Windows에서 Wireshark를 사용하는 방법. 와이어샤크를 사용하는 방법

Wireshark: 어떻게 사용하나요?

안녕하세요 친구! 이 기사에서는 사용 시 알아야 할 가장 중요한 사항에 대해 설명하고 이야기하려고 합니다. Linux의 Wireshark, 분석 내용을 보여드리겠습니다. 세 가지 유형네트워크 트래픽. 이 매뉴얼은 Windows에서 Wireshark를 사용하는 경우에도 적용됩니다.

당신이 처음이라면 정보 보안, 스니퍼(트래픽 분석기)가 무엇인지 잘 이해하고 계시다면 이 기사를 읽고 나서 Wireshark 사용 방법에 대한 이 기사를 읽어보시기 바랍니다.

인기가 많고 실력도 뛰어나다 네트워크 프로토콜 분석기 Gerald Combs가 개발한 Wireshark는 2006년 6월 Combs가 자신이 만든 네트워킹 도구의 이름을 Ethereal로 바꾸면서 시작되었습니다. 왜냐하면 직업을 바꾸고 더 이상 이전 이름을 사용할 수 없었기 때문입니다. 오늘날 대부분의 사람들은 Wireshark를 사용하고 있으며 Ethereal은 역사입니다.

Wireshark: 최고의 스니퍼

Wireshark가 무료라는 사실 외에 다른 네트워크 분석기와 어떻게 다른지 궁금할 것입니다. 그리고 패킷 캡처를 위해 tcpdump 사용을 장려하는 것이 어떨까요?

Wireshark의 가장 큰 장점은 그래픽 응용. 사용자 인터페이스에서 데이터를 수집하고 네트워크 트래픽을 확인하는 것은 복잡한 네트워크 데이터를 이해할 수 있게 해주기 때문에 매우 편리합니다.

Wireshark를 사용하는 방법?

초보자가 Wireshark를 이해하려면 네트워크 트래픽을 이해해야 합니다. 그렇다면 이 기사의 목적은 분석하는 네트워크 트래픽에서 필요한 결론을 도출할 수 있도록 TCP/IP의 기본 사항을 설명하는 것입니다.

TCP 패킷 및 IP 패킷 형식.

Wireshark를 다음과 같이 실행하는 경우 일반 사용자, 네트워크 인터페이스에 대한 기본 Unix 파일 권한으로 인해 네트워크 인터페이스를 사용하여 데이터를 수집할 수 없습니다. 데이터를 수집할 때는 루트(sudowireshark)로 Wireshark를 실행하고, 데이터를 분석할 때는 일반 사용자로 실행하는 것이 더 편리합니다.

또는 유틸리티를 사용하여 네트워크 데이터를 수집할 수 있습니다. 명령줄 tcpdump를 루트로 만든 다음 Wireshark를 사용하여 분석합니다. 사용량이 많은 네트워크에서 Wireshark를 사용하여 데이터를 수집하면 컴퓨터 속도가 느려질 수 있으며, 더 나쁜 경우 Wireshark에는 더 많은 데이터가 필요하기 때문에 필요한 데이터를 수집하지 못할 수도 있습니다. 시스템 리소스명령줄 프로그램보다 이러한 경우 네트워크 트래픽 데이터를 수집하는 가장 합리적인 솔루션은 tcpdump를 사용하는 것입니다.

Wireshark를 사용하여 네트워크 데이터 캡처

데이터 캡처를 시작하는 가장 쉬운 방법 네트워크 패킷- Wireshark를 시작한 후 필요한 인터페이스를 선택하고 시작을 클릭하세요. Wireshark는 네트워크 트래픽을 기반으로 화면에 네트워크 데이터를 표시합니다. 하나 이상의 인터페이스를 선택할 수 있습니다. TCP, IP 또는 기타 프로토콜에 대해 아무것도 모르는 경우 결과를 읽고 이해하기 어려울 수 있습니다.

데이터 캡처 프로세스를 중지하려면 메뉴에서 캡처 > 중지를 선택합니다. 또는 왼쪽에서 네 번째 아이콘, 즉 기본 도구 모음에서 빨간색 사각형("Stop live data Capture"의 약자)이 있는 아이콘을 클릭할 수 있습니다(정확한 위치는 보유하고 있는 Wireshark 버전에 따라 다릅니다). . 이 버튼은 네트워크 데이터가 수집되는 동안에만 누를 수 있습니다.

이 캡처 방법을 사용하면 Wireshark의 기본 캡처 옵션을 변경할 수 없습니다. 메뉴에서 캡처 > 옵션을 선택하여 캡처 옵션을 확인하고 변경할 수 있습니다. 여기에서 네트워크 인터페이스를 선택하고, IP ​​주소를 보고, 데이터 수집 필터를 적용하고, 모든 네트워크 패킷을 수신하도록 네트워크 카드를 설정하고, 수집된 데이터를 하나 이상의 파일에 저장할 수 있습니다. 도달하면 패킷 캡처를 중지하도록 지시할 수도 있습니다. 특정 숫자네트워크 패킷, 특정 시간, 특정 양의 데이터(바이트 단위).

기본적으로 Wireshark는 수집된 데이터를 저장하지 않지만 나중에 언제든지 저장할 수 있습니다. 일반적으로 특별한 이유가 없는 한 네트워크 패킷을 저장한 다음 검사하는 것이 가장 좋다고 알려져 있습니다.

Wireshark를 사용하면 이미 수집된 수많은 네트워크 데이터를 읽고 분석할 수 있습니다. 파일 형식, tcpdump, libpcap, Sun의 snoop, HP의 nettl, K12 텍스트 파일 등을 포함합니다. 즉, Wireshark는 거의 모든 형식의 수집된 네트워크 데이터를 읽을 수 있습니다. 마찬가지로 Wireshark를 사용하면 수집된 데이터를 다양한 형식. Wireshark를 사용하여 파일을 한 형식에서 다른 형식으로 변환할 수도 있습니다.

