. PC PC 3 [ ] [ ], [ ] [ ] [ ] 3 [ ] [ ], 4 [ ] [ ], 4 [Internet Protocol Version 4 (TCP/IPv4)] 5 [ ] 6 [ IP (O)], [ DNS (B)] 7 [ ] 한국어 -

DocsPin_Korean.pages

USB USB DV25 DV25 REC SRN-475S REC SRN-475S LAN POWER LAN POWER Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl C

Microsoft PowerPoint - 2.Catalyst Switch Intrastructure Protection_이충용_V1 0.ppt [호환 모드]

TCP.IP.ppt

SMB_ICMP_UDP(huichang).PDF

슬라이드 제목 없음

Microsoft PowerPoint - ch13.ppt

TTA Verified : HomeGateway :, : (NEtwork Testing Team)

1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation

Microsoft PowerPoint - 4. 스캐닝-2.ppt [호환 모드]

제20회_해킹방지워크샵_(이재석)

Microsoft PowerPoint - L4-7Switch기본교육자료.ppt

Studuino소프트웨어 설치

Subnet Address Internet Network G Network Network class B networ

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx

Smart Power Scope Release Informations.pages

슬라이드 1

untitled

Raspbian 설치 라즈비안 OS (Raspbian OS) 라즈베리파이 3 Model B USB 마우스 USB 키보드 마이크로 SD 카드 마이크로 SD 카드리더기 HDM I 케이블모니터

6강.hwp

시스코-Unified Wireless

MAX+plus II Getting Started - 무작정따라하기

PowerPoint 프레젠테이션

°í¼®ÁÖ Ãâ·Â

10X56_NWG_KOR.indd

소개 TeraStation 을 구입해 주셔서 감사합니다! 이 사용 설명서는 TeraStation 구성 정보를 제공합니다. 제품은 계속 업데이트되므로, 이 설명서의 이미지 및 텍스트는 사용자가 보유 중인 TeraStation 에 표시 된 이미지 및 텍스트와 약간 다를 수

PowerPoint 프레젠테이션

서현수

Analytics > Log & Crash Search > Unity ios SDK [Deprecated] Log & Crash Unity ios SDK. TOAST SDK. Log & Crash Unity SDK Log & Crash Search. Log & Cras

Microsoft PowerPoint SDK설치.HelloAndroid(1.5h).pptx

을풀면된다. 2. JDK 설치 JDK 는 Sun Developer Network 의 Java( 혹은 에서 Download > JavaSE 에서 JDK 6 Update xx 를선택하면설치파일을

untitled

슬라이드 1

Copyright 2012, Oracle and/or its affiliates. All rights reserved.,,,,,,,,,,,,,.,..., U.S. GOVERNMENT END USERS. Oracle programs, including any operat

Mars OS System Administration Guide

Microsoft PowerPoint - 4. 스캐닝-2(11.21) [호환 모드]

<4D F736F F D D31312D30312D53572D30312DBBE7BFEBC0DABCB3B8EDBCAD5FBFDCBACEB9E8C6F7BFEB2E646F63>

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D D382E687770>

untitled

강의10

PRO1_09E [읽기 전용]

제품소개 이매뉴얼은빅솔론프린터제품을 ios 환경에서사용할수있는유틸리티에대해서기술되어있습니다. 제품을새로구입하신분들은사용전에이설명서에있는내용을주의깊게읽어보시기바랍니다. 저희 ( 주 ) 빅솔론은제품의기능과품질향상을위하여지속적인개선을하고있습니다. 이로인하여제품의사양과매뉴얼의

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

슬라이드 1

28 THE ASIAN JOURNAL OF TEX [2] ko.tex [5]

Windows 8에서 BioStar 1 설치하기

Secure Programming Lecture1 : Introduction

Microsoft PowerPoint - 4.스캐닝-1(11.08) [호환 모드]

VMware vsphere

화판_미용성형시술 정보집.0305

StruxureWare Data Center Expert 7.2.x 의 새 기능 StruxureWare Data Center Expert 7.2.x 릴리스에서 사용할 수 있는 새 기능에 대해 자세히 알아보십시오. 웹 클라이언트 시작 화면: StruxureWare Cen

chapter4

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

리눅스 프로세스 관리

Web Scraper in 30 Minutes 강철

cam_IG.book

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

1. GigE Camera Interface를 위한 최소 PC 사양 CPU : Intel Core 2 Duo, 2.4GHz이상 RAM : 2GB 이상 LANcard : Intel PRO/1000xT 이상 VGA : PCI x 16, VRAM DDR2 RAM 256MB

