Wireshark에서 패킷을 읽는 방법

많은 IT 전문가에게 Wireshark는 네트워크 패킷 분석을 위한 도구입니다. 오픈 소스 소프트웨어를 사용하면 수집된 데이터를 면밀히 조사하고 향상된 정확도로 문제의 근본을 파악할 수 있습니다. 또한 Wireshark는 실시간으로 작동하고 색상 코딩을 사용하여 다른 멋진 메커니즘 중에서 캡처된 패킷을 표시합니다.

이 튜토리얼에서는 Wireshark를 사용하여 패킷을 캡처, 읽기 및 필터링하는 방법을 설명합니다. 아래에서 기본 네트워크 분석 기능에 대한 단계별 지침과 분석을 찾을 수 있습니다. 이러한 기본 단계를 마스터하면 네트워크의 트래픽 흐름을 검사하고 보다 효율적으로 문제를 해결할 수 있습니다.

패킷 분석

패킷이 캡처되면 Wireshark는 매우 읽기 쉬운 상세한 패킷 목록 창으로 구성합니다. 단일 패킷에 대한 정보에 액세스하려면 목록에서 해당 패킷을 찾아 클릭하기만 하면 됩니다. 또한 트리를 더 확장하여 패킷에 포함된 각 프로토콜의 세부 정보에 액세스할 수 있습니다.

보다 포괄적인 개요를 위해 캡처된 각 패킷을 별도의 창에 표시할 수 있습니다. 방법은 다음과 같습니다.

다른 사람이 Instagram에서 좋아하는 사진을 보는 방법

1. 커서로 목록에서 패킷을 선택한 다음 마우스 오른쪽 버튼을 클릭합니다.
   
2. 위의 도구 모음에서 보기 탭을 엽니다.
   
3. 드롭다운 메뉴에서 새 창에 패킷 표시를 선택합니다.
   

참고: 캡처한 패킷을 별도의 창으로 불러오면 비교하기가 훨씬 쉽습니다.

언급했듯이 Wireshark는 데이터 시각화를 위해 색상 코딩 시스템을 사용합니다. 각 패킷은 다른 유형의 트래픽을 나타내는 다른 색상으로 표시됩니다. 예를 들어 TCP 트래픽은 일반적으로 파란색으로 강조 표시되고 검은색은 오류가 포함된 패킷을 나타내는 데 사용됩니다.

물론 각 색상의 의미를 외울 필요는 없습니다. 대신 현장에서 확인할 수 있습니다.

1. 검사하려는 패킷을 마우스 오른쪽 버튼으로 클릭합니다.
   
2. 화면 상단의 도구 모음에서 보기 탭을 선택합니다.
   
3. 드롭다운 패널에서 색상 규칙을 선택합니다.
   

원하는 대로 채색을 사용자 지정할 수 있는 옵션이 표시됩니다. 그러나 색상 규칙을 일시적으로만 변경하려면 다음 단계를 따르십시오.

1. 패킷 목록 창에서 패킷을 마우스 오른쪽 버튼으로 클릭합니다.
2. 옵션 목록에서 필터로 색상화를 선택합니다.
   
3. 레이블을 지정할 색상을 선택합니다.
   

숫자

패킷 목록 창은 캡처된 데이터 비트의 정확한 수를 표시합니다. 패킷이 여러 열로 구성되어 있기 때문에 해석하기가 상당히 쉽습니다. 기본 범주는 다음과 같습니다.

• No. (Number): 언급한 대로 이 열에서 캡처된 패킷의 정확한 수를 찾을 수 있습니다. 데이터를 필터링한 후에도 숫자는 동일하게 유지됩니다.
• 시간: 짐작하셨겠지만 패킷의 타임스탬프가 여기에 표시됩니다.
• 소스: 패킷이 시작된 위치를 보여줍니다.
• Destination: 패킷을 보관할 장소를 나타냅니다.
• 프로토콜: 일반적으로 약어로 된 프로토콜의 이름을 표시합니다.
• 길이: 캡처된 패킷에 포함된 바이트 수를 나타냅니다.
• 정보: 열에는 특정 패킷에 대한 추가 정보가 포함됩니다.