내보낼 수도 있습니다. 기존 파일간단한 형태로 텍스트 파일파일 메뉴에서. 이 옵션은 주로 네트워크 데이터를 수동으로 처리하거나 다른 프로그램에 입력하기 위한 것입니다.

패키지를 인쇄하는 옵션이 있습니다. 실생활에서 사용해본 적은 없지만 교육 목적으로 패키지와 전체 내용을 인쇄하면 매우 도움이 될 수 있습니다.

Wireshark 디스플레이 필터

네트워크 데이터를 캡처할 때 캡처 필터가 적용되면 Wireshark는 필터와 일치하지 않는 네트워크 트래픽을 고려하지 않습니다. 반면 디스플레이 필터는 데이터가 캡처된 후에 적용되며 네트워크 트래픽을 삭제하지 않고 "숨깁니다". 언제든지 디스플레이 필터를 비활성화하고 숨겨진 데이터를 다시 가져올 수 있습니다.

원칙적으로 표시 필터는 어떤 정보를 수집하거나 조사하기로 결정할지 미리 알 수 없기 때문에 데이터 수집 필터보다 더 유용하고 다용도로 간주됩니다. 그러나 데이터를 캡처할 때 필터를 사용하면 시간과 디스크 공간이 절약되며, 이것이 필터를 사용하는 주된 이유입니다.

Wireshark는 구문상 올바른 필터를 연한 녹색 배경으로 강조 표시합니다. 구문에 오류가 있으면 배경이 분홍색으로 변합니다.

표시 필터는 비교 연산자와 논리 연산자를 지원합니다. 표시 필터 http.response.code

3단계 TCP 연결 설정의 3개 패킷(SYN, SYN+ACK 및 ACK)

404 && ip.addr == 192.168.1.1은 IP 주소 192.168.1.1에서 나오거나 404(찾을 수 없음) HTTP 응답 코드가 있는 IP 주소 192.168.1.1로 이동하는 트래픽을 보여줍니다. !boo1p &&!ip &&!agr 필터는 결과에서 BOOTP, IP 및 ARP 트래픽을 제외합니다. eth.addr == 01:23:45:67:89:ab && tcp.port == 25 필터는 MAC 주소 01:23:45:67:89:ab를 사용하여 네트워크 장치에서 들어오고 나가는 트래픽을 표시합니다. 들어오고 나가는 연결에 사용 TCP 포트 25번에서.

디스플레이 필터는 마술처럼 문제를 해결하지 못한다는 점을 기억하세요. ~에 올바른 사용이는 매우 유용한 도구이지만 여전히 결과를 해석하고, 문제를 찾고, 적절한 해결책을 스스로 찾아내야 합니다.

기사는 다음 페이지에 계속됩니다. 가기 위해 다음 페이지소셜 네트워크 버튼 아래에 있는 버튼 2를 클릭하세요.

오늘날 인터넷 트래픽을 캡처하고 분석하는 가장 강력한 도구는 무엇입니까? 대답은 간단합니다 - Wireshark입니다. 나가는 TCP 패킷뿐만 아니라 들어오는 TCP 패킷도 가로챌 수 있습니다. 이 도구는 많은 전문가들이 사용합니다. 그리고 해커는 그것을 사용하지 않습니다. 프로그램의 가능성은 무한합니다. 도움을 받으면 패키지에서 모든 파일을 추출하여 보고 확인할 수 있습니다. 주요 질문은 이를 수행하는 방법입니다. 우리는 이것을 알아 내려고 노력할 것입니다.

와이어샤크란?

이 유틸리티는 인터넷 트래픽을 제어하도록 설계되었습니다. 컴퓨터에서 받거나 보낸 TCP 패킷을 가로챕니다. 프로그램의 기능은 단순 차단에 국한되지 않을 정도로 풍부합니다. 패키지 내용을 보고 오류를 찾는 등의 작업을 수행할 수 있습니다. 또한 WS의 도움으로 패키지에서 거의 모든 파일을 추출하여 볼 수 있습니다. 이 프로그램이 무엇인지 더 잘 이해하려면 주요 장점을 강조해야 합니다. 따라서 전문가들은 다음과 같이 말합니다.

• 크로스 플랫폼(Linux, Mac, Unix용 버전이 있음)
• 이 유틸리티는 완전 무료입니다.
• 광범위한 기능을 가지고 있습니다.
• 맞춤화의 유연성;
• 트래픽을 필터링하는 기능;
• 나만의 필터 만들기
• 실시간 패킷 차단.

이 유틸리티에는 실제로 많은 장점이 있습니다. 하지만 그런 단점은 전혀 없습니다. Wireshark가 TCP 패킷 캡처 및 분석에 있어서 최고의 제품으로 간주되는 것은 당연합니다. 이제 프로그램 자체에 대해 조금 이해해야 합니다.

설치 및 구성

개발자의 공식 웹사이트에서 Wireshark를 다운로드할 수 있습니다. 이 프로그램은 완전 무료입니다. 최신 버전(2.0.5)이 작동하지 않는다는 사실에 주목할 필요가 있습니다. Wi-Fi 어댑터. 따라서 트래픽 분석이 필요한 경우 무선 통신, 이전 버전을 다운로드해야 합니다.

유틸리티 설치는 표준이며 초보자라도 문제가 발생하지 않습니다. 설치 프로그램의 모든 내용은 영어로 되어 있지만 명확합니다. 그런데 Wireshark는 본질적으로 러시아어로 존재하지 않으므로 이 소프트웨어에 성공적으로 대처하려면 기억력에 부담을 주고 영어를 기억해야 합니다. 원칙적으로 단순히 TCP 패킷을 캡처하고 보는 데 특별한 것은 필요하지 않습니다. 학교 수준의 영어이면 충분합니다.