Microsoft PowerPoint - 10Àå.ppt

SBR-100S User Manual

Convenience Timetable Design

NTD36HD Manual

MF3010 MF Driver Installation Guide

Microsoft PowerPoint - Zebra ZPL 한글판 명령어 메뉴얼.ppt

Transcription:

REPORT 제목 : Wireshark 사용매뉴얼 담당교수님 : 안미정교수님과목 : 네트워크포렌식학과 : 사이버경찰학과학번 : 10072138 성명 : 윤정욱제출일자 : 2013.12.17-1 -

< 목차 > Wireshark 3 Wireshark란? 3 Wireshark의장점 3 Packet Capture Tools.. 3 Wireshark 설치 4 Wireshark 기본구성 5 Capture 5 Display Filters 7 Capture Help 10 Files 11 Online 12 Wireshark 상태창구성 14 메뉴구성 15 기타 26 무선패킷캡처 26 파일추출 28 리눅스환경에서의 Wireshark 30 참고문헌 31-2 -

Wireshark 1. Wireshark 란? Wireshark는세계에서가장널리쓰이는네트워크분석프로그램이다. 매우강력한이프로그램은네트워크상에서캡처한데이터에대한네트워크 / 상위레이어프로토콜의정보를제공해줍니다. 다른네트워크프로그램처럼, Wireshark는패킷을캡퍼하기위해 pcap 네트워크라이브러리를사용합니다. 공식홈페이지 : http://www.wireshark.org/ 2. Wireshark 의장점 - 쉬운설치 - GUI 인터페이스를이용한간단한사용법 - 매우다양한기능 3. Packet Capture Tools.. - Smart Sniffer 모든포트를캡처한다. 설치없이바로동작이가능하다는장점이있다. 패킷캡처성공률이떨어진다는단점이있다. 다운로드 : http://nirsoft.net/utils/smsniff.html - Fiddler 웹포트를기반으로동작하고보기쉽게파싱을해주고, 응답을직접구현해볼수도있다. 다운로드 : http://www.fiddler2.com/fiddler2/ - PacketShark 안드로이드디바이스에서패킷을챕처할수있는 APP 이다. - TShark 와이어샤크와동일한기능을제공하는커맨드라인툴이다. 네트워크패킷과프로토콜분석업무를자동화하고자하는보안및네트워크전문가들에게유용하다. - 3 -

Wireshark 설치 Download 클릭 자신의 OS 버전에맞는버전을클릭 > 다운받은후실행 설치 - 4 -

Wireshark 기본구성 2 1 4 5 3 1 Capture Interface List : 자신의 PC 에연결된네트워크인터페이스를나타내어해당인터페이스로 들어오는패킷을필터링하여볼수있다. Start : Interface List 와기능은같으나별다른창없이바로인터페이스선택하여패킷을 캡처한다. - 5 -

Capture Options : 패킷을캡처할때다양한옵션을적용시킨다. 캡처를시작하기전에설정 실제저장할파일의이름을설정 여러파일의사용여부 캡쳐된데이터의크기 / 진행된 시간 / 저장될파일의수에따라 나누어서파일로저장 src host 1.1.1.1 and not dst net 2.2.2.2/16 캡처된패킷의수 / 크기 / 진행된 시간에따라캡처를중지 Logical Other 형식 : Protocol Direction Host(s) Value Operations Expression 예 : tcp dst 1.1.1.1 80 and tcp dst 2.2.2.2 3128 - Protocol : ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp, udp 등프로토콜을지정하지않으면모든프로토콜을사용한다. - Direction : src, dst, src and dst, src or dst 등으로사용되며출발지나목적지를지정하지않으면 "src or dst" 키워드가사용된다. ("host 2.2.2.2" 은 "src or dst host 2.2.2.2" 과동일 ) - Host(s) : net, port, host, portrange 등으로사용되며호스트를지정하지않으면 "host" - 6 -

