Wireshark Part 2 1

Similar documents
Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

Network seminar.key

[ R E P O R T ] 정보통신공학전공 김성태

SMB_ICMP_UDP(huichang).PDF

1217 WebTrafMon II

Microsoft Word - WP_04_Firewall.NAT.doc

TCP.IP.ppt

bn2019_2

Microsoft Word - Tcpdump 사용설명서.doc

Subnet Address Internet Network G Network Network class B networ

TTA Verified : HomeGateway :, : (NEtwork Testing Team)

1. GigE Camera Interface를 위한 최소 PC 사양 CPU : Intel Core 2 Duo, 2.4GHz이상 RAM : 2GB 이상 LANcard : Intel PRO/1000xT 이상 VGA : PCI x 16, VRAM DDR2 RAM 256MB

Microsoft Word doc

[ 네트워크 1] 3 주차 1 차시. IPv4 주소클래스 3 주차 1 차시 IPv4 주소클래스 학습목표 1. IP 헤더필드의구성을파악하고요약하여설명할수있다. 2. Subnet ID 및 Subnet Mask 를설명할수있고, 각클래스의사용가능한호스트수와사설 IP 주소및네트

USB USB DV25 DV25 REC SRN-475S REC SRN-475S LAN POWER LAN POWER Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl C

이세원의 인터넷통신 과제 02.hwp

PWR PWR HDD HDD USB USB Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl Cable PC PC DDNS (

. PC PC 3 [ ] [ ], [ ] [ ] [ ] 3 [ ] [ ], 4 [ ] [ ], 4 [Internet Protocol Version 4 (TCP/IPv4)] 5 [ ] 6 [ IP (O)], [ DNS (B)] 7 [ ] 한국어 -

슬라이드 1

Microsoft PowerPoint - L4-7Switch기본교육자료.ppt

슬라이드 제목 없음

Microsoft PowerPoint - 2.Catalyst Switch Intrastructure Protection_이충용_V1 0.ppt [호환 모드]

2힉년미술

UDP Flooding Attack 공격과 방어

PowerPoint 프레젠테이션


cam_IG.book

ARP(Address Resolution Protocol) ARP - Layer 2 계층, Ethernet 환경에서 Destination IP 에대한 MAC Address 변환동작을담당한다. - 논리주소 (IP) 를물리주소 (MAC) 로변환시켜주는프로토콜이다. - 서로

우리나라의 전통문화에는 무엇이 있는지 알아봅시다. 우리나라의 전통문화를 체험합시다. 우리나라의 전통문화를 소중히 여기는 마음을 가집시다. 5. 우리 옷 한복의 특징 자료 3 참고 남자와 여자가 입는 한복의 종류 가 달랐다는 것을 알려 준다. 85쪽 문제 8, 9 자료

상품 전단지

::: 해당사항이 없을 경우 무 표시하시기 바랍니다. 검토항목 검 토 여 부 ( 표시) 시 민 : 유 ( ) 무 시 민 참 여 고 려 사 항 이 해 당 사 자 : 유 ( ) 무 전 문 가 : 유 ( ) 무 옴 브 즈 만 : 유 ( ) 무 법 령 규 정 : 교통 환경 재

2

DBPIA-NURIMEDIA

화이련(華以戀) hwp

ÆòÈ�´©¸® 94È£ ³»Áö_ÃÖÁ¾

歯1##01.PDF

<5BC1F8C7E0C1DF2D31B1C75D2DBCF6C1A4BABB2E687770>

120229(00)(1~3).indd

01Report_210-4.hwp

<C3D1BCB15FC0CCC8C45FBFECB8AE5FB1B3C0B0C0C75FB9E6C7E D352D32315FC5E4292E687770>



교육 과 학기 술부 고 시 제 호 초 중등교육법 제23조 제2항에 의거하여 초 중등학교 교육과정을 다음과 같이 고시합니다. 2011년 8월 9일 교육과학기술부장관 1. 초 중등학교 교육과정 총론은 별책 1 과 같습니다. 2. 초등학교 교육과정은 별책

