소개
네트워크 엔지니어가 이용할 기회가 많다고 생각합니다만, 패킷 캡쳐용의 오픈 소스 툴 「WireShark」에 대해서 간단하게 소개합니다. 패킷 캡처란?
네트워크의 장애 원인을 확인하기 위해 네트워크를 통해 흐르는 패킷을 캡처하고 확인하는 것입니다. WireShark란?
패킷 캡처 방법 중 하나는 "WireShark"의 사용입니다. Windows, Linux, Mac OS 등 다양한 플랫폼을 지원합니다. WireShark 사용법
이번에는, Windows 환경에서 「ICMP」를 패킷 캡쳐 한 경우의 예를 들겠습니다.
설치
다운로드 페이지에서 설치 프로그램(이번에는 3.2.5)을 가져옵니다. 설치 프로그램을 실행합니다.
기본은 디폴트의 체크인 채, 진행해 나가면 좋다고 생각합니다. 「Npcap」의 인스톨 확인에 대해서, 공식 문서 보다 패킷의 캡쳐로 필요하므로 설치합니다.
USB에 대한 통신도 캡처하는 「USBPcap」의 인스톨 확인에 대해서, 사견에서는 이용 예정이 없으면 인스톨은 스킵 해 문제 없습니다.
패킷 캡처
네트워크 인터페이스 선택
대상 네트워크 인터페이스를 마우스 오른쪽 단추로 클릭하고 캡처 시작을 클릭합니다.
필터를 이용한 패킷 캡처
WireShark는 프로토콜 유형, 포트 번호 등을 조건으로 캡처한 패킷을 필터링하는 기능을 제공합니다. 자세한 예는 다음 페이지에 나와 있습니다. 이번에는 예로서 "ICMP"의 프로토콜을 필터링합니다. 필터에 icmp를 입력하고 적용합니다.
대상 호스트에 "ping"을 수행합니다. 다음은 실행 예입니다.
대조적으로 대상 호스트가 시작되지 않은 경우 "ping"을 실행하면 다음과 같습니다.
패킷 캡처는 파일 메뉴 아래의 빨간색 테두리 버튼을 사용하여 중지할 수 있으며 왼쪽 옆의 파란색 테두리 버튼으로 다시 시작할 수 있습니다.
또한 파일 메뉴의 저장에서 확장자가 .pcapng인 파일에 패킷 캡처를 저장할 수 있습니다. 일단 채취 기록을 백업하고 나중에 WireShark에서 다시 확인하고 싶을 때 사용할 수 있습니다. 보충: netsh 실행 결과를 WireShark로 로드하는 경우
Windows 환경에서는 표준 netsh 명령을 사용하여 패킷 캡처를 수집하여 확장자가 .etl인 파일에 저장할 수 있습니다. C:\tmp>netsh trace start capture=yes
...
C:\tmp>netsh trace stop
그러나 WireShark는 ".etl"파일을 지원하지 않으므로 현재 Microsoft에서 제공하는 "etl2pcapng"에서 ".pcapng"파일로 변환해야합니다. 결론
「WireShark」는 비교적 간단하게 도입할 수 있으므로, 비공개로 특정 프로토콜의 구조를 학습할 때에도 도움이 되도록 생각합니다. 참고 자료
WireShark Wireshark Wiki DisplayFilters
Reference
이 문제에 관하여(WireShark에서 패킷 캡처), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/QGv/items/0e6846d86caa2f0f756e
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)