Wireshark

깊이있는 삽질 Ubuntu Korea Community Wiki
이동: 둘러보기, 검색

WIRESHARK[편집]

본 문서는 wireshark의 설치 방법 및 간단한 사용설명을 포함하고 있다.

심오한 내용을 학습하고자 하는 사람은 다음 사이트를 참고하시길..

https://www.wireshark.org/

개요[편집]

WIRESHARK는 널리사용되는 Network protocol analyzer로써, 유선/무선으로 송수신 되는 TCP/IP패킷을 분석한다.

설치[편집]

UBUNTU에서는 apt를 사용하여 간단하게 설치가 가능하다.

sudo apt install wireshark

wireshark는 네트워크 시스템 리소스를 사용하는 프로그램이므로 인증된 사용자 혹은 superuser으로만 사용 할 수 있다.

그룹에 사용자 추가를 통해 사용자를 인증 할 수 있다.

sudo adduser $USER wireshark

그룹 추가 이후 재부팅


사용자 인증 후 wireshark를 none superuser도 사용가능 하도록 설정을 다시한다.

sudo dpkg-reconfigure wireshark-common

Wireshark config.png

실행 화면[편집]

Wireshark run.png

interface 선택[편집]

프로그램을 초기에 실행하면 자신의 컴퓨터에 설치된 모든 인터페이스 목록이 나타난다.

원하는 인터페이스를 선택하여 클릭하면 해당 인터페이스의 패킷을 캡춰 하는 화면으로 이동한다.

왼쪽 상단의 푸른 상어 지느러미 아이콘(?)은 패킷 캡춰 시작을 지시하는 버튼이다.

해당 버튼을 누르면 인터페이스를 통해 들어오고 나가는 모든 패킷이 캡춰 된다.

필터없음.png


패킷을 하나 더블클릭하면 패킷의 상세 정보를 나타내는 창이 뜬다.

패킷상세.png


필터를 설정하지 않고 캡춰를 하면 자신의 눈보다 빠른 패킷 증가를 보게 될 것이다.

필터 형식[편집]

Packet을 계층별로 분류하여 필터를 지정 할 수 있다.

ex) packet의 ipaddr이 192.168.0.49 일 경우

ip.addr==192.168.0.49


ex) packet의 목적지가 192.168.0.49일 경우

ip.dst==192.168.0.49


ex) tcp packet중 port 번호가 80일 경우

tcp.port==80


Filter는 논리연산으로 중복 할 수 있다.

ex) 목적지가 192.168.0.49인 80(http) packet

ip.dst==192.168.0.49 && tcp.port==80

다중필터.png