따라서 설치된 프로그램을 실행한 후 가장 먼저 보게 되는 것은 메인 창입니다. 훈련받지 않은 사용자에게는 이해하기 어렵고 무섭게 보일 수 있습니다.

아무 문제가 없습니다. 이제 이것을 보게 될 것입니다. 시작하려면 먼저 TCP 패킷을 캡처할 소스를 선택해야 합니다. 차단은 다음 중 하나를 통해 수행될 수 있습니다. 이더넷 연결, WLAN 어댑터 포함. 예를 들어 WLAN 옵션을 고려하십시오. 구성하려면 "캡처" 항목, 하위 항목 "옵션"으로 이동해야 합니다. 열리는 창에서 무선 어댑터그리고 체크 표시를 해주세요. 트래픽 캡처를 시작하려면 "시작" 버튼을 클릭하세요.

"시작"을 클릭하면 패킷 분석 및 캡처가 시작됩니다. 창에 이상한 문자와 숫자가 많이 나타납니다. 일부 패키지에는 자체 색상 코딩이 있습니다. 무엇이든 이해하려면 어떤 색이 무엇을 나타내는지 알아야 합니다. 녹색 - TCP 트래픽, 진한 파란색 - DNS, 연한 파란색 - UDP 및 검정색 - 오류가 있는 TCP 패킷입니다. 이제 이 엄청난 양의 데이터를 더 쉽게 이해할 수 있습니다.

차단 프로세스를 중지하려면 빨간색 직사각형으로 표시된 '중지' 버튼을 클릭하세요. 이제 관심 있는 패키지를 선택하여 보실 수 있습니다. 이렇게 하려면 패키지를 마우스 오른쪽 버튼으로 클릭하고 나타나는 메뉴에서 "새 창에 패킷 표시"를 선택하십시오. 이상한 문자와 숫자가 즉시 나타납니다.

하지만 때 심층 연구제공된 정보를 통해 패키지가 어디서 왔는지, 어디로 가는지, 무엇으로 구성되었는지 이해할 수 있습니다. 나중에 TCP 패킷에 대한 데이터를 보려면 캡처된 정보를 저장하는 기능을 사용해야 합니다. 이는 "파일" 메뉴 항목, "다른 이름으로 저장" 하위 항목에 있습니다. 그러면 해당 파일의 정보를 다운받아 차분하게 보실 수 있습니다.

필터 사용

관심 있는 정보만 표시하려면 Wireshark에서 필터를 사용하고 불필요한 트래픽을 차단하도록 할 수 있습니다. 지침 미세 조정필터는 인터넷에 있지만 지금은 한 가지 예만 살펴보겠습니다. TCP 패킷에만 관심이 있다고 가정해 보겠습니다. 프로그램이 해당 항목만 표시하려면 "캡처" 메뉴 항목, "캡처 필터" 하위 항목으로 이동하여 "TCP 전용" 항목을 선택하고 "확인" 버튼을 클릭해야 합니다.

이렇게 하면 유틸리티가 관심 있는 트래픽만 표시하도록 할 수 있습니다. 필터 사용 방법에 대한 자세한 내용은 인터넷에 기록되어 있습니다. 자신만의 필터 템플릿을 만들 수도 있습니다. 그러나 그것은 완전히 다른 이야기입니다.

결론

캡처 및 분석 프로그램 중 Wireshark 트래픽이러한 문제를 해결하는 데 가장 가치 있는 유틸리티로 자리매김했습니다. 많은 전문가들이 그것을 성공적으로 사용합니다. 물론, 전문적인 수준에서 작업하려면 영어 지식을 향상하고 데이터 전송의 몇 가지 원칙을 배워야 합니다. 그러나 그것은 그만한 가치가있다. 이제 컴퓨터의 어떤 프로그램도 수많은 메시지를 보낼 수 없습니다. 불필요한 정보당신의 지식 없이는 어디에 있는지 모르겠습니다. Wireshark는 인터셉터 및 분석기로서 타의 추종을 불허합니다.

동영상

소개

진행 중 컴퓨터 네트워크호스트의 네트워크 스택에서는 때때로 문제가 발생하는데, 그 원인은 잘 알려진 통계 수집 유틸리티(예: netstat)로 감지하기 어렵습니다. 표준 애플리케이션 ICMP 프로토콜(ping, Traceroute/tracert 등)을 기반으로 합니다. 이러한 경우 문제를 진단하려면 네트워크 트래픽을 표시(듣기)하고 이를 개별 프로토콜의 전송 단위 수준에서 분석할 수 있는 보다 구체적인 도구를 사용해야 하는 경우가 많습니다( "냄새를 맡다", 냄새를 맡다).

분석기 네트워크 프로토콜 또는 "스니퍼"매우 유용하다 네트워크 노드의 동작을 연구하고 네트워크 문제를 식별하는 도구. 물론 날카로운 칼과 같은 다른 도구와 마찬가지로 스니퍼는 손에 축복이 될 수 있습니다. 시스템 관리자또는 정보 보안 엔지니어이며 컴퓨터 공격자의 손에 범죄 무기가 있습니다.

이러한 전문 소프트웨어는 일반적으로 다음을 사용합니다. "무차별"(무차별) 작동 모드 네트워크 어댑터 컴퓨터를 모니터링합니다(특히 네트워크 세그먼트, 스위치 포트 또는 라우터의 트래픽을 가로채기 위해). 아시다시피 본질은 이 모드에 내려진다 인터페이스로 들어오는 모든 프레임을 처리하기 위해, MAC 주소로 향하는 것뿐만 아니라 네트워크 카드일반 모드에서와 마찬가지로 방송됩니다.

