2020. 7. 2.

[Network] p03 wireshark 1


// wireshark 패킷을 캡처한것을 보여주는 프로그램으로 winPcap 역할을 해준다.
*와이어샤크 다운로드

Wiresh ark • x C https://www.wireshark.org/download.html WIRESHARK Download Wireshark The current stable release of Wireshark is 2.2.1. It supersedes all previous releases. Stable Release (2.2.1) Windows Installer (64-bit) Windows Installer (32-bit) Windows PortableApps• (32-bit) macOS 10.6 and later Intel 64-bit .dmg Source Code

*와이어샤크 설치

Windows용을 설치 시에 WinPcap을 같이 설치한다.
Winpcap NIC를 프러미스큐어스 모드(Promiscuous mode) 모드로 작동시킨다.
Windows 계열의 OS OS레벨에서 프러미스큐어스 모드를 지원하지 않는다.

*와이어샤크메뉴 구성

시작
종료
재시작
조건 선택
이전 내용(파일)열기
내용저장
열린 파일 닫기
재 로드

*와이어샤크 - 실행

Fle Ggture Can twe Capture Interface

*와이어샤크 실행 옵션

Capture filter 통해 다양한 설정이 가능하다.
Capture Enter a capture filter • --•using this filter: Cisco remote Random packs @ SSH remote ce Learn User•s Guide You are running W Ready to load or c Save this filter Manage Capture Filters Ethernet address host Ethernet type Ox•080é (ARP): ether proto Ox080é No Broadcast and no Multicast: not broadcast and not multicast NO ARP: not arp IPv4 only: ip IPv4 address 192,021: host 192.021 IPV6 only: ip6 IPv6 address host IPX only: ipx TCP only: tcp UDP only: udp TCP or UDP port 80 (HTTP): port 30 TCP port (30): tcp port http NO ARP and no DNS: not arp and port not 53 Non-HTTP and non-SN•ITP to/from not port 30 and not port 25 and host www.wireshark...

Capture filter ex.
  • ip src host ##.##.##,##
  • ip dst host ##.##.##,##
  • tcp port ##
  • tcp portrange ##-##
  • src portrange ##-##
  • dst portrange ##-##
  • not, or, and 사용도 가능하다.

// range 범위 설정하는건 ftp 밖에 없다.

*와이어샤크 디스플레이 필터


*와이어샤크 - 필터

Apply g ! 1 冫 39 m_ 1 14 1 32 39 32 3 , 3 SOU 53 30 31 19 ) 1 12 1 :

*와이어샤크 - 검색

검색 기능을 이용 필요한 패킷을 찾고 표시한다.
F 旦 0 卜 0 丨 4g1 g 19 168.19 ·

검색 형태
  • Display filter
    • 필터와 동일하며 IP등을 검색할 때 쓰인다.
  • Hex value
    • 16진수를 이용 MAC 주소등을 검색할 때 쓰인다.
  • String
    • 패킷이나 분석창의 문자열을 이용 검색한다.

이동
^N : 다음 검색
^B : 이전 검색
마킹
^M : 패킷 마킹
선택한 패킷간 이동
  • [SHIFT] 키와 검색 이동 키를 같이 누른다.

*와이어샤크 화면 메뉴 구성

[Edit] – [Preferences] – [User Interface] 메뉴에 [Column] 항목을 조정한다.
  • 이외에도 다양한 Interface 항목을 변경할 수 있다.
A •OlCIL_2 [Wireshark 26.1 Eile Edt View Go Capture Analyze StatStics x Telephony looÉ Filter. Source 22 192. 168.10. 3 23 24 52. 230. 85. 180 Destination 52. 230. 85. 180 192. 168.10.3 : ff Protocol TLSv1. ARP TLSv1. mternals Help Clear v Expressiom Length Info 128 Application Data 60 192.168.10.1 is at 180 Application Data

*와이어샤크 - 저장

Wireshark_ Söve file 35 'I-XI(I): temp 7Y71 010101 011010 011100 vah 010101 011010 011100


