전제 조건:와이어샤크
소개 이 문서에서는 패킷 캡처 및 분석 방법을 소개합니다. 또한 캡처 및 분석 중에 효율성을 높이기 위해 사용되는 몇 가지 고급 도구를 소개합니다.
왜 냄새를 맡습니까?
당신은 보안 시스템에 대한 사전 경험이있는 경우,당신은 정찰의 중요성을 충분히 강조 할 수 없다. 그리고 당신이 새로운 경우,그것은 매우 중요하다는 것을 알고 있습니다. 패킷 스니핑은 네트워크 정찰 및 모니터링의 필수적인 형태입니다. 그것은 학생 및 전문가를위한 동등하게 유용.
이것은 수학적으로 정확한 유형 계층구조인,강력한 타입을 정의합니다. 기본적으로 와이어 샤크는 온 디바이스 데이터 만 캡처하지만,무차별 모드에서 실행하는 경우는 랜의 거의 모든 데이터를 캡처 할 수 있습니다. 현재 와이어샤크는 패킷 캡처 라이브러리를 사용하고 있습니다.
시작 및 실행: 설치 시작 와이어 샤크 후,관리자 또는 수퍼 유저 권한을 승인하고 다음과 같이 보이는 창이 표시됩니다:
이 창은 장치의 인터페이스를 보여줍니다. 하나의 인터페이스를 선택 스니핑 시작하고 왼쪽 상단에있는 참 아이콘을 클릭합니다. 데이터 캡처 화면에는 세 개의 창이 있습니다. 상단 창에는 실시간 트래픽이 표시되고 중간 창에는 선택한 패킷에 대한 정보가 표시되고 하단 창에는 원시 패킷 데이터가 표시됩니다. 위쪽 창에는 소스 주소,소스 및 대상 포트,패킷이 속한 프로토콜 및 패킷에 대한 추가 정보가 표시됩니다.
매초마다 많은 패킷이 들어오고 나가기 때문에 모든 패킷을 보거나 한 유형의 패킷을 검색하는 것은 지루할 것입니다. 이것이 패킷 필터가 제공되는 이유입니다. 패킷은 캡처 수준 또는 디스플레이 수준에서 아이피 주소,포트 번호 또는 프로토콜과 같은 많은 매개 변수를 기반으로 필터링 할 수 있습니다. 명백한 표시 레벨 필터는 캡처되는 패킷에 영향을 미치지 않습니다.
일반적인 캡처 필터 중 일부는 다음과 같습니다:
- 호스트(단일 대상을 통해 트래픽을 캡처)
- 그물(네트워크 또는 하위 네트워크를 통해 트래픽을 캡처). 대상 호스트에서 오는 데이터인지 또는 대상 호스트로가는 데이터인지를 나타냅니다.)
- 포트(포트를 통해 또는 포트에서 트래픽을 캡처). “포트”는 데이터가 대상 포트에서 오거나 대상 포트로 이동하는지 여부를 나타 내기 위해”포트”를 접두사로 붙일 수 있습니다.
- “및”,”아님”및”또는”논리적 연결.(함께 여러 필터를 결합하는 데 사용).
좀 더 기본적인 필터가 있으며 매우 창의적으로 결합 할 수 있습니다. 필터의 또 다른 범위,디스플레이 필터는 캡처 된 데이터에 추상화를 만드는 데 사용됩니다. 이러한 기본 예제는 구문에 대한 기본 아이디어를 제공해야합니다:
- 티피포트==80.1743>
.요청.응용 프로그램 계층 수준에서 요청된 패킷을 표시합니다. - 논리적 연결 및 또는 여기에서도 작동하지 않습니다.
- 192.168.0.0/16.192.168.0.0/16 은 워크스테이션 및 서버와의 트래픽을 표시합니다.
색칠 규칙의 개념도 있습니다. 각 프로토콜/포트/기타 요소는 빠른 분석을 위해 쉽게 볼 수 있도록 고유 한 색상을 제공합니다. 컬러링 규칙에 대한 자세한 내용은 여기
플러그인은 기본 와이어 샤크에 포함 할 수있는 코드의 추가 조각입니다. 플러그인 분석에 도움:
- 매개 변수 별 통계 및 통찰력을 표시합니다.
- 캡처 파일 및 해당 형식과 관련된 문제 처리.
- 다른 도구 및 프레임워크와 협력하여 올인원 네트워크 모니터링 솔루션을 설정합니다.
장치 또는 랜을 통과하는 모든 트래픽을 볼 수있는 기본 기능과 분석에 도움이되는 도구 및 플러그인으로 장치로 많은 작업을 수행 할 수 있습니다. 처럼:
- 장치 또는 무선 랜과 문제 해결 인터넷 연결 문제.
- 맬웨어 감염의 징후일 수 있는 원치 않는 트래픽에 대한 장치 모니터링.
- 네트워킹과 관련된 응용 프로그램의 작업을 테스트합니다.
- 컴퓨터 네트워크가 어떻게 작동하는지 이해하기 위해 사용합니다.