이 글에서 다룬 제품은 와이어샤크네트워크 트래픽을 가로채서 대화형으로 분석하는 잘 알려진 도구로, 실제로 산업 및 교육 분야의 표준입니다. 에게 주요 특징들와이어샤크다음이 포함될 수 있습니다: 다중 플랫폼(Windows, Linux, Mac OS, FreeBSD, Solaris 등); 수백 가지의 분석 능력 다양한 프로토콜; 그래픽 운영 모드와 명령줄 인터페이스(tshark 유틸리티) 모두 지원 강력한 트래픽 필터 시스템; 작업 결과를 XML, PostScript, CSV 형식 등으로 내보내기

또 다른 중요한 사실은 Wireshark가 오픈 소스 소프트웨어라는 것입니다. GNU GPLv2 라이센스에 따라 배포됩니다., 즉, 이 제품을 원하는 대로 자유롭게 사용할 수 있습니다.

Wireshark 설치

운영 체제용 최신 버전의 Wireshark 윈도우 시스템그리고 OS X도 그렇고 원천할 수 있다 프로젝트 웹사이트에서 다운로드. Linux 배포판 및 BSD 시스템의 경우, 이 제품일반적으로 표준 또는 추가 저장소에서 사용할 수 있습니다. 이 기사에 게시된 스크린샷은 Windows용 Wireshark 버전 1.6.2에서 가져온 것입니다. Wireshark는 오랫동안 안정적이고 기능적인 제품이었기 때문에 Unix 계열 운영 체제의 저장소에서 찾을 수 있는 이전 버전의 프로그램도 성공적으로 사용할 수 있습니다.

Wireshark는 Pcap(패킷 캡처) 라이브러리를 기반으로 합니다., 네트워크 인터페이스와의 상호 작용에 대한 하위 수준 기능(특히 네트워크 프로토콜 및 프로토콜의 임의 전송 단위 차단 및 생성)을 구현하기 위한 애플리케이션 프로그래밍 인터페이스를 제공합니다. 로컬 네트워크) . Pcap 라이브러리는 tcpdump, snort, nmap, kismet 등과 같은 잘 알려진 네트워킹 도구의 기반이기도 합니다. Unix 계열 시스템의 경우 Pcap은 일반적으로 표준 저장소에 있습니다. 소프트웨어. Windows 운영 체제 제품군에는 Winpcap이라는 Pcap 버전이 있습니다. 당신은 할 수 있습니다 프로젝트 웹사이트에서 다운로드. 그러나 Winpcap 라이브러리는 Windows용 Wireshark 설치 패키지에 포함되어 있으므로 일반적으로 이는 필요하지 않습니다.

프로그램 설치과정은 누구에게나 어렵지 않습니다 운영 체제, 물론 사용하는 플랫폼의 특성에 맞게 조정됩니다. 예를 들어, Debian/Ubuntu의 Wireshark는 기본적으로 권한이 없는 사용자가 패킷을 가로챌 수 있는 권한을 갖지 않도록 설치되므로 프로그램은 sudo 사용자 ID 메커니즘을 사용하여 시작되어야 합니다(또는 표준 문서에 따라 필요한 조작을 수행해야 합니다). DEB 패키지).

Wireshark 작업의 기본 사항

Wireshark의 사용자 인터페이스는 GTK+ 라이브러리 위에 구축되었습니다.(김프 툴킷). 기본 프로그램 창에는 메뉴, 도구 모음 및 보기 필터, 패키지 목록, 상세 설명선택한 패키지, 패키지 바이트 표시(16진수 및 텍스트) 및 상태 표시줄:

주목해야 할 점은 사용자 인터페이스이 프로그램은 잘 설계되어 있고 매우 인체공학적이며 매우 직관적이므로 사용자는 사소한 일에 방해받지 않고 네트워크 프로세스를 연구하는 데 집중할 수 있습니다. 또한 Wireshark 사용에 대한 모든 기능과 세부 사항은 다음 항목에 자세히 설명되어 있습니다. 사용자 매뉴얼. 그러므로 이 글은 이에 초점을 맞춘다. 기능성문제의 제품, 다른 스니퍼와 비교한 기능(예: 잘 알려진 제품) 콘솔 유틸리티 tcpdump.tcpdump.

따라서 Wireshark의 인체공학적 설계는 네트워크 상호 작용을 제공하는 다층적 접근 방식을 반영합니다. 모든 작업은 목록에서 네트워크 패킷을 선택함으로써 사용자가 네트워크 패킷의 각 레이어 필드 값뿐만 아니라 모든 헤더(레이어)를 볼 수 있는 기회를 갖는 방식으로 수행됩니다. 래퍼 - 이더넷 프레임, IP 헤더 자체, 전송 계층 헤더 및 데이터 애플리케이션 프로토콜패키지에 포함되어 있습니다.

처리를 위한 원시 데이터는 Wireshark에서 실시간으로 얻거나 네트워크 트래픽 덤프 파일에서 가져올 수 있으며, 분석 작업을 위한 여러 덤프를 즉시 하나로 결합할 수 있습니다.

검색 문제 필수 패키지 V 대용량차단된 트래픽이 해결되었습니다. 두 가지 유형의 필터: 트래픽 수집(캡처 필터)그리고 그 사람 디스플레이 필터. Wireshark 컬렉션 필터는 Pcap 라이브러리 필터 언어를 기반으로 합니다. 구문 이 경우구문은 tcpdump 유틸리티와 유사합니다. 필터는 필요한 경우 결합된 일련의 기본 요소입니다. 논리 함수(그리고, 아니면, 아님). 자주 사용하는 필터를 다음 폴더에 저장할 수 있습니다. 재사용용 프로필.

그림은 Wireshark 수집 필터의 프로필을 보여줍니다.