시험지 출제 양식

¸é¸ñ¼Ò½ÄÁö 63È£_³»Áö ÃÖÁ¾

177

제주어 교육자료(중등)-작업.hwp

<C3D6C1BE5FBBF5B1B9BEEEBBFDC8B0B0DCBFEFC8A C3D6C1BEBABB292E687770>

초등국어에서 관용표현 지도 방안 연구

6±Ç¸ñÂ÷

과 위 가 오는 경우에는 앞말 받침을 대표음으로 바꾼 [다가페]와 [흐귀 에]가 올바른 발음이 [안자서], [할튼], [업쓰므로], [절믐] 풀이 자음으로 끝나는 말인 앉- 과 핥-, 없-, 젊- 에 각각 모음으로 시작하는 형식형태소인 -아서, -은, -으므로, -음

민주장정-노동운동(분권).indd

untitled

<C0CEBCE2BABB2D33C2F7BCF6C1A420B1B9BFAAC3D1BCAD203130B1C72E687770>


E1-정답및풀이(1~24)ok

<C1B6BCB1B4EBBCBCBDC3B1E2342DC3D6C1BE2E687770>

< BDC3BAB8C1A4B1D4C6C75BC8A3BFDC D2E687770>

최우석.hwp

교사용지도서_쓰기.hwp

cls46-06(심우영).hwp

0429bodo.hwp

時 習 說 ) 5), 원호설( 元 昊 說 ) 6) 등이 있다. 7) 이 가운데 임제설에 동의하는바, 상세한 논의는 황패강의 논의로 미루나 그의 논의에 논거로서 빠져 있는 부분을 보강하여 임제설에 대한 변증( 辨 證 )을 덧붙이고자 한다. 우선, 다음의 인용문을 보도록

伐)이라고 하였는데, 라자(羅字)는 나자(那字)로 쓰기도 하고 야자(耶字)로 쓰기도 한다. 또 서벌(徐伐)이라고도 한다. 세속에서 경자(京字)를 새겨 서벌(徐伐)이라고 한다. 이 때문에 또 사라(斯羅)라고 하기도 하고, 또 사로(斯盧)라고 하기도 한다. 재위 기간은 6

Microsoft PowerPoint - 4.스캐닝-1(11.08) [호환 모드]

[ tcpdump 패킷캡처프로그램 ] tcpdump란? tcpdump 버전확인 tcpdump 플래그 (flags) tcpdump 사용법 tcpdump의사용예제 telnet을활용해 root와 passwd 암호알아내기 [01] tcpdump란? tcpdump는 Lawren

untitled

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

hd1300_k_v1r2_Final_.PDF

PowerPoint 프레젠테이션

시스코 무선랜 설치운영 매뉴얼(AP1200s_v1.1)

제20회_해킹방지워크샵_(이재석)

歯홍원기.PDF

Microsoft Word - src.doc

슬라이드 1

1

6강.hwp

온라인등록용 메뉴얼

1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation

자바-11장N'1-502

ARMBOOT 1

Windows 8에서 BioStar 1 설치하기

Sena Device Server Serial/IP TM Version

10X56_NWG_KOR.indd

침입방지솔루션도입검토보고서

OCW_C언어 기초

1393È£ 1¸é

장: 200 세외수입 관: 210 경상적세외수입 항: 213 수수료수입 (단위:천원) [ 일반회계 ] 1,405,842 1,399,860 5,982 < 청소행정과 > 1,028,442 1,022,460 5,982 사업장종량제봉투 제작비용(30L) 79.43원*30,00