키워드가사용된다.("src 1.1.1.1" 은 "src host 1.1.1.1" 과같은의미 ) - Logical Operations : not, and, or 등으로사용되며부정연산 ("not") 이가장높은우선순위를갖는다. 논리합 ("or") 과논리곱 ("and") 는같은우선순위를가지며왼쪽에서오른쪽으로처리된다. - Example : tcp dst port 80 : 목적지가 TCP 포트 80인패킷 ip src host 1.1.1.1 : 출발지 IP 주소가 1.1.1.1인패킷 host 1.2.3.4 : 출발지와목적지 IP 주소가 1.2.3.4인패킷 src portrange 20-2500 : 출발지의 UDP, TCP 포트가 20-2500사이인패킷 not imcp : icmp 패킷을제외한모든패킷 src host 1.2.3.4 and not dst net 5.6.7.8/16 : 출발지 IP 주소가 1.2.3.4 이면서, 목적지 IP 네트워크가 5.6.7.8/16이아닌패킷 - Etc : "\" 기호는키워드자체가값을나타낼때사용 "ether proto \ip"( \ip는 "ip" 과동일 ) "ip proto \icmp"(\icmp는 "icmp" 과동일 ) "multicast" 와 "broadcast" 키워드는 "ip" 나 "ether" 다음에사용가능 "no broadcast" 는 broadcast 요청을제외 2 Display Filters 캡처된패킷에서원하는정보를찾을때사용한다. Capture Filter보다더검색능력이뛰어나다. Filter 내용을바꾸고싶을때캡처작업을다시작하지않아도된다. 형식 Protocol. String1. String2 Comparison Logical Other Value operator Operations Expression 예 ip passive ip == 1.2.3.4 and not icmp - String1,2 : 각프로토콜의하위프로토콜로좀더자세한내용을선택할수있다. Field name 에서 + 표시를클릭하면볼수있다. - Comparison Operator : 비교연산자 : 6 개의비교연산자를사용할수있다. 영문표기 연산자 의미 eq == 같다 ne!= 다르다 gt > 크다 it < 작다 ge >= 크거나같다 le <= 작거나같다 - 7 -

- 논리표현식 : 두개이상의항목을정의할때사용할수있다.(4 가지의논리표현 ) 영문표기 연산자 의미 and && 논리곱 or 논리합 xor ^^ 배타적놀리합 not! 부정 예 : 목적지가 TCP 포트 80 이거나출발지가 TCP 포트 1000 인 ( 두가지모두인경우는제외 ) 패킷을캡처한다. IP 패킷중에 flags 에서 df 가 1 이고 icmp 가아닌패킷 SNMP 또는 DNS 또는 ICMP 트래픽을출력 TCP SYN 플래그를가지고있는패킷출력 출발지 IP 주소가 1.1.1.1 이아니면서, 동시에목적지 IP 주소가 2.2.2.2 가아닌패킷출력 tcp.dstport!= 80 && tcp.srcport!=80 && tcp.flags.syn ==1 && tcp.flags.ack == 1 80 번포트를제외하고열린포트가있는지확인 ( 출발지 / 목적지포트가 80 이아니고, syn,ack 가 1 인패킷 ) - 8 -

tcp.dstport!= 80 tcp.srcport!=80 && tcp.flags.reset ==1 && tcp.flags.ack == 1 80 번포트를제외하고닫힌포트가있는지확인 ( 출발지또는목적지의포트가 80 이아니고, flags 비트가 reset 이거나 ack 가 1 인패킷 ) 캡쳐필터는식별자와한정자로구성되어있다. -식별자는필터링을하는요소이다. 80번포트로부터트래픽에대한캡처필터에서 80은식별자이다. 식별자는숫자나이름이될수있다. -한정자캡처필터에는다음과같은 3가지한정자가사용된다.(Type Dir Proto) * 유형한정자 (Type): 식별자가참조하는이름이나번호의유형을가리킨다. 80 번포트로부 터트래픽에대한캡쳐필터네에서포트는유형한정자나. 호스트, 네트워크, 포트 3 가지는유형 한정자이다. * 방향한정자 (Dir): 방향한정자는관심있는트래픽의흐름을표시하기위해사용한다. 일반 적인방향한정자는 dst 와 src 이다. * 프로토콜한정자 (Proto): 프로토콜한정자는 TCP 와 UDP 같이특별한프로토콜에캡쳐된 트래픽을제한하기위해사용된다. 일반적인프로토콜필터는 tcp udp ip arp icmp ip6 이다. - 9 -

Filter Rule 순서도 1 2 4 3 5 기본식 : 1 번 ( 프로토콜과옵션 ) + 2 번 ( 관계식 ) + 3 번 or 4 번 ( 자신이찾고싶은값 ) 3 Capture Help - how to capture : 캡처를할때설정하는방법을알려준다. 단계별로가이드를만들어쉽게따라할수있도록한다. - 10 -