시간

Wireshark가 네트워크 트래픽을 분석할 때 캡처된 각 패키지에는 타임스탬프가 찍힙니다. 그러면 타임스탬프가 패킷 목록 창에 포함되고 나중에 검사할 수 있습니다.

Wireshark는 타임스탬프 자체를 생성하지 않습니다. 대신 분석기 도구는 Npcap 라이브러리에서 가져옵니다. 그러나 타임스탬프의 소스는 실제로 커널입니다. 그렇기 때문에 타임스탬프의 정확도는 파일마다 다를 수 있습니다.

타임스탬프가 패킷 목록에 표시되는 형식을 선택할 수 있습니다. 또한 표시되는 기본 정밀도 또는 소수점 이하 자릿수를 설정할 수 있습니다. 기본 정밀도 설정 외에도 다음이 있습니다.

• 초
• 10분의 1초
• 100분의 1초
• 밀리초
• 마이크로초
• 나노초

원천

이름에서 알 수 있듯이 패킷의 소스는 원산지입니다. Wireshark 리포지토리의 소스 코드를 얻으려면 Git 클라이언트를 사용하여 다운로드할 수 있습니다. 그러나 이 방법을 사용하려면 GitLab 계정이 있어야 합니다. 없이도 가능하지만 만일을 대비하여 가입하는 것이 좋습니다.

계정을 등록했으면 다음 단계를 따르세요.

1. 다음 명령을 사용하여 Git이 작동하는지 확인하십시오. |_+_|
   
2. 이메일 주소와 사용자 이름이 구성되었는지 다시 확인하십시오.
3. 다음으로 Workshark 소스의 복제본을 만듭니다. |_+_| 사본을 만들 SSH URL입니다.
4. GitLab 계정이 없으면 HTTPS URL을 사용해 보세요. |_+_|
   

모든 소스는 이후에 장치에 복사됩니다. 특히 네트워크 연결이 느린 경우 복제에 시간이 걸릴 수 있습니다.

목적지

특정 패킷의 대상 IP 주소를 알고 싶다면 디스플레이 필터를 사용하여 찾을 수 있습니다. 방법은 다음과 같습니다.

1. 입력 |_+_| Wireshark 필터 상자에 넣습니다. 그런 다음 입력을 클릭합니다.
   
2. 패킷 목록 창은 패킷 대상만 표시하도록 재구성됩니다. 목록을 스크롤하여 관심 있는 IP 주소를 찾으십시오.
   
3. 완료되면 도구 모음에서 지우기를 선택하여 패킷 목록 창을 재구성합니다.

규약

프로토콜은 동일한 네트워크에 연결된 서로 다른 장치 간의 데이터 전송을 결정하는 지침입니다. 각 Wireshark 패킷에는 프로토콜이 포함되어 있으며 디스플레이 필터를 사용하여 가져올 수 있습니다. 방법은 다음과 같습니다.

1. Wireshark 창 상단에서 필터 대화 상자를 클릭합니다.
2. 검사할 프로토콜의 이름을 입력합니다. 일반적으로 프로토콜 제목은 소문자로 작성됩니다.
3. 입력 또는 적용을 클릭하여 디스플레이 필터를 활성화합니다.

길이

Wireshark 패킷의 길이는 특정 네트워크 조각에서 캡처된 바이트 수에 따라 결정됩니다. 이 숫자는 일반적으로 Wireshark 창 하단에 나열된 원시 데이터 바이트 수와 일치합니다.

길이 분포를 확인하려면 패킷 길이 창을 여십시오. 모든 정보는 다음 열로 나뉩니다.

• 패킷 길이
• 세다
• 평균
• 최소값 / 최대값
• 비율
• 퍼센트
• 버스트 속도
• 버스트 시작

정보

캡처된 특정 패킷 내에 변칙 또는 유사한 항목이 있는 경우 Wireshark는 이를 기록합니다. 그런 다음 추가 검사를 위해 정보가 패킷 목록 창에 표시됩니다. 그렇게 하면 비정형적인 네트워크 동작을 명확하게 파악할 수 있어 더 빠른 반응을 얻을 수 있습니다.