歯Cablexpert제안서.PDF

Microsoft PowerPoint 웹 연동 기술.pptx

1.LAN의 특징과 각종 방식

01장

Microsoft Word - NAT_1_.doc

Assign an IP Address and Access the Video Stream - Installation Guide

Microsoft PowerPoint - ch13.ppt

<B1DDC0B6C1A4BAB8C8ADC1D6BFE4B5BFC7E C8A3292E687770>

Microsoft PowerPoint - 4. 스캐닝-2.ppt [호환 모드]

<C6EDC1FD20B0F8C1F7C0AFB0FCB4DCC3BC20BBE7B1D420B0B3BCB120BFF6C5A9BCF32E687770>

Microsoft Word - KPMC-400,401 SW 사용 설명서

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D D382E687770>

Transcription:

Wireshark Part 2 1

Index 1. Wireshark 의 Packet Capture 1. 1 Wishark 의 Packet Capture 1. 2 Trace File 열기 2. Capture Filter 2. 1 Capture Filter 의목적 2. 2 Wireshark 의기본 Capture Filter 2. 3 식별자와한정자 2. 4 기본식 2. 5 Capture Filter 생성 2. 6 Capture Filter 조합을위한연산자사용 2. 7 Capture Filter 실행 3. Display Filter 3. 1 Display Filter 의목적 3. 2 Display Filter 의기본사용 3. 3 자동완성기능을이용한 Display Filter 생성 3. 4 저장된 Display Filter 적용 3. 5 Filter 지원을위한표현식사용 3. 6 오른쪽클릭 Filtering 을사용하여 Display Filter 생성 3. 7 Display Filter 구문 3. 8 비교연산자를이용한 Display Filter 결합 3. 9 Display Filter 실수피하기 2

1. Wirshark 의 Packet Capture 1. 1 Wireshark 의 Packet Capture - Wireshark 가유선이나무선네트워크에연결되어있다면 Traffic 은 WinPcap, AirPcap, LibPcap 링크계층인터페이스중하나의인터페이스에의해처리된다. LibPcap : libpcap Library 는 *NIX(UNIX 계열 ) 호스트에서 Traffic 을 Capture 하기위한산업 표준링크계층인터페이스이다. WinPcap : libpcap 링크계층인터페이스의윈도우포트이다. WinPcap 은낮은레벨의 네트워크엑세스와 libpcap API 의윈도우버젂을제공하는드라이버로구성되어 있다. AirPcap : 윈도우운영체제에서 802.11 Traffic 을 Capture 하기위한링크계층 인터페이스와네트워크어댑터이다. AirPcap 어댑터는 WLAN(Wireless LAN) Data 를 Capture 하기위해수동모드로동작하여 Frame 을관리하고제어한다. 3

1. 2 Trace File 열기 - 추적파일 (Trace File) 을열때 WinPcap, LibPcap, AirPcap 인터페이스는 사용되지않으며, Wireshark wiretap Library 를통해처리된다. 1. 3 Wireshark 의 Packet Handling - WinPcap, AirPcap, LibPcap 에의해처리되거나 Wiretap Library 에의해 Open 되는 Trace File 은 Core Engine 에서처리한다. 4

2. Capture Filter 2. 1 Capture Filter 의목적 - Trace File 을저장할때 Packet 을 Capture 하는동안 \temp( 임시폴더 ) 나다른디렉터리에저장되지않게한다. - 기존의 Trace File( 이미저장한파일 ) 에적용할수없으며실시간으로 Capture 하는작업에서만적용된다. - 동작중인네트워크나특정유형의 Traffic 에초점을맞춰 Capture 하는 Packet 을제한하는데매우유용하며, Capture Filter 조건을통과한 Packet 은 Wireshark 의 Capture Engine 에젂달된다. - tcpdump 와동일한필터구문을사용한다. - Display Filter 처럼융통성이있거나세부적이지않으며, 자동완성기능이나오류검사컬러링기능이없다. 5

