wireshark 메뉴얼

학과 : 사이버경찰

과목 : 네트워크포렌식실습

교수 : 안미정교수님

학번 : 10091111

이름 : 김준만

1. 와이어샤크란?

2. 와이어샤크 다운로드

리눅스 : yum –y install wireshark (레드햇계열)

apt-get –y install wireshark (데비안계열)

자유 및 오픈 소스 패킷 분석 프로그램이다. 네트워크의 문제, 분석, 소프트웨어 및 통신

프로토콜 개발, 교육에 쓰인다. 원래 이름은 Ethereal이었으나 2006년 5월에 상표 문제

로 말미암아 와이어샤크로 이름을 바꾸었다.

와이어샤크는 크로스 플랫폼으로, GTK+ 위젯 툴킷을 이용하여 사용자 인터페이스를 제

공하며, pcap을 이용하여 패킷을 포획한다. 리눅스, 맥 OS X, BSD, 솔라리스를 포함한 다

양한 유닉스 계열 운영 체제와 마이크로소프트 윈도에서 동작한다. GUI가 없는 터미널

기반 버전인 티샤크(TShark)도 제공한다. 와이어샤크, 또 TShark와 같은 프로그램과 함께

배포되는 여러 프로그램들은 자유 소프트웨어로, GNU 일반 공중 사용 허가서의 조건으

로 공개된다.

출처 : 위키백과

기타 OS 다운로드 : http://www.wireshark.org/download.html

3. 와이어샤크 인터페이스

○1 단축버튼

Interfaces : 캡쳐할 인터페이스를 선택할 수 있다.

Options : 캡쳐를 시작하기 전에 여러 기본적인 옵션들을 선택 할 수 있다.

Start : 캡쳐를 시작한다.

Stop : 캡쳐를 중지한다.

Restart : 캡쳐를 다시 시작한다.

Open : 저장된 파일을 열때 사용한다.

Open Recent : 최근에 열었던 파일을 열때 사용한다.

Close : 현재 캡쳐 하고 있는 화면을 닫는다.

Reload this capture file : pcap파일을 새로고침한다.

Find Packet.. : 특정 패킷을 찾을수 있다.

Back : 이전에 선택된 패킷으로 돌아간다.

Forward : 돌아오기전에 선택되었던 앞의 패킷으로 돌아간다.

Go to Packet… : Packet 의 앞부분에 써있는 Number 로 Packet 을 찾을수 있다.

First Packet : 모든 패킷의 가장 상단 패킷으로 이동한다.

Last Packet : 모든 패킷의 가장 하단 패킷으로 이동한다.

Colorize Conversation : 모든 패킷의 색상을 바꿀수 있다.

Auto Scroll Packet List in Live Capture : 패킷캡쳐를 하는동안 자동으로 스크롤을 내릴 수

있다.

Zoom In : 글씨 크기를 확대할 수 있다.

Zoom out : 글씨 크기를 축소할 수 있다.

Normal Size : 원래 상태의 사이즈로 돌아온다.

Resize All Columns : 현재 사이즈에 맞춰 재 배열한다.

capture filter : 캡쳐 필터링 규칙을 설정할 수 있다.

display filter : 출력 필터링 규칙을 설정할 수 있다.

Coloring Rules .. : 패킷에 대한 색상을 임의의 색으로 바꿀수 있다.

Preferences.. : 캡쳐 화면이나 윈도우 창, 폰트 등을 상세하게 설정할 수 있다.

help : 도움말.

○2 PACKET DETAILS PANE

packet list 패널은 캡쳐된 모든 패킷을 보여줍니다. Source/destination MAC/IP 주소, TCP /UDP

포트 번호, 프로토콜, 패킷 내용 등의 정보를 얻을 수 있습니다.

○3 DISSECTOR PANE

Packet Details 화면은 패킷을 와이어 샤크가 스스로 정리하여 모든 패킷의 상세 정보를 자세히

볼수 있습니다.

4. 패킷 캡쳐

○1 실시간 패킷 캡쳐

Ctrl+I를 눌러 인터페이스 창을 띄우고 원하는 네트워크 인터페이스 카드를 선택한다. 그리고

Start버튼을 누르면 패킷 캡쳐가 시작된다.

○2 pcap파일 불러오기

Ctrl+O를 눌러 파일을 불러온다.

5. 와이어샤크를 활용한 패킷 분석

○1 전체보기

Statistics -> Conversations에 들어가보면 모든패킷들이 세션별로 보기좋게 정리되어 있다.

원하는 세션을 선택해 Follow Stream을 클릭하면 클라이언트 <-> 서버 간의 데이터를 색깔로

구분해서 볼 수 있다.

원하는 세션에서 마우스 오른쪽클릭해 Apply as Filter -> Selected -> ‘A<->B’를 누르면 해당 세

션의 모든계층의 프로토콜을 확인할 수 있다.

○2 HTTP 파일 획득

HTTP패킷안에 첨부된 파일이 있다면 와이어샤크에서 추출할 수 있다.

File -> Export Objects -> HTTP

○3 필터링

Filter -> Expression으로 들어가면 프로토콜들이 보인다. Ctrl+F를 눌러 원하는 프로토콜을 검색

해 원하는 필드명을 선택하고 Value값을 집어넣어준다.

또 다른방법으로는 상태 표시줄을 확인하는 방법이다. 원하는 패킷과 비슷한 패킷하나를 선택

하고, 원하는 필드명을 클릭하면 상태 표시줄에 검색 가능한 단어가 뜬다. 괄호안에 있는 값을

복사해서 필터룰에 추가 시켜주면 된다.

○4 무선 패킷 분석

와이어샤크는 무선 패킷 분석도 가능하나 키값을 알지 못하면 위와 같이 읽어들이지 못한다.

Edit -> Preferences를 누른다. Protocol은 IEEE802.11, Enable decryption에 체크를 해주고

Decryption Keys의 Edit클릭한다. New를 눌러 키값을 입력하고 OK.