Wireshark 네트워크 패킷 분석기는 간단하면서도 풍부한 기능을 갖추고 있습니다. 표시 필터 언어. 패킷 헤더의 각 필드 값을 필터링 기준으로 사용할 수 있습니다.(예를 들어, ip.src는 네트워크 패킷의 소스 IP 주소이고, frame.len은 이더넷 프레임의 길이입니다.) 비교 연산을 사용하면 필드 값을 지정된 값과 비교할 수 있습니다.(예를 들어, frame.len을 사용하고 여러 표현식을 논리 연산자로 결합합니다(예: ip.src==10.0.0.5 및 tcp.flags.fin). 좋은 도우미표현식을 구성하는 과정에서 표시 규칙 설정 창(필터 표현식):

네트워크 패킷 분석 도구

비연결형 프로토콜 탐색이 가능한 경우 간단한 보기개별 패킷을 분석하고 통계를 계산한 다음 연결 지향 프로토콜의 작동을 연구하는 것은 다음과 같은 경우 크게 단순화됩니다. 추가 기능네트워크 상호 작용의 진행 상황을 분석합니다.

다음 중 하나 유용한 기능와이어샤크가 핵심이다 "TCP 스트림을 따르세요"(문자 그대로 "TCP 스트림 따르기") 분석 하위 메뉴 "분석"을 사용하면 선택한 패킷이 속한 스트림의 TCP 세그먼트에서 애플리케이션 프로토콜 데이터를 추출할 수 있습니다.

분석 하위 메뉴의 또 다른 흥미로운 항목은 "전문가 정보 종합", 내장된 Wireshark 전문가 시스템의 창을 엽니다. 이 시스템은 패킷의 오류와 주석을 감지하고 자동으로 덤프에서 개별 연결을 선택하고 특성화합니다. 이 모듈은 개발 중이며 프로그램 버전별로 개선되고 있습니다.

통계 하위 메뉴에서 "통계"연구 중인 트래픽의 모든 종류의 통계적 특성을 계산하고, 네트워크 흐름 강도 그래프를 작성하고, 서비스 응답 시간을 분석하는 등의 작업을 수행할 수 있는 옵션이 수집되었습니다. 응, 포인트야 "프로토콜 계층 구조"총 트래픽의 비율, 특정 프로토콜에 의해 전송된 패킷 수 및 바이트 수를 나타내는 프로토콜의 계층적 목록 형식으로 통계를 표시합니다.

기능 "엔드포인트"각 노드의 들어오고 나가는 트래픽에 대한 다단계 통계를 제공합니다. 절 "대화"(문자 그대로 "대화")를 사용하면 다양한 프로토콜(링크, 네트워크 및 상호 작용 모델의 전송 수준)의 트래픽 양을 결정할 수 있습니다. 개방형 시스템), 서로 상호 작용하는 노드 간에 전송됩니다. 기능 "패킷 길이"패킷의 분포를 길이별로 표시합니다.

절 "플로우 그래프..."패킷 흐름을 그래픽으로 나타냅니다. 이 경우 차트에서 요소를 선택하면 기본 프로그램 창 목록의 해당 패키지가 활성화됩니다.

별도의 하위 메뉴 최신 버전 Wireshark는 IP 전화 통신 전용입니다. "도구" 하위 메뉴에는 항목이 있습니다. "방화벽 ACL 규칙", 선택한 패키지에 대한 규칙 생성을 시도합니다. 방화벽(버전 1.6.x는 Cisco IOS, IP 필터, IPFirewall, Netfilter, 패킷 필터 및 Windows 방화벽 형식을 지원합니다).

이 프로그램에는 경량 통역사도 내장되어 있습니다. 루아 프로그래밍 언어. Lua를 사용하면 Wireshark에서 자신만의 프로토콜 디코더와 이벤트 핸들러를 만들 수 있습니다.

결론 대신

Wireshark 네트워크 패킷 분석기는 Unix/Linux 플랫폼 모두에서 성공했으며 다음과 같은 분야에서 인기가 있는 오픈소스 제품의 예입니다. Windows 사용자물론 Mac OS X. 물론 Wireshark 외에도 네트워크 트래픽 연구 분야에는 기능이 훨씬 더 넓은 무겁고 복잡한 지능형 솔루션이 있습니다. 그러나 첫째, 비용이 많이 들고, 둘째, 배우고 운영하기가 어렵습니다. 셋째, 모든 것이 자동화될 수는 없으며 어떤 전문가 시스템도 좋은 전문가를 대체할 수 없다는 점을 이해해야 합니다. 따라서 네트워크 트래픽 분석이 필요한 작업에 직면했다면 Wireshark가 적합한 도구입니다. 그리고 명령줄 팬은 유틸리티를 사용할 수 있습니다. tshark - Wireshark의 콘솔 버전.

많은 사용자는 폐쇄된 인터넷 리소스에 등록하거나 승인할 때 로그인 및 비밀번호를 입력하고 Enter 키를 누르면 이 데이터를 쉽게 가로챌 수 있다는 사실을 인식하지 못합니다. 보안되지 않은 형태로 네트워크를 통해 전송되는 경우가 많습니다. 따라서 로그인하려는 사이트가 HTTP 프로토콜을 사용하는 경우 이 트래픽을 캡처하고 Wireshark를 사용하여 분석한 다음 특수 필터와 프로그램을 사용하여 비밀번호를 찾아 해독하는 것이 매우 쉽습니다.

비밀번호를 가로챌 수 있는 가장 좋은 장소는 외부 리소스에 등록할 때 모든 사용자의 트래픽이 폐쇄된 리소스(예: 메일)로 이동하거나 인터넷에 액세스하기 위해 라우터 앞으로 이동하는 네트워크의 핵심입니다. 우리는 거울을 설치하고 해커가 된 기분을 느낄 준비가 되었습니다.

1단계. Wireshark를 설치하고 실행하여 트래픽을 캡처합니다.

때로는 이를 수행하기 위해 트래픽을 캡처할 인터페이스만 선택하고 시작 버튼을 클릭하는 것으로 충분합니다. 우리의 경우 무선 네트워크를 통해 캡처하고 있습니다.

