Logo kor.sync-computers.com
기계적 인조 인간

Wireshark로 네트워크 탐색

차례:

비디오: 와이어샤크와 네트워크마이너를 이용한 패킷 분석 활용법 정리 (십일월 2024)

비디오: 와이어샤크와 네트워크마이너를 이용한 패킷 분석 활용법 정리 (십일월 2024)
Anonim

Wireshark 란 무엇입니까?

빠른 링크

  • Wireshark 란 무엇입니까?
  • Wireshark 설치
    • 윈도우
    • 리눅스
  • 인터페이스
  • 캡처 옵션
  • 트래픽 캡처
  • 데이터 읽기
  • 패킷 필터링
    • 캡처 중 필터링
    • 필터링 결과
  • 패킷 스트림 따라 가기
  • 결산 생각

Wireshark는 네트워크 트래픽을 모니터링하고 캡처 할 수있는 강력한 네트워크 분석 도구입니다. 패킷 수준에서 트래픽을 캡처합니다. 즉, 네트워크를 통해 전달되는 각 정보 비트, 포함 된 내용 및 진행 상황을 볼 수 있습니다.

이 도구를 사용하면 네트워크 내 트래픽 흐름을 시각화하고 이해할 수 있습니다. 어떤 데이터가 전달되고 있는지 확인하면 악성 코드, 대역폭을 프로그램하는 프로그램, WiFi의 원치 않는 손님과 같이 잠재적으로 원하지 않는 트래픽뿐만 아니라 발생할 수있는 잠재적 인 보안 문제에 대한 통찰력을 얻을 수도 있습니다.

Wireshark는 또한 네트워크를 떠나는 데이터가 어떻게 더 큰 인터넷으로 전송되는지 정확히 확인할 수있게 해주는 중요한 도구입니다. 예를 들어, HTTP 요청을보고 읽을 수 있으므로 암호화되지 않은 상태로 전송되는 데이터를 확인할 수 있습니다. 특히 데이터가 은행 암호와 같은 경우에는 큰 문제가 될 수 있습니다.

Wireshark 설치

Wireshark는 오픈 소스 및 크로스 플랫폼입니다. 무료이며 모든 주요 운영 체제에서 사용할 수 있습니다. 프로그램 내의 컨트롤은 모든 플랫폼에서 완전히 동일하므로 걱정할 필요가 없습니다. 이미지는 Linux에서 가져온 것이지만 Windows 및 Mac에서도 모두 볼 수 있습니다.

윈도우

Wireshark 다운로드 페이지로 이동하여 사용중인 Windows 버전에 대한 최신 릴리스를 다운로드하십시오. 결과 .exe를 실행하십시오. 설치 프로그램은 상당히 표준입니다. 대부분을 클릭하고 기본값을 사용할 수 있습니다.

그래도 한 가지주의해야 할 것이 있습니다. WinPcap을 설치할 것인지 묻는 화면이 나타납니다. WinPcap은 Windows의 Wireshark에 대한 추가 유틸리티로 컴퓨터의 트래픽이 아닌 네트워크의 모든 트래픽을 캡처 할 수 있습니다. 상자를 체크 해제하여 WinPcap을 설치하십시오. 또한 USB 버전에 대해 묻습니다. 반드시 필요한 것은 아니지만 포함 할 수도 있습니다.

그 후 설치가 완료됩니다. WinPcap에 대한 새로운 설치가 시작됩니다. 기본값도 허용됩니다.

Wireshark 다운로드 페이지로 이동하여 최신 .dmg 파일을 가져옵니다. 다운로드가 끝나면 파일을 두 번 클릭하여 엽니 다. 열려있는 응용 프로그램을 / Applications 폴더로 끌어 Wireshark를 설치하십시오.

리눅스

대부분의 Linux 배포판에는 Wireshark가 해당 저장소에 있습니다. 패키지 관리자와 함께 설치하십시오.

$ sudo apt 설치 wireshark-gtk

배포판에 따라 일반 사용자가 패킷을 캡처하도록 허용할지 묻는 메시지가 표시됩니다. "예"라고 말해야합니다. 패키지가 설치되면 사용자에게 Wireshark 그룹을 추가하십시오. 완료되면 로그 아웃했다가 다시 로그인하십시오.

$ sudo gpasswd-사용자 wireshark

인터페이스

Wireshark를 처음 열면 위와 비슷한 화면이 나타납니다. 위의 툴바에는 꽤 많은 버튼이 있으며, 압도적으로 보일 수 있지만 생각보다 훨씬 간단합니다.

