Wireshark는 네트워크 패킷을 캡처하고 분석하는 오픈소스 도구이다.
패킷분석 관련 GUI 프로그램 중 가운데 제일 간단하고 또 강력한 도구라고 생각한다.
보안 컨설팅, 취약점 분석, 보안 공격등에 폭 넓게 사용되는 도구 중 하나이다.
오늘은 Wireshark를 설치하고 간단한 사용법에 대해 작성하고자 한다.
1. 우선 Wireshark 다운로드 페이지에 접속한다.
https://www.wireshark.org/download.html
Wireshark · Download
Download Wireshark The current stable release of Wireshark is 3.6.1. It supersedes all previous releases.
www.wireshark.org
2. 페이지에 접속하여 본인 플랫폼에 맞는 설치파일을 다운로드 받는다.
(설치 중 설정값은 기본값으로 유지하고 진행한다)
3. Wireshark 설치 도중 나오는 Npcap 설치또한 반드시 진행해주어야 한다.
(취약점 스캔과 네트워크 검색을 위한 무료 오픈소스 툴이다.
네트워크 관리자는 Npcap을 사용해 시스템에서 실행 중인 디바이스를 파악하고
사용 가능한 호스트 및 이러한 호스트가 제공하는 서비스를 검색하고 열린 포트를 찾고 보안 위험을 탐지한다.)
4. 설치가 완료된 후 Wireshark를 실행하면 기본 화면이 나오고 캡쳐할 인터페이스와
필터 옵션을 선택할 수 있다.
필터 옵션 : capture filter : 특정 패킷만 캡처 하고자 할 때 사용
display filter : 일단 모든 패킷을 받고 그 중에서 원하는 패킷만 확인하고자 할 때 사용
5. 간단한 테스트를 위해 이더넷으로 캡처를 진행하였다.
이더넷으로 주고받는 패킷의 대한 정보가 실시간으로 업데이트 되어 캡처된다.
파란색 부분은 No. : 패킷을 수집한 순서, Time : 패킷이 캡처된 시간, Source : 패킷을 보낸 주소
Destination : 패킷이 도착한 주소, Protocol : 프로토콜 정보, Length : 패킷 길이, Info : 패킷 정보
빨간색 부분은 원하는 필터링 식으로 적용해서 Display 할 수 있다.
예를 들어 eth.addr == [MAC Address] → 출발지나 목적지 MAC 주소로 검색
ip.addr == [IP Address] → 출발지나 목적지 IP주소로 검색
tcp.port == [Port Number] → TCP 출발지나 목적지 포트 번호로 검색
ip.src != [IP Address] → 출발지 IP주소가 해당 IP주소가 아닌것 검색
eth.dst == [MAC Address] → 목적지 MAC주소 검색 이런식으로 다양한 필터링이 가능하다.
6. 간단한 테스트를 위해 구글의 Public DNS인 8.8.8.8로 ping test를 진행했다.
7. ping의 동작여부를 확인하기 위해 5번에서 설명했던 필터링에 icmp를 입력한다.
(icmp란 TCP/IP에서 IP 패킷을 처리할 때 발생되는 문제를 알려주는 프로토콜이다.
ping 명령어는 icmp 프로토콜에서 작동한다.)
이 처럼 내 Host IP와 8.8.8.8 간의 패킷 교환을 확인할 수 있다.
8. 단순한 확인뿐만 아니라 TCP Stream, HTTP Stream, Hex Value, Export Objects 기능 등을 활용해
데이터 분석, 이미지 등 파일 추출 등의 작업이 가능하다.
이로 인해 네트워크 관련 CTF 문제 풀이 시에는 필수인 툴 중 하나이다.