트래픽 캡처가 시작되었습니다.

2단계. 캡처된 POST 트래픽 필터링

브라우저를 열고 사용자 이름과 비밀번호를 사용하여 일부 리소스에 로그인을 시도합니다. 인증 프로세스가 완료되고 사이트가 열리면 Wireshark에서 트래픽 캡처가 중지됩니다. 다음으로 프로토콜 분석기를 열고 다음을 확인하세요. 많은 수의패키지. 대부분의 IT 전문가는 다음에 무엇을 해야 할지 모르기 때문에 포기합니다. 그러나 우리는 다음을 포함하는 특정 패키지를 알고 있고 이에 관심이 있습니다. 포스트 데이터, 이는 우리에 형성됩니다. 로컬 머신화면에서 양식을 작성할 때 브라우저에서 "로그인" 또는 "인증" 버튼을 클릭하면 원격 서버로 전송됩니다.

캡처된 패킷을 표시하려면 창에 특수 필터를 입력합니다. http.요구.방법 == “우편"

그리고 수천 개의 패키지 대신 우리가 찾고 있는 데이터가 포함된 패키지 하나만 보입니다.

3단계. 사용자의 로그인 및 비밀번호 찾기

빠른 클릭 오른쪽 버튼마우스를 누르고 메뉴에서 항목을 선택합니다. TCP 스팀 팔로우

그 후에는 페이지의 내용을 코드로 복원하는 새 창에 텍스트가 나타납니다. 비밀번호와 사용자 이름에 해당하는 "password" 및 "user" 필드를 찾아보겠습니다. 경우에 따라 두 필드 모두 쉽게 읽을 수 있고 암호화되지도 않지만 Mail.ru, Facebook, VKontakte 등과 같이 매우 잘 알려진 리소스에 액세스할 때 트래픽을 캡처하려고 하면 비밀번호가 암호화됩니다.

HTTP/1.1 302 찾음

서버: Apache/2.2.15(CentOS)

X-Powered-By: PHP/5.3.3

P3P: CP="NOI ADM DEV PSAi COM NAV 우리의 OTRo STP IND DEM"

쿠키 설정: 비밀번호= ; 만료=2024년 11월 7일 목요일 23:52:21 GMT; 경로=/

위치:login.php

콘텐츠 길이: 0

연결: 닫기

콘텐츠 유형: 텍스트/html; 문자셋=UTF-8

따라서 우리의 경우:

사용자 이름: networkguru

비밀번호:

4단계. 비밀번호를 해독하기 위한 인코딩 유형 결정

예를 들어 http://www.onlinehashcrack.com/hash-identification.php#res 웹사이트로 이동하여 식별 창에 비밀번호를 입력하세요. 우선순위에 따라 인코딩 프로토콜 목록이 제공되었습니다.

5단계. 사용자 비밀번호 해독

~에 이 단계에서 hashcat 유틸리티를 사용할 수 있습니다:

~# hashcat -m 0 -a 0 /root/wireshark-hash.lf /root/rockyou.txt

출력에서 우리는 해독된 비밀번호인 simplepassword를 받았습니다.

따라서 Wireshark의 도움으로 우리는 애플리케이션 및 서비스 운영 문제를 해결할 수 있을 뿐만 아니라 사용자가 웹 양식에 입력하는 비밀번호를 가로채는 해커가 될 수도 있습니다. 비밀번호를 알아낼 수도 있습니다. 사서함사용자는 간단한 필터를 사용하여 다음을 표시합니다.

• POP 프로토콜과 필터는 다음과 같습니다: pop.request.command == "USER" || pop.request.command == "통과"
• IMAP 프로토콜 및 필터는 다음과 같습니다. imap.request에는 "login"이 포함되어 있습니다.
• SMTP 프로토콜다음 필터를 입력해야 합니다. smtp.req.command == "인증"

인코딩 프로토콜을 해독하기 위한 더 심각한 유틸리티도 있습니다.

6단계: 트래픽이 암호화되고 HTTPS를 사용하는 경우에는 어떻게 되나요?

이 질문에 대답할 수 있는 몇 가지 옵션이 있습니다.

Option 1. 사용자와 서버의 연결이 끊어졌을 때 접속하고, 연결이 되는 순간의 트래픽을 캡쳐합니다(SSL Handshake). 연결이 설정되면 세션 키를 가로챌 수 있습니다.

옵션 2: Firefox 또는 Chrome에서 기록한 세션 키 로그 파일을 사용하여 HTTPS 트래픽을 해독할 수 있습니다. 이렇게 하려면 이러한 암호화 키를 로그 파일(FireFox 기반 예)에 쓰도록 브라우저를 구성해야 하며 사용자는 해당 로그 파일을 받아야 합니다. 기본적으로 세션 키 파일을 훔쳐야 합니다. 하드 드라이브다른 사용자(불법)입니다. 그런 다음 트래픽을 캡처하고 결과 키를 사용하여 암호를 해독합니다.

설명.우리는 비밀번호를 도용하려는 사람의 웹 브라우저에 대해 이야기하고 있습니다. 자체 HTTPS 트래픽을 해독하고 연습하고 싶다면 이 전략이 효과가 있을 것입니다. 다른 사용자의 컴퓨터에 액세스하지 않고 다른 사용자의 HTTPS 트래픽을 해독하려는 경우에는 작동하지 않습니다. 이는 암호화이자 개인 정보 보호입니다.

옵션 1 또는 2에 따라 키를 받은 후 WireShark에 등록해야 합니다.

1. 편집 - 기본 설정 - 프로토콜 - SSL 메뉴로 이동합니다.
2. "여러 TCP 세그먼트에 걸쳐 SSL 레코드 재조립" 플래그를 설정합니다.
3. "RSA 키 목록"을 선택하고 편집을 클릭합니다.
4. 모든 필드에 데이터를 입력하고 키를 사용하여 파일에 경로를 씁니다.

