[ wireshark ] 와이어샤크(wireshark) 사용법

wireshark 를 쓸 일이 생겼다. 대학 다닐 때, 네트워크 시간에 몇 번 써보고..... 흐음... 최근에 다시 쓰려니 기억이 가물가물... 그래서 이번에 정리 해본다!

 

 

 

 

설치 

https://www.wireshark.org/download.html

Wireshark · Download

wireshark 사이트에서 자신의 os에 맞게 다운로드 받으면 된다. 이후부터는 default 로 선택되어있는 것들을 그대로 두고 NEXT 를 눌러 설치하면 된다.

(참고로, 나는 default로 선택되면 불필요한 것도 같이 설치되어 해제 하는 편인데, 아무 것도 모르고 해제 했다가 wireshark에서 패킷을 캡쳐하기 위해 필요로 하는 기능들을 제공하는 라이브러리인 Npcap도 해제해서, 다시 설치했다...)

 

 

 

 

사용법

 

wireshark를 실행하면, 아래와 같은 화면이 표시되며, 어떤 네트워크를 통해서 송수신하는 패킷을 확인할 지 선택해야 한다. ( 나는 wifi를 사용하므로, wifi를 선택했다. )

아래 하단 화면은 wireshark 로 패킷 캡쳐를 시작하고 google.com 을 접속했을 때의 HTTP 통신 패킷이다.

필터링을 통해 http 만 보이게 했으며, 내 host pc에서 google.com에 request 하고, google.com 에서 내 host pc에 response 한 것을 확인할 수 있다. 

 

 

 

 

필터링

 

ip.src_host: 패킷을 보내는 쪽의 host ip 를 말한다. 

ip.dst_host: 패킷을 받는 쪽의 host ip를 말한다.

tcp.port: tcp의 port 를 뜻한다.

and: 여러 조건으로 필터링을 거는 경우에 사용한다. ( 처음에 아무 생각없이 &, && 썼는데 안되서 많이 당황했었다. 찍지말고 찾아보자! )

or: and와 마찬가지고 여러 조건으로 필터링을 거는 경우에 사용한다.

==: 필터링 명과 값이 일치할 때를 찾고 싶을 때 사용한다.

!=: 필터링 명과 값이 일치한 것을 제외하고 싶을 때 사용한다.

 

[ wireshark 에서 필터링을 사용한 캡쳐 화면 ]

 

※ 상단에 작성한 필터링은 이번에 wireshark 사용하면서 자주 쓴  필터링 명이며, 다른 필터링도 많으니 필요한 거는 찾아서 사용하면 된다.

 

 

 

 

※  ip 주소 hostname으로 변경하는 방법

패킷 리스트를 보게되면 아래와 같이, source, destination 이 숫자로 나열되어 있음을 알 수 있다. 이렇게 보면, 아무래도 사람이 분석하기 쉽지 않다. 내가 요청한 사이트의 ip까지 알기 어려우니깐... 

이럴 경우, 상단에 [View]->[Name Resolution] 에 있는 Address 들을 선택한다. 

그러면, 숫자로 나열된 ip 주소가 hostname으로 변경되어 표시된다.

 

※  VPN 일 경우 

VPN 을 사용할 경우, VPN 에서의 내 ip를 확인하여, 해당 ip에 맞는 네트워크를 선택해야 한다. 나만 헤매었을 수도 있지만... 나는 좀 헤맸다.. 혼자 이것저것 다 눌러보고 하다가 안돼서 종료하고 wireshark를 재실행했더니 VPN ip가 잡혔다. 만약 내가 사용하는 네트워크가 없다면 껏다켜보자.