1단계 : 작업을수행할수있는지확인 ( 합법적 / 비합법적 ) 2단계 : 일반설정 ( 작업환경구성하는단계 ) 3단계 : 자신의인터페이스를이용한캡처 ( 올바른인터페이스 / 네트워크소프트웨어문제 / 드 라이버문제등을해결가능 ) 4 단계 : 자신이외의다른사람의인터페이스로접근하는트래픽캡처 ( 트래픽이통과하는네 트워크의위치 / 장소 ) 5 단계 : 원격컴퓨터를이용하여트래픽캡처 ( 원격을이용하기위한설정방법 ) -Network Media : Wireshark 플랫폼에서지원되는네트워크유형을보여준다. 물리적 / 가상인터페이스정보와지원되지않는미디어를보여준다. 4 Files - Open : 이전에캡처된파일을열기한다. - 11 -

- Sample Captures : 위키에서다양한예제캡처파일들이모여져있다. 샘플캡처파일 / 캡처파일추가방법 / 다른자원들의캡처파일 / 일반적 & 분류되지않은캡처파일 / 다양한프로토콜캡처파일 / 다양한인터페이스캡처파일등을다운및확인이가능하다. 5 Online - Website : 공식웹사이트에들어갈수있다. - 12 -

- User s Guide : 로컬버전의유저가이드를이용할수있다. 전반적인 Wireshark 이용방법이적혀있다. - Security : 제작자들이가능한한안전하게 Wireshark 를사용하도록안내하고있다. 보안 / 소개 / 계정 / 버그 / 보호에대해서제작자들이설명해준다. - 13 -

Wireshark 상태창구성 1 2 3 4 1 Main toolbar 자주사용하는항목에대해서손쉽고빠르게실행할수있다. 5 2 Packet List 캡처된패킷을보여준다.( 설정된 column 에따라보여짐 ) 3 Packet Details Packet List 에서선택한패킷에대한상세한정보를보여준다. 4 Packet Bytes hexdump 값으로왼쪽편에는패킷데이터오프셋을나타내고중간부분에는패킷데이터의 hexadecimal 로나타내고마지막으로오른쪽부분에는 ASCII 형식으로값을나타낸다. 5 The Statusbar Expert Infos, Packet/displayed 수, Marked/Dropped 을알수있다. - 14 -

메뉴구성 1. File : 캡처데이터를열거나저장한다. Open : 저장된파일을열때사용한다. Open Recent : 최근에열었던파일을열때사용한다. Merge... : 저장되어있는캡처파일을하나로합칠때사용한다. Import from Hex Dump : 새롭게일시적으로캡처를 hex dump로포함하여텍스트파일로가져올수있다. Close : 현재캡처하고있는화면을닫는다. Save : 현재캡처된파일을저장한다. Save as : 현재캡처된파일을다른이름으로저장한다. File Set : 현재보고있는캡처파일의 Filename/Created/Last Modified/Size/ 저장경로를볼수있다. > List Files : file set에서 file들의리스트들을보여준다. > Next File : 만약현재로드된파일이 file set의부분이라면다음 file로넘어가라. > Previous File : 만약현재로드된파일이 file set의부분이라면이전 file로돌아가라. Export Specified Packets.. : 지정된패킷을저장한다. Export Packet Dissection : 현재캡처된패킷을다양한형식으로저장한다. (text/postscript/csv/c Arrays/PSML/PDML) Export Objects > HTTP : 현재파일에서캡처된 HTTP list를보여준다. Print.. : 출력할때사용한다. Quit : Wireshark 를종료한다. - 15 -