WireShark는 RSA 알고리즘을 사용하여 암호화된 패킷을 해독할 수 있습니다. DHE/ECDHE, FS, ECC 알고리즘을 사용하는 경우 스니퍼는 도움이 되지 않습니다.

옵션 3. 사용자가 사용 중인 웹 서버에 접근하여 키를 얻습니다. 그러나 이것은 훨씬 더 어려운 작업입니다. 안에 기업 네트워크애플리케이션 디버깅이나 콘텐츠 필터링을 위해 이 옵션은 법적 근거로 구현되지만 사용자 비밀번호를 가로챌 목적은 아닙니다.

보너스

비디오: Wireshark 패킷 스니핑 사용자 이름, 비밀번호 및 웹 페이지

Wireshark는 통과하는 트래픽을 분석하는 데 사용할 수 있는 강력한 네트워크 분석기입니다. 네트워크 인터페이스너의 컴퓨터. 이는 네트워크 문제를 감지 및 해결하고, 웹 애플리케이션, 네트워크 프로그램 또는 사이트를 디버그하는 데 필요할 수 있습니다. Wireshark를 사용하면 모든 수준에서 패킷의 내용을 완전히 볼 수 있으므로 낮은 수준에서 네트워크가 어떻게 작동하는지 더 잘 이해할 수 있습니다.

모든 패킷은 실시간으로 캡처되어 읽기 쉬운 형식으로 제공됩니다. 이 프로그램은 매우 강력한 필터링 시스템, 색상 강조 표시 및 올바른 패키지를 찾는 데 도움이 되는 기타 기능을 지원합니다. 이 튜토리얼에서는 Wireshark를 사용하여 트래픽을 분석하는 방법을 살펴보겠습니다. 최근 개발자들은 Wireshark 2.0의 두 번째 분기 작업을 시작했으며 특히 인터페이스에 많은 변경 사항과 개선 사항이 도입되었습니다. 이것이 우리가 이 글에서 사용할 것입니다.

Wireshark의 주요 기능

트래픽 분석 방법을 고려하기 전에 프로그램이 더 자세히 지원하는 기능, 사용할 수 있는 프로토콜 및 수행할 작업을 고려해야 합니다. 프로그램의 주요 기능은 다음과 같습니다.

• 유선 또는 기타 유형의 네트워크 인터페이스에서 실시간으로 패킷을 캡처하고 파일에서 읽습니다.
• 지원되는 캡처 인터페이스는 이더넷, IEEE 802.11, PPP 및 로컬 가상 인터페이스입니다.
• 필터를 사용하면 다양한 매개변수를 기반으로 패킷을 필터링할 수 있습니다.
• 알려진 모든 프로토콜은 목록에서 다양한 색상으로 강조 표시됩니다(예: TCP, HTTP, FTP, DNS, ICMP 등).
• VoIP 통화 트래픽 캡처 지원
• 인증서를 사용할 수 있는 경우 HTTPS 트래픽의 암호 해독이 지원됩니다.
• WEP, WPA 트래픽 복호화 무선 네트워크열쇠와 악수로;
• 네트워크 부하 통계 표시
• 모든 네트워크 계층의 패키지 내용을 봅니다.
• 패키지를 보내고 받는 시간을 표시합니다.

이 프로그램에는 다른 많은 기능이 있지만 이것이 여러분이 관심을 가질 만한 주요 기능이었습니다.

와이어샤크를 사용하는 방법

이미 프로그램이 설치되어 있다고 가정하지만, 그렇지 않은 경우 공식 저장소에서 설치할 수 있습니다. 이렇게 하려면 Ubuntu에서 다음 명령을 입력하십시오.

$ sudo apt install wireshark

설치 후 배포판의 기본 메뉴에서 프로그램을 찾을 수 있습니다. 슈퍼유저 권한으로 Wireshark를 실행해야 합니다. 그렇지 않으면 프로그램이 네트워크 패킷을 분석할 수 없기 때문입니다. 이 작업은 주 메뉴에서 수행하거나 KDE 명령을 사용하여 터미널을 통해 수행할 수 있습니다.

$ kdesu 와이어샤크

Gnome/Unity의 경우:

$gksu 와이어샤크

프로그램의 기본 창은 세 부분으로 나누어져 있습니다. 첫 번째 열에는 분석에 사용할 수 있는 네트워크 인터페이스 목록이 포함되어 있고, 두 번째 열에는 파일 열기 옵션이 포함되어 있으며, 세 번째 열에는 도움말이 포함되어 있습니다.

네트워크 트래픽 분석

분석을 시작하려면 네트워크 인터페이스(예: eth0)를 선택하고 버튼을 클릭하세요. 시작.

그 후에는 이미 인터페이스를 통과하는 패킷 스트림이 포함된 다음 창이 열립니다. 이 창은 여러 부분으로 나누어져 있습니다.

• 윗부분- 다양한 버튼이 있는 메뉴와 패널입니다.
• 패키지 목록- 분석할 네트워크 패킷의 흐름이 표시됩니다.
• 패키지 내용물- 바로 아래에는 선택한 패키지의 내용물이 표시되어 있으며, 운송 수준에 따라 카테고리로 구분되어 있습니다.
• 실제 성능- 맨 아래에는 패키지 내용이 실제 형태와 HEX 형태로 표시됩니다.

패키지를 클릭하면 해당 내용을 분석할 수 있습니다.

여기서는 사이트의 IP 주소를 얻기 위한 DNS 요청 패킷을 볼 수 있으며 도메인은 요청 자체로 전송되며 응답 패킷에서는 질문과 답변을 받습니다.

보다 편리하게 보려면 항목을 두 번 클릭하여 새 창에서 패키지를 열 수 있습니다.