기본 캡처 인터페이스는 어색합니다. 레이아웃을보다 편하게 변경하고“편집”을 클릭하십시오.“환경 설정”메뉴와 하단을 찾아서여십시오. 환경 설정에서 왼쪽에 '레이아웃'탭이 표시됩니다. 그것을 선택하십시오. 다양한 레이아웃 옵션을 나타내는 여러 아이콘이 표시됩니다. 자신에게 가장 잘 맞는 것을 선택하십시오. 스택 형 레이아웃의 첫 번째 옵션은 일반적으로 잘 작동합니다.

툴바에 대해 너무 걱정하지 마십시오. 처음 5 개의 아이콘이 가장 중요합니다. 이를 통해 캡처 할 인터페이스를 선택하고, 캡처 설정을 변경하고, 캡처를 시작하고, 캡처를 중지하고 다시 시작할 수 있습니다. 아이콘 자체는 ​​매우 직관적입니다.

캡처 옵션

트래픽 캡처를 시작하기 전에 캡처 옵션을 탐색하여 Wireshark가 수행 할 수있는 작업을 확인해야합니다. 캡처 옵션 아이콘을 클릭하십시오. 기어처럼 보일 것입니다.

창 상단에 가장 먼저 표시되는 것은 모든 네트워크 인터페이스가 나열된 표입니다. 캡처하려는 인터페이스 옆의 상자를 선택하십시오. 대부분의 경우 원하는 인터페이스는 네트워크에 연결하는 데 사용하는 인터페이스입니다. 이더넷 포트 또는 WiFi 장치에 해당합니다.

그 아래에는 몇 개의 확인란이 있습니다. 무차별 모드를 사용할지 묻습니다. 무차별 모드를 사용하면 자신의 컴퓨터뿐만 아니라 네트워크의 모든 장치 간 교환을 볼 수 있습니다. 가능하면이 기능을 사용하도록 설정하십시오. 그래도 조심하십시오 . 소유하지 않거나 테스트 권한이있는 네트워크에서 무차별 모드를 사용하는 것은 불법 입니다.

다음 섹션에서는 캡처 파일을 다룹니다. Wireshark를 사용하면 캡처 된 데이터를 저장할 수 있습니다. 첫 번째 필드에서는 캡처 할 단일 대상을 지정할 수 있습니다. 아래에서 Wireshark가 캡처 로그를 분할 할 수 있도록 확인란을 선택할 수 있습니다. 로그는 특히 더 큰 네트워크에서 매우 커질 수 있습니다. 이 기능을 사용하면 시간 또는 파일 크기에 따라 캡처 데이터를 자동으로 분리 할 수 ​​있습니다. 어느 쪽이든, 장기 스캔이나 사용량이 많은 네트워크를 처리 할 때 편리한 기능입니다.

그 아래에서 캡처 기간을 제어 할 수 있습니다. 다시 한 번 캡처가 커질 수 있으므로 최대 크기를 설정할 수 있습니다. 시간을 초과 할 수도 있습니다. 네트워크에서 특정 시간 프레임의 스냅 샷을 만들 수 있기 때문에 좋습니다.

트래픽 캡처

설정이 완료되면 네트워크의 트래픽 캡처를 시작할 수 있습니다. 이런 종류의 일을 한 번도 해본 적이 없다면 놀랄 준비를하십시오. 네트워크를 통해 전달되는 트래픽보다 훨씬 많은 트래픽이 있습니다. 캡처를 시작하려면 구성 창의 맨 아래에있는 "시작"단추 또는 상어 지느러미 아이콘을 클릭하십시오. 어느 쪽이든 작동합니다.

기록을 시작할 때 표시되는 트래픽의 양은 네트워크에있는 장치에 따라 다릅니다. 대부분의 사람들은 자신이 보는 트래픽의 양을 따라 잡을 수는 없지만 아무것도 볼 수없는 것은 전적으로 가능합니다. 이 경우 웹 브라우저를 열고 탐색을 시작하십시오. 캡처가 빠르게 채워지기 시작합니다.

테스트하려는 시간만큼 캡처를 실행 한 후 도구 모음에서 중지 버튼을 클릭하십시오. 위의 이미지와 비슷한 모양이어야합니다.

데이터 읽기

캡처 한 패킷 중 하나를 클릭하십시오. HTTP 요청을 찾으십시오. 그들은 읽기 쉬운 경향이 있습니다. 패킷을 선택하면 화면의 다른 두 섹션이 선택한 항목에 대한 정보로 채워집니다.