2. Edit : 패킷을찾거나표시한다. 프로그램전역적인속성들을설정한다. Copy > Description : 클립보드에선택된항목의상세정보의설명을복사한다. Copy > Fieldname : 클립보드에선택된항목의상세정보의필드네임을복사한다. Copy > Value : 클립보드에선택된항목의상세정보의값을복사한다. Copy > As Filter : 클립보드에복사된 display filter를만들기위해선택된항목의상제정보를사용한다. Find Packet... : 특정패킷을찾을수있다. Find Next : 찾은패킷의다음으로이동한다. Find previous : 찾은패킷의이전으로이동한다. Mark Packet(toggle) : 특정패킷을사용자임의로지정할수있다.( 여러개복수선택가능 ) Find Next Mark : 임의로지정된패킷중다음패킷으로이동한다. Find Previous Mark : 임의로지정된패킷중이전패킷으로이동한다. Mark All Displayed Packets : 현재캡처된모든패킷을마크로지정한다. Unmark All Packets : 지정된모든마크패킷을원상태로되돌린다. Ignore Packet(toggle) : 지정된패킷은무시되어어떠한정보도화면에표시되지않는다.( 지정된패킷에는 Ignore라고표시 ) Ignore All Displayed Packets : 화면상에표시된모든패킷을 Ignore한다. Un-Ignore All Packets : Ignore 된패킷을원상태로되돌린다. Set Time Reference(toggle) : 지정된패킷을기준으로패킷시간을표시한다. ( 지정된패킷에 *ref* 가표시, 이패킷을 0 초로하여다음패킷의 Time 을표시 ) - 16 -

Find Next Reference : ref로지정된패킷의다음패킷으로이동한다. Find Previous Reference : ref로지정된패킷의이전패킷으로이동한다. Time Shift : 패킷의시간을재설정및이동을시킬수있다. Packet Comment : 지정된패킷에대한설명을추가시킬수있다. Configuration Profiles... : 여러환경설정등을여러가지분류로각각저장할수있다. Preferences.. : 캡처화면이나윈도우창, 폰트등을상세하게설정할수있다. User Interface : 자신의컴퓨터에서사용할수있는인터페이스를위한옵션을구성한다. > Layout : Wireshark의구조설정 > Columns : 패킷캡처시나타나는컬럼의순서및구조설정 > Font and Colors : 글자 / 크기 / 색깔설정 Capture : 캡처시 default값및컬럼등을설정한다. Filter Expressions : 자주사용하는필터를추가하여버튼으로구성한다. Name Resolution : MAC/Transport/IP/DNS 등을숫자로표시할지특수한언어로표시할지설정한다. Printing : export로저장시어떤포맷으로사용하고어떻게출력할것인지설정한다. Protocol : 수많은 Protocol을캡처할것인지설정한다. - 17 -

Statistics : 패킷캡처의업데이트시간과 RTP Player 가한번에얼마나보이는지설정한다. > Stats Tree : 캡처시패킷의길이를설정 3. View : Wireshark 플랫폼의보이는모양을설정한다. Main Toolbar : 바로가기단축창을 on/off 할수있다. Filter Toolbar : Filter 창을 on/off할수있다. Wireless Toolbar : Wireless 창을 on/off할수있다. Status Bar : 창아래보이는패킷파일의대한정보를 on/off할수있다. Packet List : Packet 이보이는 List창을 on/off 할수있다. Packet Details : Packet 의정보를확인할수있는창을 on/off할수있다. Packet Bytes : Packet의 16진수및데이터창을 on/off할수있다. Time Display format : Packet의시간정보표시를임의로바꿀수있다. Name Resolution : Wireshark가 MAC, Network, Transport address 의프로토콜의이름풀이를 on/off할수있다. Colorize Packet List : 패킷별지정해놓은색상을 on/off할수있다. Zoom In /Zoom Out : 글씨크기를조정할수있다. Normal Size : 원래상태의사이즈로돌아온다. Resize All Columns : 현재사이즈에맞춰재배열한다. Displayed Columns : Packet List 에표시할항목을선택할수있다. Expand Subtrees : Packet Details창에선택된 Packet의정보를펼칠수있다. Expand All : Packet Details창의모든 Packet의정보를펼친다. Collapse All : Packet Details창의모든 Packet의정보를접는다. Colorize Conversation : 모든패킷의색상을바꿀수있다. Reset Coloring 1-10 : 1-10에저장된패킷색상을원상태로되돌린다. Coloring Rules.. : 패킷에대한색상을임의의색으로바꿀수있다. - 18 -