Wireshark 필터

특히 활성 스레드의 경우 필요한 패키지를 찾기 위해 패키지를 수동으로 정렬하는 것은 매우 불편합니다. 따라서 이 작업에는 필터를 사용하는 것이 좋습니다. 메뉴 아래에 필터 입력을 위한 특수 라인이 있습니다. 표현식을 클릭하여 필터 디자이너를 열 수 있지만 디자이너가 많기 때문에 가장 기본적인 것을 살펴보겠습니다.

• ip.dst- 대상 IP 주소;
• ip.src- 발신자의 IP 주소
• ip.addr- 발신자 또는 수신자의 IP;
• ip.proto- 규약;
• tcp.dst포트- 목적지 항구
• tcp.srcport- 송신 포트;
• ip.ttl- TTL 필터는 네트워크 거리를 결정합니다.
• http.request_uri- 요청한 사이트 주소.

필드와 필터 값 사이의 관계를 지정하려면 다음 연산자를 사용할 수 있습니다.

• == - 같음;
• != - 같지 않다.
• < - 더 적은;
• > - 더;
• <= - 작거나 같음;
• >= - 그 이상 또는 같음;
• 성냥- 정규식;
• 포함- 포함되어 있습니다.

여러 표현식을 결합하려면 다음을 사용할 수 있습니다.

• && - 패키지에 대해 두 표현식이 모두 참이어야 합니다.
• || - 표현 중 하나가 참일 수 있습니다.

이제 예제를 사용하여 여러 필터를 자세히 살펴보고 모든 관계 기호를 고려해 보겠습니다.

먼저 194.67.215.125(losst.ru)로 전송된 모든 패킷을 필터링해 보겠습니다. 필터 필드에 문자열을 입력하고 적용하다. 편의를 위해 버튼을 사용하여 Wireshark 필터를 저장할 수 있습니다. 구하다:

IP.dst == 194.67.215.125

전송된 패킷뿐만 아니라 이 노드로부터 응답으로 수신된 패킷도 수신하려면 두 가지 조건을 결합할 수 있습니다.

ip.dst == 194.67.215.125 || ip.src == 194.67.215.125

전송된 대용량 파일을 선택할 수도 있습니다.

http.content_length > 5000

Content-Type을 필터링하면 다운로드된 모든 사진을 선택할 수 있으며, 이미지라는 단어가 포함된 패킷인 Wireshark 트래픽을 분석합니다.

http.content_type에 이미지가 포함되어 있습니다.

필터를 지우려면 버튼을 누르세요. 분명한. 필터링에 필요한 모든 정보를 항상 알 수는 없지만 네트워크를 탐색하고 싶을 때가 있습니다. 패키지의 모든 필드를 열로 추가하고 각 패키지의 일반 창에서 해당 내용을 볼 수 있습니다.

예를 들어, 패킷의 TTL(Time to Live)을 열로 표시하고 싶습니다. 이렇게 하려면 패키지 정보를 열고 IP 섹션에서 이 필드를 찾으세요. 그런 다음 전화 상황에 맞는 메뉴그리고 옵션을 선택하세요 열로 적용:

원하는 필드를 기반으로 필터를 직접 만들 수도 있습니다. 원하는 필드를 선택하고 컨텍스트 메뉴를 호출한 후 필터로 적용또는 필터로 준비을 선택한 다음 선택된선택한 값만 표시하려면 또는 선택되지 않은제거하려면:

지정된 필드와 해당 값이 적용되거나 두 번째 경우 필터 필드에 삽입됩니다.

이러한 방식으로 패키지 또는 열의 필드를 필터에 추가할 수 있습니다. 상황에 맞는 메뉴에도 이 옵션이 있습니다. 프로토콜을 필터링하려면 다음을 사용할 수 있습니다. 간단한 조건. 예를 들어 HTTP 및 DNS 프로토콜에 대한 Wireshark 트래픽을 분석해 보겠습니다.

다른 것 흥미로운 기회프로그램 - Wireshark를 사용하여 사용자 컴퓨터와 서버 간의 특정 세션을 모니터링합니다. 이렇게 하려면 패키지의 상황에 맞는 메뉴를 열고 다음을 선택하세요. TCP 스트림을 따르세요.

그러면 서버와 클라이언트 간에 전송된 모든 데이터를 찾을 수 있는 창이 열립니다.

Wireshark 문제 진단

Wireshark 2를 사용하여 네트워크 문제를 감지하는 방법이 궁금할 수 있습니다. 이를 위해 창 왼쪽 하단에 둥근 버튼이 있으며, 클릭하면 창이 열립니다. 전문가 도구. 여기에서 Wireshark는 네트워크의 모든 오류 메시지와 문제를 수집합니다.

창은 오류, 경고, 공지, 채팅 등의 탭으로 구분됩니다. 이 프로그램은 많은 네트워크 문제를 필터링하고 찾을 수 있으며 여기에서 해당 문제를 매우 빠르게 확인할 수 있습니다. Wireshark 필터도 여기에서 지원됩니다.

Wireshark 트래픽 분석

연결이 암호화되지 않은 경우 사용자가 정확히 무엇을 다운로드했는지, 어떤 파일을 보았는지 매우 쉽게 이해할 수 있습니다. 이 프로그램은 콘텐츠 추출을 매우 훌륭하게 수행합니다.

이렇게 하려면 먼저 패널의 빨간색 사각형을 사용하여 트래픽 캡처를 중지해야 합니다. 그럼 메뉴를 열어주세요 파일 -> 개체 내보내기 -> HTTP:

이것은 많은 기능을 가지고 있는 매우 강력한 유틸리티입니다. 모든 기능을 하나의 문서에 담는 것은 불가능하지만 여기에 제공된 기본 정보는 필요한 모든 것을 스스로 익히기에 충분합니다.