TIL#52(Wireshark)

오늘 한일

• Wireshark

와이어샤크(Wireshark)는 자유 및 오픈 소스 패킷 분석 프로그램이다. 네트워크의 문제, 분석, 소프트웨어 및 통신 프로토콜 개발, 교육에 쓰인다.

 

와이어샤크는 각기 다른 네트워크 프로토콜의 구조를 이해하는 소프트웨어이다. 그러므로 각기 다른 네트워크 프로토콜이 규정한 각기 다른 패킷의 의미와 더불어 필드와 요약 정보를 보여줄 수 있다. 와이어샤크는 pcap을 이용하여 캡처를 포획하므로 pcap이 지원하는 종류의 네트워크의 패킷만 포획할 수 있다.

 

• Wireshark 사용해보기

처음 실행했을 때 네트워크 이름 옆에 선이 나오면 정상 작동 중이라는 것이다.

실시간으로 나오는 패킷의 정보들

No. : 패킷을 수집한 순서

Time : 패킷이 수집된 시간

Source : 패킷을 보낸 주소

Destination : 패킷 도착 주소

Protocol : 프로토콜 정보

Length : 패킷의 길이

Info : 패킷 정보

어려웠던 점

• 와이어샤크를 사용해보고 패킷의 정보를 분석해보기는 하였지만  활용 방법은 전혀 감이 잡히지 않았다. (패킷에 대해 더 공부하여 활용할 수 있도록 하면 좋을 것 같다.)

오늘의 TIP

• 실제 세션 패킷이나 ARP 패킷들은 와이어샤크에서 64바이트 이하로 표현된다. 실제 전송을 위해서는 64바이트 이하로는 보낼 수가 없다. 그래서 64바이트 이하 패킷을은 정보데이터에 패딩값과 FCS를 이더넷 카드에서 붙여 전송하게 된다. 와이어 샤크는 패딩과 FCS처리가 상위에서 동작하기 때문에 패킷 덤프과정에서는 나타나지 않기 때문이다.