Show Packet in New Window : 선택된 Packet 의 Details 창과 bytes 창을한번에열수 있다. Reload : 패킷의최상단패킷으로이동한다. 4. Go : 캡처된데이터의특정위치로이동한다. Back : 이전에선택된패킷으로돌아간다. Forward : 돌아오기전에선택되었던앞의패킷으로돌아간다. Go to Packet : Packet 의앞부분에써있는 Number 로 Packet 을찾을수있다. Go to Corresponding Packet : 현재선택된프로토콜필드의해당패킷으로이동한다. Previous Packet : 선택된패킷을가운데화면으로고정시키고한칸위로이동한다. Next Packet : 선택된패킷을가운데화면으로고정시키고한칸아래로이동한다. First Packet : 모든패킷의가장상단패킷으로이동한다. Last Packet : 모든패킷의가장하단패킷으로이동한다. Previous Packet In Conversation : 현재대화에서이전패킷으로이동한다. ( 키보드포커스가없어도이전패킷으로이동가능 ) Next Packet In Conversation : 현재대화에서다음패킷으로이동한다. 5. Capture : 캡처필터옵션을설정하고캡처를시작한다. Interfaces... : 캡처할인터페이스를선택할수있다. - 19 -

Options... : Capture Options 창이떠다양한설정을한다.( 위의 capture option창과동일 ) Start : 캡처를시작한다. Stop : 캡처를그만둔다. Restart : 캡처를다시시작한다. Capture Filters : 캡처된패킷중필터옵션을설정하여임의의패킷만선택하여볼수있다. Refresh Interfaces : 인터페이스를새로고침한다. 6. Analyze : 분석옵션을설정한다. Display Filters... : 미리설정되어있는 Filter Option 을화면에표시해준다. Display Filter Macros... : 여러긴문장의 Filter 명령어를매크로로지정하여편하게쓸수 있다. Apply as Column : 패킷의세부내용을선택된프로토콜목록을컬럼창으로추가한다. Apply as Filter : 현재 display filter 와변경된 filter로바꾼다. Prepare a Filter : 변경된 filter가아닌현재 display filter로변경된다. Enabled Protocol... : wireshark가지원하는 Protocol을확인하고 on/off할수있다. Decode As... : 임의의패킷을원하는패킷으로변경할수있다. User Specified Decodes... : 사용자가임의로변경한 Packet을확인할수있다. Follow TCP Stream : TCP Packet의데이터부분만모아서보기쉽게화면에표시해준다. Follow UDP Stream : UDP Packet의데이터부분만모아서보기쉽게화면에표시해준다. Follow SSL Stream : SSL Packet의데이터부분만모아서보기쉽게화면에표시해준다. - 20 -

Expert Info : Packet 의 Errors, Warnings, Notes, Chats 를한번에확인할수있다. Conversation Filter : 다양한프로토콜에대한 Conversation filter 를불러온다. 7. Statistics : Wireshark 의통계데이터를본다. Summary : Wireshark File, Time, Capture, display, Traffic.. 의요약을보여준다. Comments Summary : File, Time Capture, Statistics 등파일에대한요약을보여준다. Show address resolution : 호스트정보와현재파일의위치를보여준다. Protocol Hierarchy : 현재캡쳐된 Packet 의종류와전체패킷중의 Packet 의비율을 % 로 확인할수있다. - 21 -

Conversations : 전체 Packet 의흐름을확인할수있다. (IPv4,IPv6,TCP,UDP 등이어디에서 어디로향했는지한눈에볼수있다.) Endpoints : 각 Packet 의 Rx,Tx 신호의흐름을한눈에확인할수있다. Packet Lengths... : Filter 옵션을넣으면그 Filter 에대한 Packet 의길이를확인할수있다. IO Graphs : 전체패킷에대한흐름도를그래프로확인할수있다. Conversation List : 특정 Packet에대한흐름을확인할수있다. Endpoint List : 특정 Packet의 Rx,Tx 신호의흐름을한눈에확인할수있다. Service Response Time : 보다정밀한검사가가능한 16개의프로토콜이제공됩니다. ANCP : ANCP 프로토콜별통계창을보여준다. BACnet : instance id/ip/object type/service별로정렬한다. BOOTP-DHCP : DHCP 프로토콜별통계창을보여준다. Collectd... : Collectd에대한통계창을보여준다. Compare... : 프로토콜별로비교하여통계창을보여준다. Flow Graph : 전체 Packet에대한흐름을그래프로한눈에확인할수있다. (TCP 연결과정을한눈에볼수있다.) HTTP : HTTP Protocol과관련된 Packet중손실률성공Packet등을확인할수있다. - 22 -