주의해야 할 섹션에는 접을 수있는 탭이 쌓여 있습니다. 이러한 탭은 OSI 모델을 따르며 맨 아래에 가장 낮은 레벨 정보와 함께 가장 낮은 레벨에서 가장 높은 레벨로 정렬됩니다. 그것은 당신과 가장 관련이있는 정보가 아마도 하단 탭에 있음을 의미합니다.

각 탭에는 패킷에 대한 다른 정보가 있습니다. HTTP 패킷에는 응답, 헤더 및 HTML까지 포함하여 HTTP 요청에 대한 정보가 표시됩니다. 다른 유형의 패킷에는 사용중인 포트, 사용중인 암호화, 프로토콜 및 MAC 주소에 대한 정보가 포함될 수 있습니다.

패킷 필터링

원하는 캡처 데이터를 찾기 위해 많은 캡처 데이터를 파고들 수 있습니다. 비효율적이며 엄청난 시간 낭비입니다. Wireshark에는 필터링 기능이있어 패킷을 신속하게 분류하여 주어진 시간에 정확히 관련된 것을 찾을 수 있습니다.

Wireshark를 사용하여 결과를 필터링 할 수있는 몇 가지 기본 방법이 있습니다. 먼저 내장 필터가 많이 있습니다. 필터 필드 중 하나를 입력하기 시작하면 Wireshark가이를 자동 완성 제안으로 표시합니다. 그중 하나라도 찾고 있다면 훌륭합니다! 필터링은 매우 쉽습니다.

Wireshark는 부울 연산자를 사용합니다. 부울 연산자는 명령문이 참인지 여부를 평가하는 데 사용됩니다. 예를 들어, 두 조건을 충족 시키려면 조건 1 조건 2가 모두 true 여야하므로 조건 사이에 "and"연산자를 사용해야합니다. “또는”연산자는 비슷하지만 조건 중 하나만 충족하면됩니다. 조건이 존재하지 않을 때“not”연산자가 찾는 것으로 추측 할 수 있습니다.

부울 연산자 외에도 Wireshark는 비교 연산자를 지원합니다. 이름에서 알 수 있듯이 비교 연산자는 둘 이상의 조건을 비교합니다. 조건의 동등성을 크거나 작거나 같습니다.

캡처 중 필터링

캡처하는 동안 결과를 필터링하는 것은 매우 쉽습니다. 캡처 옵션을 백업하십시오. 창의 가운데쪽에있는 "캡처 옵션"단추를 찾으십시오. 옆에 큰 텍스트 필드가 있어야합니다.

해당 필드에서 필터를 처음부터 새로 만들거나 단추를 클릭하고 Wireshark의 내장 필터를 사용할 수 있습니다. 버튼을 클릭하십시오. 필터 목록이있는 새 창이 열립니다. 해당 필터를 클릭하면 아래 필드가 채워집니다. 맨 아래 필드는 사용중인 실제 필터입니다. 더 많은 사용자 정의 필터의 기초로 해당 필터를 수정할 수 있습니다. 준비가되면 "확인"을 클릭하십시오. 그런 다음 평소처럼 스캔을 실행하십시오. Wireshark는 모든 것을 캡처하는 대신 필터 조건을 충족시키는 패킷 만 캡처합니다. 이를 통해 패킷 데이터를 훨씬 쉽게 정렬하고 분류 할 수 있습니다. 필요한 정보를 찾기 위해 많은 추가 정보를 파헤칠 필요가 없습니다.

필터링 결과

전체 캡처 또는보다 강력한 캡처를 수행했지만 사실 이후에이를 필터링하려는 경우에도이를 수행 할 수 있습니다. 캡처를 수행하면 제어 아이콘 아래에 추가 도구 모음이 표시됩니다. 해당 도구 모음에는 "필터"필드가 있습니다. Wireshark가 표시하는 결과를 필터링하기 위해 파일에 식을 입력 할 수 있습니다.

캡처하는 동안 필터링하는 것처럼 쉬운 방법이 있습니다. "표현식"버튼을 클릭하면 필터 표현식을 구성하는 데 도움이되는 창이 열립니다. 왼쪽 열에는 필드 목록이 있습니다. 이러한 필드를 통해 타겟팅 할 정보를 선택할 수 있습니다. 다음 열에는 가능한 관계 목록이 있습니다. 대부분은 그보다 작거나 크거나 같고 그 조합에 대한 기호입니다. 마지막 열은 값입니다. 이것들은 당신이 비교하는 값입니다. 필드에 따라 비교할 값을 선택하거나 쓸 수 있습니다.

