Search results for 'WireShark'

  1. 2015.08.24 -- WireShark 사용법(2)
  2. 2015.08.24 -- WireShark 사용법(1)

WireShark 사용법(2)

2015. 8. 24. 22:57

와이어샤크(wireshark)를 이용하여 네트워크를 흘러 다니는 패킷(packet)이란 녀석을 분석하는 것이지요! 이전에도 언급했듯이 와이어샤크는 네트워크의 패킷을 분석하는데 있어 아주 강력한 툴(tool)입니다. 하지만 패킷과 와이어샤크의 기능에 대한 이해가 없다면 그 강력한 기능도 무용지물일 것입니다. 
그래서! 이 글에서는 패킷의 이해도를 높이고 보다 기능적으로  와이어샤크를 사용하기 위한 배움의 시간을 갖고자합니다. 
그럼 슬슬 패킷이란 녀석을 뜯어 볼까요?

네트워크와 패킷에 관한 설명에는 늘 빠지지 않고 등장하는 것이 있는데요, 바로 OSI 7 layer와 각 레이어(layer) 별 프로토콜에 대한 설명입니다.

OSI 모델(Open Systems Interconnection Reference Model)은 국제표준화기구(ISO)에서 개발한 모델로, 컴퓨터 네트워크 프로토콜 디자인과 통신을 계층으로 나누어 설명한 것입니다. 일반적으로 OSI 7 계층 모델이라 불리기도 합니다. 


위 그림을 참고로 하여 각 레이어별 기능과 통신 프로토콜에 대해 간단히 아래 표로 설명 드리겠습니다.

 
어떤가요? 네트워크에 대한 어느 정도 이해가 있으신 분은 위의 내용이 한 눈에 들어오시겠지만 처음 보시는 분들은 조금 어렵게 보일 수도 있을 텐
데요. 모든 부분을 설명 드리기에는 한계가 있으므로 Layer에 대한 설명은 이 정도로만 하겠습니다.

그럼 이제부터 와이어샤크가 보여주는 패킷 정보에는 어떤 의미가 있는지 본격적으로 패킷을 분석해보도록 하겠습니다.

패킷은 4개의 레이어 모델로 전체 구조를 갖고 있으며 이 규칙에 맞추어 블록 같이 끼워 맞추면 됩니다!



패킷 분석기 와이어어샤크를 통해 TCP/IP 패킷을 보면 아래 그림과 같은 정보를 볼 수 있습니다. 
'저게 뭐야?"라고 하시는 분들이 계실 수도 있습니다.

하지만 오늘 이 글을 습득하시면 저것들이 가리키는 값이 무엇인지 확실히 알 수 있습니다!!! Follow me~ ^_^

 
패킷은 위의 그림과 같이 HEX 값으로 이루어진 데이터 이며 그 값에는 각각 의미하는 바가 있습니다.

그럼 Data Link 계층의 MAC 부터 Network 계층의 IP, Transport 계층의 TCP, Application 계층의 Data까지 패킷을 차례로  뜯어보겠습니다.

가장 먼저 MAC protocol 구조입니다.

 
위의 그림을 통해 “MAC의 구조는 이렇다”라는 정도로 이해하시면 됩니다. 그렇다면 과연 이 MAC에 관한 정보를 와이어샤크에서는 어떻게 표현하고 있을까요?

빨간 box안의 값들이 바로 위의 mac에 관련된 패킷 정보 입니다. 



다음으로 IP protocol 입니다.


다소 복잡해 보일 수 있는 구조지만 우리의 패킷 분석기 와이어샤크를 이용하면 보다 쉽게 이해가 됩니다. ^^




아래 그림은 TCP protocol의 구조입니다.


이 역시 와이어샤크를 통해 확인해 보겠습니다.


 

끝으로 Application 계층의 http 프로토콜 입니다.



출처 : http://asec.ahnlab.com/156

'WireShark' 카테고리의 다른 글

WireShark 사용법(2)  (0) 2015.08.24
WireShark 사용법(1)  (0) 2015.08.24

하얀백숙 WireShark

WireShark 사용법(1)

2015. 8. 24. 22:49

1. 와이어 샤크(WireShark)란?

네트워크 패킷 분석에 가장 많이 사용되는 툴이다. 1998년 제럴드 콤스 이더리얼이 제작해 무료로 배포하였다.

▶와이어 샤크 다운로드 : http://www.wireshark.org/download.html



상어.png


2. 와이어 샤크(WireShark)의 주요 기능

와이어 샤크는 네트워크상에서 주고받는 모든 패킷을 캡쳐한다.

 

▶로컬 영억을 선택한 후 Start 버튼을 누르면 캡쳐가 시작된다.



022014_0603_32.png


▶와이어 샤크 실행 화면



022014_0603_33.png



와이어 샤크가 실행된 순간부터 전송되는 모든 패킷을 캡쳐하기 시작하며, Capture → Stop 버튼으로 캡쳐를 종료할 수 있다. File → Save를 사용해 캡쳐한 패킷 정보를 저장한다.