*패킷 분석 실습

Wireshark를 이용해서 ARP 요청 응답 패킷을 각각 캡처 저장해 보자
Windows에서 arp 목록 삭제 명령
> netsh interface ip delete arpcache

C: W>arp —a 192.168.10.3 192. 168.10.11 224.0.0.2 C: W>netsh interface ip C: Warp —a 192.168.10.3 224.0.0.2 Oxe b8-97-5a-40-c1-8d 01-00-5e-OO-OO-02 delete arpcache Oxe 01-00-5e-OO-OO-02

다음 패킷을 계층별로 분석해보자

la 50 18 oo 30 65 32 30 20 61 69 78 20 4b 29 70 2d 65 41 20 03 37 34 44 63 47 63 Od 65 20 22 oo 64 20 61 20 4d 68 70 69 6d 33 50 95 74 32 54 65 43 76 61 40 oo 6f 65 30 Od 2f 6f 41 65 78 37 00 00 74 31 32 6e no 40 2f 20 20 30 53 2e 6e 69 20 31 37 06 88 54 54 20 65 32 65 76 74 30 32 06 27 54 6f 68 30 72 2e 63 65 69 30 2d 50 64 75 36 76 34 74 Od 6d Od 32 30 2f 69 65 20 69 65 63 31 66 20 30 72 28 6f 45 2d Oa 4d 2e 69 30 31 55 6e 65 75 54 34 31 65 32 20 6e 65 74 61 63 45 co 20 64 20 41 67 32 oo a8 Od 44 70 35 33

Ethernet 헤더

la 50 18 oo 30 65 32 30 20 61 69 78 20 4b 29 70 2d 65 41 20 03 37 34 44 63 47 63 Od 65 20 22 oo 64 20 61 20 4d 68 70 69 6d 33 50 95 74 32 54 65 43 76 61 40 oo 6f 65 30 Od 2f 6f 41 65 78 37 00 00 74 31 32 6e no 40 2f 20 20 30 53 2e 6e 69 20 31 37 06 88 54 54 20 65 32 65 76 74 30 32 06 27 54 6f 68 30 72 2e 63 65 69 30 2d 50 64 75 36 76 34 74 Od 6d Od 32 30 2f 69 65 20 69 65 63 31 66 20 30 72 28 6f 45 2d Oa 4d 2e 69 30 31 55 6e 65 75 54 34 31 65 32 20 6e 65 74 61 63 45 co 20 64 20 41 67 32 oo a8 Od 44 70 35 33

Ethernet 패킷 분석


IP 헤더

00 oo 30 20 44 65 20 61 69 78 29 65 41 20 62 37 34 44 63 47 63 Od 65 20 22 36 oo 64 20 61 20 4d 70 69 6d 30 50 95 74 32 54 65 43 76 61 34 30 ad co oo 6f 65 30 Od 2f 6f 41 65 78 37 22 00 00 74 31 32 Od 00 48 20 20 30 53 69 20 31 37 54 54 20 65 32 65 76 74 30 32 Od 29 27 54 68 30 72 63 65 69 30 2d Oa 15 50 64 75 36 76 34 74 6d Od 32 30 2f 69 65 20 69 65 63 31 66 20 30 72 6f 4b 6f 45 2d 08 4 69 30 31 55 65 75 54 34 oo 31 65 32 20 65 74 61 63 co 50 20 64 32 41 20 70 67 32 33 30 70 4b 35 33

00 00 οιοοιοιι οιιοωοο οιιοοοοο οοοοοοιο 90 ΙΙOΙΙOΙΙ 00000000 00000000 αρ ΟΟ 11000000 οιοιοοοο οοοιοιοι ΙOΙΙΙΙΙ0 οιοιοοοο οοοιοιοι 00000000 00000010 0ΙOΙΙΙΙ0 οοοοοοι Ι οοοοοοι Ι ιοιοωιο 00 017 90 00






시간:
라벨: ,

댓글 없음:

댓글 쓰기

피드 구독하기: 댓글 (Atom)