WireShark에서 패킷 캡처

3881 단어 Wireshark네트워크

소개


  • 네트워크 엔지니어가 이용할 기회가 많다고 생각합니다만, 패킷 캡쳐용의 오픈 소스 툴 「WireShark」에 대해서 간단하게 소개합니다.

  • 패킷 캡처란?


  • 네트워크의 장애 원인을 확인하기 위해 네트워크를 통해 흐르는 패킷을 캡처하고 확인하는 것입니다.

  • WireShark란?


  • 패킷 캡처 방법 중 하나는 "WireShark"의 사용입니다.
  • Windows, Linux, Mac OS 등 다양한 플랫폼을 지원합니다.

  • WireShark 사용법



    이번에는, Windows 환경에서 「ICMP」를 패킷 캡쳐 한 경우의 예를 들겠습니다.

    설치



  • 다운로드 페이지에서 설치 프로그램(이번에는 3.2.5)을 가져옵니다.
  • 설치 프로그램을 실행합니다.
  • 기본은 디폴트의 체크인 채, 진행해 나가면 좋다고 생각합니다.
  • 「Npcap」의 인스톨 확인에 대해서, 공식 문서 보다 패킷의 캡쳐로 필요하므로 설치합니다.
       
  • USB에 대한 통신도 캡처하는 「USBPcap」의 인스톨 확인에 대해서, 사견에서는 이용 예정이 없으면 인스톨은 스킵 해 문제 없습니다.
       


  • 패킷 캡처



    네트워크 인터페이스 선택


  • 대상 네트워크 인터페이스를 마우스 오른쪽 단추로 클릭하고 캡처 시작을 클릭합니다.


  • 필터를 이용한 패킷 캡처


  • WireShark는 프로토콜 유형, 포트 번호 등을 조건으로 캡처한 패킷을 필터링하는 기능을 제공합니다. 자세한 예는 다음 페이지에 나와 있습니다. 이번에는 예로서 "ICMP"의 프로토콜을 필터링합니다.
  • 필터에 icmp를 입력하고 적용합니다.
     
  • 대상 호스트에 "ping"을 수행합니다. 다음은 실행 예입니다.

  • 대조적으로 대상 호스트가 시작되지 않은 경우 "ping"을 실행하면 다음과 같습니다.

  • 패킷 캡처는 파일 메뉴 아래의 빨간색 테두리 버튼을 사용하여 중지할 수 있으며 왼쪽 옆의 파란색 테두리 버튼으로 다시 시작할 수 있습니다.
     
  • 또한 파일 메뉴의 저장에서 확장자가 .pcapng인 파일에 패킷 캡처를 저장할 수 있습니다. 일단 채취 기록을 백업하고 나중에 WireShark에서 다시 확인하고 싶을 때 사용할 수 있습니다.

  • 보충: netsh 실행 결과를 WireShark로 로드하는 경우


  • Windows 환경에서는 표준 netsh 명령을 사용하여 패킷 캡처를 수집하여 확장자가 .etl인 파일에 저장할 수 있습니다.
  • C:\tmp>netsh trace start capture=yes
    ...
    C:\tmp>netsh trace stop
    
  • 그러나 WireShark는 ".etl"파일을 지원하지 않으므로 현재 Microsoft에서 제공하는 "etl2pcapng"에서 ".pcapng"파일로 변환해야합니다.

  • 결론


  • 「WireShark」는 비교적 간단하게 도입할 수 있으므로, 비공개로 특정 프로토콜의 구조를 학습할 때에도 도움이 되도록 생각합니다.

  • 참고 자료


  • WireShark
  • Wireshark Wiki
  • DisplayFilters
  • 좋은 웹페이지 즐겨찾기