WireShark 기본 설명

Wireshark Logo

와이어샤크

- 네트워크 패킷 캡처 및 분석 프로그램이다.

 

'통신망의 상어' 라는 뜻, 우스워 보이는 이름이지만 사실 이름의 컨셉은 다음과 같다. 

피 한 방울만 떨어져도 감지해내는 상어처럼 통신망을 감시한다는 취지이다.

 

-출처: 나무위키

 

WireShark를 설치하면 처음에 볼수있는 화면이다.

캡쳐할 네트워크를 선택하면 실시간으로 해당 네트워크의 패킷이 오고가는 것을 스크롤의 압박으로 볼 수 있다.

 

상단 위를 보게 되면 여러 카테고리가 있다.

 

이 카테고리의 내용은 다음과 같다.

No.	캡쳐된 패킷의  순서
Time	캡쳐된 패킷의 시간 0초는 Capture Start Time
Source	패킷 송신지
Destination	패킷 수신지
Protocol	패킷 송/수신에 사용된 프로토콜
Length	패킷의 길이
Info	패킷의 상세정보

 

수많은 패킷들 중에 특정 ip 주소만 모니터링 하고 싶을때 사용해야 하는 것이 Display Filter 이다.

 

ex) ip.addr == 127.0.0.1 and ip.dst == 127.0.0.1

 

위와 같이 ip 송수신이 같을 때만 해당 ip을 필터링해서 보여주게 설정할수있다.

 

필터의 사용법과 필터의 설명을 간단하게 표로 정리해 보았다.

 

필터 사용법	필터 설명
eth.addr / eth.src / eth.dst	맥 주소 / 맥 주소 송신지 / 맥 주소 수신지
ip.addr / ip.src / ip.dst	ip 주소 / ip 주소 송신지/ ip 주소 수신지
[protocol].port	해당 프로토콜의 포트 확인 가능 tcp.port, udp.port
[protocol].srcport / [protocol].dstport	해당 프로토콜의 송, 수신지 포트로 확인

 

많이 사용 하는 문법만 정리 해보았다.

문법	문법 설명
&& , AND	AND 기호와 동일
|| , OR	OR 기호와 동일
!= , NOT	NOT 기호와 동일
/	ip.addr == 127.0.0.1 / 8  -> 127.x.x.x 에 해당되는 IP 주소만 검색 8 == 127.x.x.x 16 == 127.0.x.x 24 == 127.0.0.x 32 == 127.0.0.1

 

이것 말고도 많은 내용이 있으니 공식 메뉴얼을 참조하자!

https://www.wireshark.org/docs/wsug_html_chunked/

Wireshark User’s Guide