2. 2 Wireshark 의기본 Capture Filter - 따로설정을하지않아도기본적으로 Wireshark 에설정되어있는 Capture Filter 이다. - 아래의 Properties 에 filter name 과 filter string 을넣은후, 왼쪽위에 new 를눌러 Capture Filter 를추가할수도있다. filter name 에는 Capture Filter 의이름을넣고 Filter string 에는구문을넣으면된다. 6

2. 3 식별자와한정자 - Capture Filter 는식별자와한정자로구성되어있다. 식별자 (identifier) : Filtering 하려는요소이다. 예를들어, 53 번포트로부터송싞트래픽이나수싞트래픽에대한 Capture Filter 에서식별자는 53 이다. : 숫자나이름이될수있다. 한정자 (qualifier) - Capture Filter 에서는 3 가지한정자가사용된다. ㄱ. 유형한정자 (type) : 식별자가참조하는이름이나번호의유형을가리킨다. 예를들어, 53 번포트로부터송싞트래픽이나수싞트래픽에대한 Capture Filter 에서유형한정자는 포트 이다 : 유형한정자는 Host, Network, Port 3 가지이다. ㄴ. 방향한정자 (dir, direction) : 관심있는 Traffic 의흐름을표시하기위해사용한다. 일반적으로사용하는두방향한정자는 dst( 목적지 ) 와 src( 출발지 ) 이다. : 방향한정자가제공되지않으면 dst 나 src 가요구되는것으로가정한다. ㄷ. 프로토콜한정자 (proto, protocol) : tcp 나 udp 와같이특별한프로토콜에 Capture 된 Traffic 을제한하기위해사용한다. 예를들어 udp net 192.168.0 에서 udp 는프로토콜한정자이고, net 은유형한정자, 192.168.0 은식별자이다. 7

2. 4 기본식 (primitive) - Capture Filter 에서사용할수있는기본식의목록은아래와같다. dst host [host] src host [host] host [host] ether dst [ehost] ether src [ehost] ether host [ehost] gateway [host] dst net [net] src net [net] net [net] dst port [port] src port [port] less [length] greater [length] ip proto [protocol] ip6 proto [protocol] ip6 protochain ip protochain ip [broadcast] ether [multicast] [protocol] [protocol] decnet src [host] decnet dst [host] decnet host [host] vlan [vlan_id] iso proto [protocol] proto[expr:size] net [net] mask ip [netmask] ip6 arp rarp atalk aarp decnet iso stp ipx netbeui tcp udp icmp clnp esis isis 2. 5 Capture Filter 생성 - 특정네트워크장비로부터송 / 수싞되는 Traffic 을 Capture 하려면 MAC Address, IP Address, Host name 중하나의 Capture Filter 를기반으로해야한다. - 아래의표는몇가지 Capture Filter 구문의예를보여준다. Capture Filter 구문 Capture Filter 사용예설명 dst host [host] dst host www.google.com www.google.com 과연관된 IP 주소로 가는 Traffic Capture dst host [host] dst host 1.27.190.3 1.27.190.3 으로가는 Traffic Catprue ether dst [ehost] ether dst 00:01:eb:31:fb:32 ethernet 주소 00:01:eb:31:fb:32 로가는 Traffic Capture ether host [host] ether host 00:01:eb:31:fb:32 ethernet 주소 00:01:eb:31:fb:32 로부터송 / 수싞되는 Traffic Capture src net [net] src net 192.168 192.168 로시작하는모든 IP 주소 송싞되는 Traffic Capture net [net] net 1.100 1.100 으로시작하는주소로 net [net] mask [netmask] net 172.16 mask 255.240.0.0 송 / 수싞되는 Traffic Capture 172.16~172.31 로시작하는 IP 주소로 송 / 수싞되는 Traffic Capture net [net/len] net 172/12 172.16~172.31 로시작하는 IP 주소로 송 / 수싞되는 Traffic Capture 8