이들은 더 복잡해질 수 있으며 더 많은 표현식을 함께 추가 할 수 있습니다. 그것은 부울 연산자에 해당합니다. 그러나이 부울은 다릅니다. 이 표현식 필드는 단어 자체가 아닌 및 기호를 사용합니다. || "또는"을 나타냅니다. &&는 "and"입니다. 간단합니다! 아니다."

예를 들어 UDP 이외의 모든 것을 원하면! udp를 사용하십시오. HTTP 또는 TCP를 원하면 http || tcp. 그것들을 더 복잡한 표현으로 결합 할 수도 있습니다. 표현이 복잡할수록 필터가 더 정교 해집니다.

패킷 스트림 따라 가기

관심있는 패킷이 있으면 Wireshark에 내장 된 멋진 도구를 사용하여 해당 패킷을 교환하는 두 컴퓨터 사이의 전체 "대화"를 수행 할 수 있습니다. 다음 패킷 스트림을 통해 Wirshark는 모든 것을 통합하여 더 큰 결과물을 만들 수 있습니다. HTTP 패킷의 경우 Wireshark는 웹 페이지의 HTML 소스를 구성합니다. 암호화되지 않은 특정 VOIP 프로그램을 사용하면 Wireshark는 교환 된 오디오를 검색 할 수도 있습니다. 예, 실제로 VOIP 대화를들을 수 있습니다.

따르려는 패킷을 마우스 오른쪽 버튼으로 클릭하십시오. 패킷의 프로토콜로 점이 바뀌면서“Follow… Stream”을 선택하십시오. Wireshark는 모두 연결하는 데 몇 초가 걸립니다. 완료되면 Wireshark가 완성 된 결과를 제공합니다. 이 기능을 사용하면 네트워크를 통해 교환되는 내용을 훨씬 쉽게 확인할 수 있습니다. 또한이 기능은 암호화 된 패킷으로 총 난센스 만 합치기 때문에 네트워크 암호화의 중요성을 보여줍니다.

결산 생각

Wireshark는 네트워크 분석에서 절대적으로 멋진 도구입니다. 네트워크에서 일어나는 모든 것을 볼 수 있습니다. Wireshark를 사용하면 속도와 보안 측면에서 네트워크 문제가 어디에 있는지 더 잘 이해할 수 있습니다. Wireshark는 항상주의해서 사용해야하며 매우 방해가된다는 것을 이해하십시오. 사람들을 감시하지 말고 Wireshark를 법에 따라 사용하십시오.

Wireshark로 네트워크 탐색

편집자의 선택

Mac에서 루트킷을 확인하는 방법

Mac이 이상하게 작동하고 루트킷이 의심되는 경우 여러 가지 도구를 사용하여 다운로드 및 검색 작업을 수행해야 합니다. 루트킷이 설치되어 있어도 알지 못할 수 있다는 점은 주목할 가치가 있습니다.

Safari&8217;의 비공개 브라우징 기능을 실제로 비공개로 만드는 방법

웹 브라우저를 여는 즉시 모든 온라인 활동을 추적할 수 있습니다. 방문하는 사이트, 온라인에서 구매하는 항목 및 로그인하는 서비스

MP3 또는 M4A 파일을 iPhone 벨소리로 변환하는 방법

어쨌든 iPhone 벨소리는 무엇입니까? 사실 그냥 일반 iTunes일 뿐입니다.

8 유용한 OS X 키보드 단축키

Apple은 더 생산적이고 효율적이기를 원하는 사용자에게 적합한 선택입니다. 결국 macOS에는 작업을 더 쉽게 만들어주는 많은 키보드 단축키가 장착되어 있습니다.

Mac이 멈출 때를 위한 Mac 키보드 단축키

Mac은 가장 신뢰할 수 있는 컴퓨터 중 하나이기 때문에 디스플레이에서 회전하는 죽음의 바퀴를 볼 때 느끼는 느낌을 경험하는 사용자는 많지 않습니다. 그러나 그런 일이 발생하여 컴퓨터가 멈추는 경우 올바른 키보드 단축키를 사용하여 문제를 해결할 수 있는 옵션이 있는 것이 좋습니다.

SvnX를 사용하여 Subversion 시작하기

개발자인 경우 버전 제어 소프트웨어를 사용하면 코드의 변경 사항을 추적할 수 있습니다. 이것은 팀의 일원으로 작업하는 프로젝트에서 필수적이며 변경 사항이 발생하면 추적할 수 있습니다.