Day 58 (Wireshark)

<목록>

1. Wireshark

2. Wireshark 설치 과정

3. packet capture

4. packet 저장

5. Ethernet packet 분석

---

1. Wireshark

 

Wireshark는 패킷 인터페이스만을 제공하는 프로그램이다. Wireshark만으로는 packet capture를 할 수 없기 때문에 winpcap을 이용한다.

winpcap은 NIC의 promiscuous mode를 활성화 시킨다. promiscuous mode는 모든 패킷을 받을 수 있게 하는 모드로서 MAC주소를 검사하지 않는 모드이다.

 

2. Wireshark 설치 과정

 

3. packet capture

메인 화면이다.

capture filter를 지정한다.

capture filter에 맞게 출력된다.

view filter를 지정한다.

view filter를 조건에 맞게 검색하는 것도 가능하다.

view filter를 적용하여 검색한다.

ARP패킷은 정상적인 경우에는 패킷이 발생하지 않지만, 스위칭 허브가 floording 하는 경우에는 목적지가 아니고 통신 방식이 unicast임에도 불구하고 패킷이 오는 경우가 발생한다.

 

4. 패킷 저장

capture을 멈추지 않으면 저장이 불가능 하다.

capture을 멈춰야 저장이나 외부파일로 저장이 가능하다.

All packets은 모든 패킷을 저장한다. Selected packet은 선택한 한 패킷만을 저장한다. Range는 capture된 패킷의 행 앞 번호로 범위를 지정해 저장한다.

Contrl+m을 하면 패킷을 Mark할 수 있다.

Marking된 패킷만을 저장할 수 있다. 

 

5. Ethernet packet 분석

Ethernet 패킷분석의 예시이다.