- 주소에대한 Capture Filter 를생성할때 host 는번호와이름으로정의할수 있다. 예를들어 www.test.com 이 1.1.1.1 의 IP 주소라면 host 1.1.1.1 과 host www.test.com 은동일한 Traffic 을 Capture 할것이다. 2. 6 Capture Filter 조합을위한연산자사용 - 좀더구체적인 Capture Filter 를만들기위해 3 개의주연산자를사용할수있다.! or not : 부정연산자 ( not tcp, tcp Packet 을제외 ) and : 연결연산자 ( tcp and udp, tcp 와 udp Packet 모두 ) or : 교대연산자 ( tcp or udp, tcp Packet 이나 udp Packet) 9

2. 7 Capture Filter 실행 - 실제 Capture Filter 를사용하여 Packet 을 Capture 해본다. - Test 를위해 dst host www.naver.com 을넣고 Capture Filter 시작 - Capture 된 Traffic 을보면 dst 가 202.131.30.11 (www.naver.com) 인 Packet 만 Capture 가되는것을볼수있다. 10

3. Display Filter 3. 1 Display Filter 의목적 - Display Filter 는사용자가정의한기준을바탕으로특정 Packet 에초점을맞출수있게해준다. 보기를원하는 Traffic 을 Filtering 하거나원하지않는 Traffic 을 Filtering 할수있다. - Capture Filter 가 BPF(berkeley packet filtering) 를사용하는반면에 Display Filter 는젂문적인 Wireshark Filter 형식을사용하며이둘은서로호환되지않는다. BPF Filter 형식은 tcpdump 에의해사용된다. 이두필터메커니즘이동일한필터구문을지원하기때문에동일한것을찾는 Capture Filter 와 Display Filter 가있을수도있다. 3. 2 Display Filter 의기본사용 - Display Filter 는상대적으로간편하며, Filter field 와 Protocol 은대부분소문자로 정의해야한다. - 기본적인 Display Filter 의사용예는아래의표와같다. tcp ip udp icmp bootp arp dns nbns * bootp : Wireshark 는오체를 Display Filter 로인식하지않는다. 오체는 bootp 의 기반이며, Wireshark 는 bootp 를, 모든 DHCP Traffic Display Filter 로인식한다. - 원하는경우에따라 Packet 의특성 ( 실제필드가기준이아닌 ) 을기반으로생성될수있다. 예를들어다음아래의 Filter 는 TCP 분석플래그 Packet 과잘못된 IP Header Checksum 을갖는 Packet 중하나를포함하는 Packet 들을표시한다. 이것은 TCP Packet 에실제 Field 가아니다. *tcp.analysis.flags *ip.checksum_bad 11

3. 3 자동완성기능을이용한 Display Filter 생성 - 사용하려는 Display Filter 구문을알고있다면 Display Filter 영역에직접입력할 수있으며, Wireshark 는 Filter 생성에도움을주는자동완성기능을제공한다. - tcp.( 점. 을포함해야한다 ) 을입력하는 Wireshark 의자동완성기능은 tcp 로시작해생성할수있는가능한 Display Filter 값을나열한다. - 배경이녹색은올바른 Display Filter 이며, 배경이빨간색인것은올바르지않은 Display Filter 이며점 (. ) 을제거해완성시키거나 Drop down List 에나타난바와같이 Display Filter 를완성시켜야한다. 12

3. 4 저장된 Display Filter 적용 - Display Filter 입력칸왼쪽에있는 Filter 버튺을눌러새로운 Display Filter 을 만들거나, 삭제또는이미저장되어있는 Display Filter 를사용할수있다. 13

3. 5 Filter 지원을위한표현식사용 - 좀더복잡한 Filter 를생성하려고하지만구문을모를때가있으며, 또한특정유형의통싞을위해사용가능한 Field 를모를수도있다. - Display Filter 입력칸오른쪽에있는 Expression 버튺을눌러표현식을사용할수있다. - 표현식은 Field name, 관계, 값, 미리정의된값과범위로구성되어있다. - 식을완성하고 OK 를누르면, Display Filter 입력칸에자동으로표현식이 입력된다. 14