추가 FAQ

패킷 데이터를 어떻게 필터링합니까?

필터링은 특정 데이터 시퀀스의 세부 사항을 조사할 수 있는 효율적인 기능입니다. Wireshark 필터에는 캡처와 표시의 두 가지 유형이 있습니다. 캡처 필터는 특정 요구 사항에 맞게 패킷 캡처를 제한하기 위해 있습니다. 즉, 캡처 필터를 적용하여 다양한 유형의 트래픽을 걸러낼 수 있습니다. 이름에서 알 수 있듯이 디스플레이 필터를 사용하면 패킷 길이에서 프로토콜에 이르기까지 패킷의 특정 요소를 자세히 살펴볼 수 있습니다.

필터를 적용하는 것은 매우 간단한 과정입니다. Wireshark 창 상단의 대화 상자에 필터 제목을 입력할 수 있습니다. 또한 소프트웨어는 일반적으로 필터 이름을 자동 완성합니다.

또는 기본 Wireshark 필터를 통해 빗질하려면 다음을 수행하십시오.

1. Wireshark 창 상단의 도구 모음에서 분석 탭을 엽니다.

마인 크래프트에서 말을 얻는 방법

2. 드롭다운 목록에서 디스플레이 필터를 선택합니다.

3. 목록을 탐색하고 적용하려는 항목을 클릭합니다.

마지막으로 다음은 유용할 수 있는 몇 가지 일반적인 Wireshark 필터입니다.

• 소스 및 대상 IP 주소만 보려면 다음을 사용하십시오. |_+_|

• SMTP 트래픽만 보려면 다음을 입력합니다. |_+_|

• 모든 서브넷 트래픽을 캡처하려면 다음을 적용하십시오. |_+_|

• ARP 및 DNS 트래픽을 제외한 모든 것을 캡처하려면 다음을 사용하십시오. |_+_|

Wireshark에서 패킷 데이터를 어떻게 캡처합니까?

장치에 Wireshark를 다운로드하면 네트워크 연결 모니터링을 시작할 수 있습니다. 포괄적인 분석을 위해 데이터 패킷을 캡처하려면 다음을 수행해야 합니다.

1. Wireshark를 실행합니다. 사용 가능한 네트워크 목록이 표시되므로 검사하려는 네트워크를 클릭합니다. 트래픽 유형을 정확히 파악하려는 경우 캡처 필터를 적용할 수도 있습니다.

2. 여러 네트워크를 검사하려면 shift + 왼쪽 클릭 컨트롤을 사용합니다.

3. 다음으로, 위의 도구 모음에서 맨 왼쪽 상어 지느러미 아이콘을 클릭합니다.

4. 캡처 탭을 클릭하고 드롭다운 목록에서 시작을 선택하여 캡처를 시작할 수도 있습니다.

5. 이를 수행하는 또 다른 방법은 Control – E 키 입력을 사용하는 것입니다.

소프트웨어가 데이터를 가져오면 패킷 목록 창에 실시간으로 나타나는 것을 볼 수 있습니다.

샤크 바이트

Wireshark는 고급 네트워크 분석기이지만 해석하기가 놀라울 정도로 쉽습니다. 패킷 목록 창은 매우 포괄적이고 잘 구성되어 있습니다. 모든 정보는 7가지 색상으로 구분되어 있으며 명확한 색상 코드로 표시되어 있습니다.

또한, 오픈 소스 소프트웨어에는 모니터링을 용이하게 하는 다양한 필터를 쉽게 적용할 수 있습니다. 캡처 필터를 활성화하면 Wireshark가 분석할 트래픽 종류를 정확히 찾아낼 수 있습니다. 데이터가 수집되면 지정된 검색에 대해 여러 표시 필터를 적용할 수 있습니다. 대체로 마스터하기 어렵지 않은 매우 효율적인 메커니즘입니다.

네트워크 분석에 Wireshark를 사용합니까? 여과 기능에 대해 어떻게 생각하십니까? 건너뛴 유용한 패킷 분석 기능이 있으면 아래 의견에 알려주십시오.