네트워크 해킹 :: 와이어샤크/wireshark/패킷분석프로그램/wireshark 사용법
** Wireshark
와이어 샤크는 현재 가장 광범위하게 사용되는 네트워크 프로토콜 분석 프로그램이다.
1998년 제럴드 콤스 이더리얼이 제작하고 무료로 배포하였다.
네트워크 상의 미세한 레벨에서 어떤 일들이 일어나고 있는지 알려준다.
즉, 인터넷 상으로 주고 받는 패킷을 캡쳐하고 그 안에 들어있는 정보를 확인하는 프로그램이다.
와이어 샤크는 많은 특징을 가지고 있다.
먼저 수백가지의 프로토콜을 면밀히 분석할 수 있다. 그리고 Live 캡쳐와 오프라인 분석이 가능하다.
윈도우나 리눅스 솔라리스 등등의 다양한 플랫폼에서 구동할 수 있다.
캡쳐한 네트워크 데이터는 GUI나 TTY 모드 TShark 유틸리티를 통해 볼 수 있으며, 다양한 포맷의 데이터를 읽고 쓸 수 있다.
wireshark 다운로드 받는 곳 ↓
** Wireshark 사용법
- 인터페이스 선택하기
Wireshark를 실행 시키면 이런 화면이 뜬다.
캡쳐 하고 싶은 인터페이스를 한개 혹은 그 이상으로 선택할 수 있다. (여기서는 하나만 선택해서 해보겠다.)
- 시작하기
이렇게 캡쳐하고 싶은 것을 선택하고 start 클릭
- 정지 하기
- wireshark 영역 구분
Packet List 영역
: 패킷 탐지 실행 후 경과한 시간, 송신 IP, 수신 IP, 사용하는 프로토콜, 패킷의 크기 등의 정보
Packet Details 영역
: 전송되는 패킷의 실제 정보 (레벨 별)
Packet Bytes 영역
: 패킷의 내용을 16진수로 표시
- 필터 표현 방식 (예)
IP 송신자 주소가 10.10.13.137 이고 IP 수신자의 주소가 163.22.20.16 인 패킷
id.src == 10.10.13.137 && ip.dst == 163.22.20.16
id.src eq 10.10.13.137 and ip.dst eq 163.22.20.16
(id.src == 10.10.13.137) && (ip.dst == 163.22.20.16)
IP 송신자 주소가 10.10.13.137 이거나 IP 수신자의 주소가 163.22.20.16 인 패킷
id.src == 10.10.13.137 || ip.dst == 163.22.20.16
- Follow TCP stream
- 선택한 패킷 정보 읽기
FTP 에 로그인 후 파일을 하나 다운 받았다.
이렇게 주고 받은 정보의 내용이 유저 아이디는 물론 비밀번호, 어떤 명령어를 쳤는지, 어떤 파일을 다운로드 받았는지 알 수 있다.
메신저 서비스를 이용하면 어떤 대화를 주고 받았는지 까지 읽을 수 있으며
다운로드 받은 파일이 없더라도 패킷에 대한 정보를 정해진 포맷(.exe인지 .mp3인지)으로 저장하면 파일을 만들 수 있다.
'보안' 카테고리의 다른 글
| 네트워크 해킹 :: 네트워크 해킹 과정 (0) | 2014.12.16 |
|---|