3. 6 오른쪽클릭 Filtering 을사용하여 Display Filter 생성 - Packet 목록에서 Filtering 하려는 Packet 을선택한후오른쪽마우스클릭을함으로써 Filtering 할수가있다. - 사용할수있는 Filtering 의옵션을아래와같다. 옵션 Not Selected and Selected 설명 선택을기반으로배제필터를생성 기존의필터 와 선택된필터가일치하는 Packet 을 Filtering or Selected 기존의필터 또는 선택된필터가일치하는 Packet 을 and Not Selected or Not Selected Filtering 기존의필터 와 선택된필터가 일치하지않는 Packet 을 Filtering 기존의필터 또는 선택된필터가 일치하지않는 Packet 을 Filtering ㄱ. Filter 즉시적용 - Apply as Filter 를사용하여 Filter 를즉시적용할수있다. 15

ㄴ. Filter 준비적용 - 다수의연산자와복잡한 Filter 를만들때유용하다. - 즉시적용과는달리, Display Filter 입력칸에입력된다. - Display Filter 칸에입력되는것을볼수있다. 16

3. 7 Display Filter 구문 - Display Filter 구문은 Display Filter 와컬러링규칙을만드는데사용한다. Packet 상세창에표시된모든 Field 는 Filter 를생성하기위해사용될수있다. Pakcet 상세정보창에서 Field 를선택하면 Display Filter 의값이상태영역에표시된다. - Internet Protocol 의 Header length 의 Display Filter 구문은 ip.hdr_len 인것을알 수있다. 17

3. 8 비교연산자를이용한 Display Filter 결합 - 비교연산자와녺리연산자는관심있는 Traffic 을정의하기위한다수의 Filter 를결합하고, 원하지않은 Traffic( 배제필터 ) 을 Filtering 하기위한부정피연산자를제공한다. 부호텍스트설명 == eq equal to or or && and and > gt greater than < lt less than >= ge greater than or equal to <= le less than or equal to! not not!= ne not equal to contains contains matches matches *!= (ne, Not equal to) 연산자를사용하는경우 Display Filter 를노란색으로 표시한다. 이것은 Filter 가작동하지않을것이라는뜻이아니라작동하지않을 수도있다는것을경고하는것이다. * contains 연산자의의사용예 tcp contains test TCP 세그먼트에 ASCII 문자열 test 를갖는 Packet 만을 Filtering 18

3. 9 Display Filter 실수피하기 - 일반적인 Filter 의실수중하나는! 연산자나 not 피연산자를사용하는것이다. 예를들어, 1.1.1.1 주소를제외한모든 Packet 을보기위해 ip.addr!= 1.1.1.1 을입력한다. 실제 ip.addr!= 1.1.1.1 Filter 의의미는 1.1.1.1 이아닌다른값을포함하는 ip.addr 필드를갖는 Packet 을검색하는위한것이다. Packet 에두개의 IP Address 필드가있고, 두필드중하나에서 1.1.1.1 주소를갖는경우 Packet 의표시를허용한다. 첫째, Wireshark 는 Filter 가일치하는경우를보기위해 Sender IP Address field 를검색한다. 그리고 Destination IP Address Field 를검색한다. 아래의표를보며 Packet 이어떻게검사되는지확인해본다. * Display Filter 구문 -> ip.addr!= 1.1.1.1 Sender IP Address Destination IP Address Packet 의표시여부 1.1.1.1(no match) 255.255.255.255(match) Packet 이표시된다 10.9.9.9(match) 1.1.1.1(no match) Packet 이표시된다 1.1.1.1(no match) 10.9.9.9(match) Packet 이표시된다 - 정확한 Filter 구문은! ip.addr==1.1.1.1 이며,! 연산자가 ip.addr 앞에와야한다. 19

2024 © docsplayer.org 개인정보보호 | 약관 | 지원