ONC-RPC Programs : ONC-RPC 프로그램통계를보여준다. Sametime : 같은시간에온메시지에대한통계를보여준다. TCP Stream Graph : TCP Packet에대한다양한그래프를확인할수있다. UDP Multicast Streams : 멀티캐스트로사용한 UDP를확인할수있다. WLAN Traffic : WLAN 트래픽을보여준다. IP Destinations : packet에대한모든도착지 IP주에대한개수, 속도, 퍼센트를보여준다. IP Addresses : Packet에대한모든출발지 IP주소의개수, 속도, 퍼센트를보여준다. IP Protocol Types : 임의의 Packet에대한 IP Protocol의대한개수, 속도, 퍼센트를확인한다. (TCP나 UDP 포트의통계정보확인가능 ) 8. Telephny : 특정전화관련통계정보를보여준다. Wireshark 에서지원되는다양한 Telephony 의패킷들을확인할수있다. 9. Tools : Wireshark 가지원하는 tool 을이용할수있다. Firewall ACL Rules : 많은다양한방화벽제품 (Cisco IOS, Linux Netfilter, OpenBSD, Windows Firewall 등 ) 에대한 ACL rule 의 command-line 을만든다. Lua : 규칙들이외부인터페이스에적용되는데루아인터프리터로작업할수있도록해준다. - 23 -

10. Internals : 내부구조에대한설명을보여준다. Dissector tables : subdissector 관계와테이블을나타낸다. Supported Protocols(slow!) : 지원되는프로토콜과프로토콜필드를보여준다. 11. Help : 오프라인혹은온라인도움말을본다. Contents : Wireshark 유저가이드를불러온다. MatualPages : 설치된 html 매뉴얼페이지를웹브라우저에보여준다. Website : http://www.wireshark.org를불러온다. FAQ s : 다양한 FAQ s를보여준다. Ask(Q&A) : 다양한질문들이있는웹페이지를불러온다. Downloads : 다운로드사이트를불러온다.(http://www.wireshark.org) Wiki : http://wiki.wireshark.org 사이트를불러온다. - 24 -

Sample Captures : 샘플캡처들이있는사이트를불러온다. Check for Updates... : 업데이트정보를보고업데이트를한다. About Wireshark : Wireshark 에대한다양하고자세한정보들을제공한다. - 25 -

기타 1. 무선패킷캡처 - 암호화된무선패킷을복호화하여분석 패킷을분석하기위해서 statistic > conversations 에서확인해보니 WLAN 밖에없는것을확 인 > 암호화로자세한정보를얻기힘들다. Edit > Preferences > Protocol > IEEE802.11 선택 > Enable decryption 체크 > Decryption Keys Edit 선택 > NEW > wpa-pwd 선택 > 미리크래킹한암호를입력 (Induction) > Apply - 26 -

Statistic > Conversations 를확인해보면 IPv4/IPv6/TCP/UDP 를확인해볼수있다. TCP 의패킷중하나를선택하여패킷흐름을파악하기위해서 Apply as Filter > Selected > A<>B 를선택한다. - 27 -

Packet List 를보면 TCP 연결설정과 HTTP 에서 GET 요청을볼수있다. 이렇듯암호화된무선패킷을분석할수있다. 2. 파일추출 Statistic > Conversations > TCP > 마지막패킷 > Follow Stream - 28 -

Image 파일이첨가되어있는것을확인할수있다. Network Miner 를이용하여 Image 를쉽게추출할수있다. 각각프레임별로분류되어있는것을확인할수있고어떤 Image 파일이있는지확인이가 능하다. or HxD 를이용하여추출하는방법도있다. - 29 -

3. 리눅스환경에서의 Wireshark 우분투터미널에서 apt-get install wireshark 를입력후설치한다. Wireshark 실행 - 30 -

리눅스에서도 Wireshark 를설치하여이용할수가있다. 참고문헌 http://forum.falinux.com/zbxe/index.php?document_srl=551270&mid=lecture_tip http://it-jaemins.blogspot.kr/2013/09/wireshark.html#!/2013/09/wireshark.html http://liketheocean.tistory.com/entry/wireshark-사용팁-2 http://openmaniak.com/kr/wireshark.php http://www.ahnlab.com/kr/site/securityinfo/secunews/secunewsview.do?curpage=3&men u_dist=2&seq=18859&key=&dir_group_dist=0&dir_code= http://www.packetinside.com/ http://blog.naver.com/postview.nhn?blogid=forioso&logno=10145123194 http://blog.naver.com/postview.nhn?blogid=ssecurity&logno=150106884041-31 -

- 32 -

2024 © docsplayer.org 개인정보보호 | 약관 | 지원