[네트워크/Wireshark] 설치 및 사용법 (for mac)

 

 

 

와이어 샤크란?

네트워크에서 송수신되는 패킷을 모니터링하고, 분석할 수 있는 패킷 캡쳐 프로그램으로, 공식 홈페이지에서 설치 파일을 다운로드하여 설치하고, 네트워크 인터페이스를 선택하여 패킷을 실시간으로 관찰 및 분석할 수 있다.

 

주요 기능

패킷 캡쳐 : 네트워크 인터페이스를 통해 송수신되는 패킷 실시간 캡쳐

패킷 분석 : 캡슐화된 계층별 헤더 및 실제 데이터 확인

패킷 필터링 : 특정 조건(프로토콜, IP 주소, 포트 등)에 맞는 패킷만 조회

 

1. 와이어샤크 설치 및 사용법 소개 (맥 기준)

네트워크 통신의 핵심을 와이어샤크를 통해 직접 눈으로 확인하고 분석하는 방법을 배운다.

 

    a. 공식 홈페이지에서 자신의 CPU 아키텍쳐에 맞는 설치 파일을 다운로드 한다. (https://www.wireshark.org)

    b. macOs 설치 파일 다운로드

    c. 다운로드한 dmg 파일을 열어 appications 폴더로 드래그

    d. 실행후 나오는 Install ChmodBPF.pkg 클릭

 

 

 

2. 기본 사용법

a. 와이어 샤크를 실행하면 네트워크 인터페이스 목록이 나타난다.

b. 네트워크 인터페이스는 패킷을 송수신하는 통로이며, 현재 패킷 송수신이 이루어지고 있다면 지그재그 모양으로 표시된다.

c. 관찰하고자 하는 패킷이 오가는 네트워크 인터페이스를 선택하기 위해 지그재그 모양이 나타나는 인터페이스를 더블 클릭한다.

d. 만약 지그재그 모양이 나타나지 않으면 네트워크 연결 상태를 확인해야 한다.

 

인터페이스를 선택하면 해당 인터페이스를 통해 송수신되는 패킷이 실시간으로 캡쳐되어 화면에 표시됨.

와이어 샤크는 세 부분으로 구성된다. (박스로 구분함)

 

a. 상단 목록 창 (빨강 박스): 캡쳐된 패키의 번호, 시간, 송신지, 수신지, 프로토콜, 길이, 간략한 설명 등의 전보를 보여준다.

• 번호 : 캡쳐된 패킷의 고유 번호
• 시간 : 패킷이 캡쳐된 시점으로부터 경과된 시간
• 소스/데스티네이션: 패킷의 송신지 및 수신지 IP 주소
• 프로토콜: 사용된 프로토콜 (예: HTTP)
• Info : 패킷에 대한 간략한 설명 (예: HTTP GET 요청)

b. 중간 상세 창 (파랑 박스): 선택된 패킷의 캡슐화 과정을 계층별 헤더 정보로 보여준다

• 응용계층 (HTTP), 전송계층 (TCP), 네트워크계층(IP), 데이터 링크 계층 (Ethernet) 등의 헤더 정보 확인 가능
• 각 헤더의 상세 내용을 클릭하면 해당 계층의 정보를 자세히 볼 수 있다.

c. 하단 데이터 창 (초록 박스) : 선택된 패킷에 포함된 실제 데이터(페이로드)를 보여준다

• 특정 계층의 헤더를 클릭하면 해당 헤더에 해당하는 실제 데이터 부분이 하이라이트된다
• TCP 헤더의 경우, 실제 순서와 확인 응답 전호 외에 와이어샤크가 보기 편하게 제공하는 상대적인 번호도 표시된다
• IP 헤더에서는 송수신지 IP 주소를, 이더넷 헤더에서는 송수신지 MAC 주소와 타입을 확인할 수 있다.

 

2.1. 패킷 필터링

1. 패킷 필터링이란 ? 원하는 조건에 맞는 패킷만 조회하는 기능.

2. 기본 필터링 : 검색창에 프로토콜 이름을 입력하여 해당 프로토콜의 패킷만 조회 가능.

• 필터링 가능한 주요 프로토콜 : Ethernet, IP, IPv4, ARP, DHCP, RIP, OSPF, BGP, ICMP, TCP, UDP, DNS, HTTP, TLS(HTTPS) 등

3. 세부 필터링 : 프로토콜의 특정 필드 값으로 더욱 상세하게 필터링할 수 있다.

• Ethernet 필터: 맥 주소(eth.addr), 패킷 길이(eth.len), 타입(eth.type) 등으로 필터링 가능하다.
• IP 필터: IP 주소(ip.addr, ip.dst, ip.src), 플래그 값(ip.flags), 헤더 길이(ip.hdr_len), 총 길이(ip.len) 등으로 필터링 가능하다.
• UDP 필터: 송수신지 포트(udp.port, udp.dstport, udp.srcport) 등으로 필터링 가능하다. 
• TCP 필터: 포트(tcp.port), 시퀀스 번호(tcp.seq), 확인 응답 번호(tcp.ack), 플래그 값(tcp.flags), 헤더 길이(tcp.hdr_len), 윈도우 크기(tcp.window_size), 재전송 관련 필터 등으로 상세 필터링이 가능하다. 
• HTTP 필터: 요청/응답 관련 정보(메서드, URI, 응답 코드 등) 및 다양한 HTTP 헤더(Accept, Cache-Control, Connection, Content-Type 등)를 필터링할 수 있다. 

4. 필터 연산자 : 필터링 조건을 조합하기 위해 다양한 연산자를 사용할 수 있다.

• == (같음), != (같지 않음), and (그리고), or (또는), not (아님), >, <, >=, <= (크기 비교) 등을 사용한다. 
• 예시: tcp.port == 80, udp.port != 8000, eth.len >= 10000, ip.src == 192.168.219.102 and tcp.port == 80. 
• 복잡한 조건은 괄호 ()를 사용하여 연산 순서를 명확히 할 수 있다. 

5. 와이어샤크는 이 외에도 매우 다양한 필터 기능을 제공하며, 추가 정보는 제공된 링크에서 확인할 수 있다. 

 

2. 2. 패킷 캡쳐 파일 저장 및 열기

1. 패킷 캡쳐 파일은 .pcap 또는 .pcapng 확장자로 저장된다.

2. 저장 방법:

• file 메뉴에서 save를 선택하거나 저장 아이콘을 클릭한다.
• 파일 이름을 입력하고 .pcap 형식으로 저장 버튼을 누른다

3. 열기 방법 :

• File 메뉴에서 Open을 선택하거나 열기 아이콘을 클릭한다. 
• 저장된 패킷 캡처 파일을 선택하고 열기 버튼을 누르면 해당 패킷들을 확인할 수 있다.