 

Packet List 영역에는 패킷 탐지 실행 후 경과한 시간, 송신 IP, 수신 IP, 사용하는 프로토콜, 패킷의 크기 등의 정보가 표시된다.

Packet Details 영역에서는 전송되는 패킷의 실제 정보를 볼 수 있다.

Packet Bytes 영역은 패킷의 내용을 16진수로 표시한다.

 

 

▶Packet Details 영역

패킷의 자세한 정보를 확인할 수 있다.



 022014_0603_34.png



Frame : 1계층 정보

Ethernet : 2계층 이더넷 정보 (Mac 주소)

Internet Protocol : 3계층 정보 (IP 주소)

User Datagram Protocol : 4계층 정보 (포트 넘버)

Data : 전송되는 데이터의 내용

 

 

▶필터 기능

필터는 원하는 조건에 맞는 패킷만 찾아서 볼 수 있게 도와주는 기능이다. 원하는 조건을 입력 해 주면, 해당 조건에 맞는 패킷들만 보여준다. 기본적인 표기 방식은 C언어 문법을 사용한다.


022014_0603_35.png



IP주소가 8.8.8.8 인 패킷

ip.addr == 8.8.8.8

송신자가 8.8.8.8 인 패킷

ip.src == 8.8.8.8

수신자가 8.8.8.8 인 패킷

ip.dst == 8.8.8.8

 

HTTP 포트를 통해 통신한 패킷

http

TCP 포트가 100~150 사이인 패킷

tcp >100 and tcp < 150

 

송신자가 8.8.8.8 또는 192.168.0.3 인 패킷

ip.src==8.8.8.8 || ip.src==192.168.0.3

송신자가 8.8.8.8 이고 수신자가 192.168.0.3 인 패킷

ip.src==8.8.8.8 && ip.dst==192.168.0.3

HTTP 포트를 사용한 통신에서 송신자가 8.8.8.8 이고 수신자가 192.168.0.3 인 패킷

HTTP && (ip.src==8.8.8.8 && ip.dst==192.168.0.3)

 

 

▶Fllow Stream 기능

원하는 패킷을 오른쪽 클릭한 후, 버튼을 눌러준다(TCP / UDP / SSL).



022014_0603_36.png


선택한 패킷이 사용한 Stream(통로)을 통해 주고받은 패킷을 모두 보여준다. 192.168.0.3이 59.15.115.147과 패킷을 선택했다면, 두 호스트간에 주고받은 모든 패킷의 내용을 분석해서 다음 그림과 같이 보여준다.



022014_0603_37.png


해커스쿨 FTZ 서버에 접속해 Level1로 로그인 한 과정이다.

 

※Telnet 원격접속에서는 ID, Passwd가 암호화 되지 않고 그대로 유출된다. 이러한 보안상의 문제점 때문에 원격접속에는 Telnet보다는 SSH를 주로 사용한다.

 

 

▶Expert Infos - Chat 기능

Expert Infos는 패킷의 Error, Warnings, Notes, Chats을 한번에 확인할 수 있다.

Chat 탭에는 통신의 기본 정보가 표시된다.



022014_0603_38.png


최초 접속시에 SYN, SYN+ACK를 주고받은 것을 확인할 수 있다.

 

Error : 오류 발생 패킷

Warnings : 비정상 패킷

Notes : 정상 통신의 일부가 되는 비정상 패킷

 

 

▶Statistics - Conversations 기능

누가 누구와 통신하고 있는지 표시해 준다.



022014_0603_39.png


위의 그림에서 알 수 있는 사항은 다음과 같다.

•A(192.168.0.20)가 B(192.168.0.20)와 109번의 패킷을 주고 받았다.

•패킷의 총 용량은 6,444 Byte이다.

•A는 B에게 59개의 패킷(3,286Byte)을 전송하였고, B는 A에게 50개의 패킷(3158Byte)을 전송하였다.

 

 

▶Statistics - Endpoint 기능

누가 통신하고 있는지 보여준다. Conversations 기능과 거의 비슷하지만, A와 B가 주고받은 내용이 아닌, A가 주거나 받은 내용만을 표시한다.



022014_0603_310.png


▶Statistics - IO Graph 기능

시간과 패킷의 흐름을 그래프로 나타내 준다. 


022014_0603_311.png


Conversation나 Endpoint 기능의 경우 해킹 공격을 당했을 때, 외부에서 해킹 공격을 한 IP를 찾아내는데 유용하게 사용될 것이다. IO Graph는 Ddos 탐지, 네트워크 사용량 확인 등에 사용된다.






출처:http://luuzun.blog.me/50189313319


'WireShark' 카테고리의 다른 글

WireShark 사용법(2)  (0) 2015.08.24
WireShark 사용법(1)  (0) 2015.08.24

하얀백숙 WireShark