Wireshark를 최대한 활용하는 5 명의 킬러 트릭
Wireshark는 원격 트래픽 캡처에서 캡처 된 패킷을 기반으로 방화벽 규칙을 만드는 데 이르기까지 슬리브를 많이 사용합니다. Wireshark를 프로처럼 사용하려면 고급 팁을 읽어보십시오..
이미 Wireshark의 기본 사용법을 다뤘으므로 원본 기사에서이 강력한 네트워크 분석 도구에 대해 알아보십시오..
네트워크 이름 확인
패킷을 캡처하는 동안 Wireshark는 IP 주소 만 표시한다는 것에 짜증이 날 수 있습니다. IP 주소를 직접 도메인 이름으로 변환 할 수는 있지만 너무 편리하지는 않습니다..
이 기능은 기본적으로 활성화되어 있지 않지만 Wireshark는 이러한 IP 주소를 도메인 이름으로 자동 해결할 수 있습니다. 이 옵션을 사용하면 가능할 때마다 IP 주소 대신 도메인 이름이 표시됩니다. 단점은 Wireshark가 각 도메인 이름을 검색하고 캡처 된 트래픽을 추가 DNS 요청으로 오염시켜야한다는 것입니다.
에서 환경 설정 창을 열어이 설정을 활성화 할 수 있습니다. 편집하다 -> 환경 설정, 클릭 이름 확인 패널을 클릭하고 "네트워크 이름 확인 사용"확인란.
자동으로 캡처 시작
지체없이 패킷 캡처를 시작하려면 Wirshark의 명령 줄 인수를 사용하여 특별한 바로 가기를 만들 수 있습니다. Wireshark가 인터페이스를 표시하는 순서에 따라 사용할 네트워크 인터페이스 번호를 알아야합니다..
Wireshark의 바로 가기 복사본을 생성하고 마우스 오른쪽 버튼으로 클릭 한 다음 속성 창으로 이동하여 명령 줄 인수를 변경하십시오. 더하다 -i # -k 바로 가기의 끝까지 # 사용할 인터페이스의 번호를 입력하십시오. -i 옵션은 인터페이스를 지정하고, -k 옵션은 즉시 캡쳐를 시작하도록 Wireshark에 지시합니다.
Linux 또는 다른 비 Windows 운영 체제를 사용하는 경우 다음 명령을 사용하여 바로 가기를 만들거나 터미널에서 실행하여 즉시 캡처를 시작하십시오.
wireshark -i # -k
더 많은 명령 줄 바로 가기를 보려면 Wireshark의 매뉴얼 페이지를 확인하십시오..
원격 컴퓨터에서 트래픽 캡처
Wireshark는 기본적으로 시스템의 로컬 인터페이스에서 트래픽을 캡처하지만 이것이 항상 캡처하려는 위치는 아닙니다. 예를 들어 라우터, 서버 또는 네트워크의 다른 위치에있는 다른 컴퓨터에서 트래픽을 캡처 할 수 있습니다. 이것은 Wireshark의 원격 캡처 기능이 들어있는 부분입니다.이 기능은 현재 Windows에서만 사용할 수 있습니다 - Wireshark의 공식 문서는 Linux 사용자가 SSH 터널을 사용하도록 권장합니다.
먼저 원격 시스템에 WinPcap을 설치해야합니다. WinPcap은 Wireshark와 함께 제공되므로 이미 원격 시스템에 Wireshark가 설치되어 있다면 WinPCap을 설치할 필요가 없습니다.
설치가 끝나면 원격 컴퓨터에서 서비스 창을 엽니 다. 시작을 클릭하고 다음을 입력합니다. services.msc 시작 메뉴의 검색 창에 입력하고 Enter를 누릅니다. 위치 찾기 원격 패킷 캡처 프로토콜 서비스를 목록에서 시작하고 시작하십시오. 이 서비스는 기본적으로 사용 중지되어 있습니다..
클릭 캡처 옵션Wireshark에서 링크를 클릭 한 다음 먼 인터페이스 상자에서.
원격 시스템의 주소를 입력하고 2002 년 포트로. 연결할 원격 시스템의 포트 2002에 액세스 할 수 있어야하므로 방화벽에서이 포트를 열어야 할 수도 있습니다.
연결 후 인터페이스 드롭 다운 상자에서 원격 시스템의 인터페이스를 선택할 수 있습니다. 딸깍 하는 소리 스타트 인터페이스를 선택하여 원격 캡처를 시작한 후.
터미널의 Wireshark (TShark)
시스템에 그래픽 인터페이스가 없으면 TShark 명령을 사용하여 터미널에서 Wireshark를 사용할 수 있습니다.
먼저, tshark -D 명령. 이 명령은 네트워크 인터페이스의 번호를 알려줍니다..
일단 실행하면 tshark-i # #을 캡쳐 할 인터페이스 번호로 바꾸십시오..
TShark는 Wireshark와 같은 역할을하여 캡처 한 트래픽을 터미널에 인쇄합니다. 용도 Ctrl-C 캡처를 중지하려는 경우.
터미널에 패킷을 인쇄하는 것은 가장 유용한 동작이 아닙니다. 우리가 트래픽을 더 자세히 조사하기를 원한다면 TShark가 나중에 조사 할 수있는 파일에 TShark을 덤프시킬 수 있습니다. 파일에 트래픽을 덤프하려면이 명령을 대신 사용하십시오.
tshark -i # -w filename
TShark는 캡처 된 패킷을 표시하지 않지만 캡쳐 한 패킷을 계산합니다. 당신은 파일 -> 열다 나중에 Wireshark에서 캡처 파일을 여는 옵션.
TShark의 명령 행 옵션에 대한 자세한 내용은 매뉴얼 페이지를 확인하십시오..
방화벽 ACL 규칙 작성
방화벽을 담당하는 네트워크 관리자이고 Wireshark를 사용하여 엿보는 경우 의심되는 트래픽을 차단하기 위해 표시되는 트래픽을 기반으로 조치를 취하는 것이 좋습니다. Wireshark 's 방화벽 ACL 규칙 도구는 방화벽에서 방화벽 규칙을 작성하는 데 필요한 명령을 생성합니다..
먼저 방화벽 규칙을 만들려는 패킷을 클릭하여 선택하십시오. 그런 다음 도구들 메뉴 및 선택 방화벽 ACL 규칙.
사용 생성물 메뉴에서 방화벽 유형을 선택하십시오. Wireshark는 Cisco IOS, iptables를 포함한 다양한 종류의 Linux 방화벽 및 Windows 방화벽을 지원합니다..
당신은 필터 상자를 사용하여 시스템의 MAC 주소, IP 주소, 포트 또는 IP 주소와 포트를 기반으로 규칙을 만듭니다. 방화벽 제품에 따라 필터 옵션 수가 적을 수 있습니다..
기본적으로이 도구는 인바운드 트래픽을 거부하는 규칙을 만듭니다. 규칙의 동작을 수정하려면 인바운드 또는 거부하다 확인란. 규칙을 만든 후에는 부 버튼을 클릭하여 복사 한 다음 방화벽에서 실행하여 규칙을 적용하십시오..
앞으로 Wireshark에 관해 구체적인 것을 쓰길 원하십니까? 의견이나 아이디어가 있으면 의견을 보내주십시오..