홈페이지 » 어떻게 » Wireshark를 사용하여 패킷 캡처, 필터링 및 검사 방법

    Wireshark를 사용하여 패킷 캡처, 필터링 및 검사 방법

    이전에 Ethereal로 알려진 네트워크 분석 도구 인 Wireshark는 패킷을 실시간으로 캡처하여 사람이 읽을 수있는 형식으로 표시합니다. Wireshark에는 필터, 색상 코딩 및 네트워크 트래픽을 자세히 조사하고 개별 패킷을 검사 할 수있는 기타 기능이 포함되어 있습니다..

    이 튜토리얼에서는 패킷 캡쳐, 필터링 및 검사의 기본 사항을 빠르게 익힐 것입니다. Wireshark를 사용하여 의심스러운 프로그램의 네트워크 트래픽을 검사하거나, 네트워크의 트래픽 흐름을 분석하거나, 네트워크 문제를 해결할 수 있습니다.

    Wireshark 얻기

    공식 웹 사이트에서 Windows 용 Wireshark 또는 macOS를 다운로드 할 수 있습니다. 리눅스 나 다른 유닉스 계열 시스템을 사용하고 있다면 패키지 저장소에서 Wireshark를 발견하게 될 것입니다. 예를 들어 Ubuntu를 사용하고 있다면 Ubuntu Software Center에서 Wireshark를 찾을 수 있습니다..

    간단한 경고 : 많은 조직에서는 네트워크에서 Wireshark 및 이와 유사한 도구를 허용하지 않습니다. 권한이없는 경우이 도구를 직장에서 사용하지 마십시오..

    패킷 캡처

    Wireshark를 다운로드하고 설치 한 후 Wireshark를 실행하고 캡처 아래에서 네트워크 인터페이스의 이름을 두 번 클릭하여 해당 인터페이스에서 패킷 캡처를 시작할 수 있습니다. 예를 들어, 무선 네트워크에서 트래픽을 캡처하려면 무선 인터페이스를 클릭하십시오. 캡처> 옵션을 클릭하여 고급 기능을 구성 할 수 있지만, 지금은 필요하지 않습니다..

    인터페이스 이름을 클릭하자마자 패킷이 실시간으로 나타나기 시작합니다. Wireshark는 시스템에서 보내거나받은 각 패킷을 캡처합니다..

    promiscuous 모드가 활성화 된 경우 (기본적으로 활성화되어 있음) 네트워크 어댑터로 주소 지정된 패킷이 아닌 네트워크의 다른 모든 패킷도 볼 수 있습니다. 무차별 모드가 활성화되어 있는지 확인하려면 캡처> 옵션을 클릭하고이 창 맨 아래에있는 "모든 인터페이스에서 무차별 모드 사용"확인란이 선택되어 있는지 확인하십시오.

    트래픽 캡처를 중지하려면 창의 왼쪽 상단 근처에있는 빨간색 '중지'버튼을 클릭하십시오..

    색상 코딩

    아마도 다양한 색상으로 강조 표시된 패킷을 보게 될 것입니다. Wireshark는 색상을 사용하여 한눈에 트래픽 유형을 식별 할 수 있습니다. 기본적으로 옅은 자주색은 TCP 트래픽이고 연한 파란색은 UDP 트래픽이며 검은 색은 오류가있는 패킷을 식별합니다 (예 : 잘못된 순서로 배달되었을 수 있음)..

    색상 코드의 의미를 정확하게 보려면 [보기]> [색상 규칙]을 클릭합니다. 원하는 경우 여기에서 색상 규칙을 사용자 정의하고 수정할 수도 있습니다..

    샘플 캡처

    검사 할 네트워크에 흥미로운 점이 없다면 Wireshark의 위키를 사용했습니다. 위키에는로드하여 검사 할 수있는 샘플 캡처 파일 페이지가 있습니다. 파일> Wireshark에서 열기를 클릭하고 다운로드 한 파일을 찾아서 엽니 다..

    자신의 캡처를 Wireshark에 저장하고 나중에 열 수도 있습니다. 파일> 저장을 클릭하여 캡처 된 패킷을 저장하십시오..

    패킷 필터링

    집에서 전화를 걸 때 프로그램에서 보내는 트래픽과 같이 특정 사항을 조사하려고하면 네트워크를 사용하는 다른 모든 응용 프로그램을 닫는 데 도움이되므로 트래픽을 줄일 수 있습니다. 그래도 많은 양의 패킷을 검색 할 가능성이 높습니다. Wireshark의 필터가 들어있는 곳입니다..

    필터를 적용하는 가장 기본적인 방법은 창의 맨 위에있는 필터 상자에 필터를 입력하고 적용을 클릭하거나 Enter 키를 누르는 것입니다. 예를 들어 "dns"를 입력하면 DNS 패킷 만 표시됩니다. 입력을 시작하면 Wireshark가 필터 자동 완성을 도와줍니다..

    분석> 필터 표시를 클릭하여 Wireshark에 포함 된 기본 필터 중에서 필터를 선택할 수도 있습니다. 여기에서 나만의 맞춤 필터를 추가하고 저장하면 나중에 쉽게 액세스 할 수 있습니다..

    Wireshark의 디스플레이 필터링 언어에 대한 자세한 내용은 공식 Wireshark 설명서의 디스플레이 필터 표현식 작성 페이지를 참조하십시오..

    또 다른 흥미있는 일은 패킷을 마우스 오른쪽 버튼으로 클릭하고 추적> TCP 스트림을 선택하는 것입니다.

    클라이언트와 서버 사이의 완전한 TCP 대화를 볼 수 있습니다. 해당하는 경우 팔로우 메뉴의 다른 프로토콜을 클릭하여 다른 프로토콜에 대한 전체 대화를 볼 수도 있습니다..

    창을 닫으면 필터가 자동으로 적용된 것을 알 수 있습니다. Wireshark가 대화를 구성하는 패킷을 보여줍니다..

    패킷 검사

    패킷을 클릭하여 선택하고 세부 정보를 보려면 아래로 내립니다..

    여기에서 필터를 만들 수도 있습니다. 세부 정보 중 하나를 마우스 오른쪽 버튼으로 클릭하고 필터로 적용 하위 메뉴를 사용하여 필터를 만들 수 있습니다.


    Wireshark는 매우 강력한 도구이며이 자습서는 사용자가 할 수있는 작업의 표면을 긁어 모으고 있습니다. 전문가는 네트워크 프로토콜 구현을 디버그하고 보안 문제를 검사하며 네트워크 프로토콜 내부를 검사하는 데 전문가를 사용합니다..

    더 자세한 정보는 공식 Wireshark 사용자 가이드와 Wireshark 웹 사이트의 다른 문서 페이지에서 찾을 수 있습니다.