Skip to main content

3 posts tagged with "와이어샤크"

View All Tags

· 3 min read
Park Ki Hyun

이름 풀이 기능 참조 파일

  • mac address 사용자 정의 C:\Program Files\Wireshark\ethers
  • port number 정보 C:\Program Files\Wireshark\services
  • 호스트 이름 정보 C:\Program Files\Wireshark\hosts

와이어샤크는 포트번호가 인식되지 않을때 data로 해석됩니다. 비표준 포트 번호를 사용하는 FTP 서비스를 수동으로 분석기를 설정하는 메뉴는 어디인가요?

Analyze>Decode as

WLAN 프로파일을 생성시 환경설정 저장 경로는 어디인가요?

C:\Users\user1\AppData\Roaming\Wireshark\Profile

원격지 트래픽 캡쳐를 수행하려고 합니다. 캡쳐하고자 하는 컴퓨터에 winpcap을 설치한 후 원격지에 실행해야하는 데몬 실행파일은 무엇인가요?

rpcapd.exe

기존 추적파일에는 적용할 수 없고 실시간 캡쳐하는 작업에만 적용되는 필터로 TCPDUMP 구문의 BPF형식을 따르는 필터는 무엇인가요?

캡쳐필터

실시간 캡쳐 필터구문을 작성하세요.

  • http와 dns 패킷을 동시 캡쳐 tcp port 80 or udp port 53
  • 목적지 IP주소가 10.10.10.10 이면서 telnet 패킷만 캡쳐 ip dst 10.10.10.10 and tcp port 23
  • icmp ttl 에러만 캡쳐 icmp[0]=11 and icmp[1]=0

전역환경설정 위치에 존재하는 파일로 업그레이드시 복사본을 만들어야 하는 파일을 쓰세요.

  • 실시간 캡쳐 필터 cfilters
  • 디스플레이 필터 dfilters
  • 컬러링 필터 colorfilter

실시간 캡쳐시 파일집합으로 최근 10개 파일만 생성을 유지할 수 있는 설정은 무엇인가요?

링버퍼

· 4 min read
Park Ki Hyun

문제

PDU

  • L1> bits
  • L2> frame
  • L3> packet
  • L4> segement
  • L5~L7> message, data stream

캐시 확인 및 삭제

  • MAC
추가
arp -a
삭제
arp -d
  • DNS
추가
ipconfig/displaydns
삭제
ipconfig/flushdns
  • NetBIOS
추가
nbtstat -c
삭제
nbtstat -R

OSI

MAC주소 포함 : L2 - datalink layer IP주소 포함 : L3 - network layer

기본 최대 크기

Ethernet Frame : 1518 Byte MTU : 1500 byte 크기변경 가능 MSS : 1460 byte

목적지 IP주소에 대한 MAC주소를 찾아오는 프로토콜

arp

TCP 헤더에서 Flag 6개

syn,ack,fin,rst,psh,urg

TCP/IP에서 연결상태를 확인하고 에러메세지를 전달하는 프로토콜

icmp

스위치 기본 기능

flooding, learning, fowarding, filtering

와이어샤크

병합

와이어샤크에 일시중지 기능은 없다 정지 이후 다시 캡쳐해서 병합하는 방법밖에 없다.

병합은 파일 > 병합에서 가능

와이어샤크는 두개의 파일을 동시에 열 수 없어서 병합을 사용한다.

병합에는 3가지 옵션이 있는데 기본값은 시간 기준으로 병합하는 것이고 전에 이어붙이기 후에 이어붙이기가 있습니다.

캡처 파일

열기 폴더 버튼으로 파일을 연다면 캡처 시간과 사이즈 등을 추가로 확인할 수 있다.

새로고침 버튼

와이어샤크는 time 칼럼의 작동방식이 지연 시간 작동방식을 채택한다.

그래서 1번 패킷이 0.00초이고 그다음 부터는 1번 패킷 이후 캡쳐된 지연 시간이다.

그런데 10번 패킷을 0초로 설정하는 방법이 있는데 시간 참조 설정을 하면 할 수 있다.

시간 참조 설정은 하나에만 할 수 있는 것이 아닌데 그래서 나중에 풀어주려고 하면 너무 어렵다.

이 때 파일 다시 불러오기 버튼이 이를 모두 해제해준다.

그래서 파일 다시 불러오기 버튼을 자주 사용한다고 한다.

이름 해석

보기 > 이름해석 > 네트워크 주소 해석을 키면 패킷의 IPv4에서 dns 주소로 확인할 수 있다.

근데 이러면 쓸데없는 UDP 패킷이 생기기 때문에 실시간 패킷을 캡쳐할 때 이름 해석을 해제하고 하는 것이 좋다.

보기 > 이름해석 > 전송주소 해석을 키면 포트 번호에 이름을 붙여줌

이름 해석 커스텀

MAC addr c:\program files\wireshark\ethers IP addr c:\program files\wireshark\hosts port name c:\program files\wireshark\services

· 6 min read
Park Ki Hyun

와이어샤크 설치

이곳에서 진행할 수 있습니다.

컴퓨터 네트워크

데이터 통신은 MAC주소가 꼭 필요함. 이걸 논리적으로 바꾼 주소가 IP주소

물리주소 확인

arp -a

캐시 데이터다. 5분뒤에 지어짐 근데 지우려면

apr -d

캐시가 남는경우는 내가 상대방과 연결을 할 때도 있지만 상대방이 나와 연결할 때도 캐시가 남음.

그래서 패킷 분석할 때 캐시를 지워야 한다.

dns가 알려준 ip 캐시 정보 확인

ipconfig/displaydns

지우기

ipconfig/flushdns

컴퓨터 이름으로 통신

nbtstat -n

캐시 확인

nbtstat -c

캐시 삭제

nbtstat -R

분석할 때 arp, dns, nbtstat 캐시 지워주고 하는게 좋다.

OSI 7 계층

계층을 통과할 때는 관련 헤더가 추가된다. PDU가 있다.

PDU는 아래 정리..

Presentation : Message

Transport : Segment

Network : packet

Datalink : frame

Application : 통신 software

Presentation : 데이터 포맷 정의 (jpg,png 등)

Session : App 연결 유지 or 해제

Transport : 패킷 분리, 재전송, 에러 검출 (Segment가 전송 최소단위여서)

Network : Segment앞에 논리적 주소(IP)를 추가해서 목적 전달 가능하게 해줌 > Packet

Datalink : 물리 주소를 추가해서 전달(MAC,DLCI) > Frame

Pyhsical : bit를 전기신호로 변환, 전기적, 기능적 특성, 절차적 특성, 기계적 특성에 대한 약속

TCP/IP 4 계층

Application : osi의 application, presentation, session을 합친 계층, http, telnet, dns, dhcp 프로토콜이 있음

Transport : TCP,UDP 프로토콜이 있음

+ 포트번호를 통해서 Application 어디로 보낼지 담겨있음

Internet : OSI의 network 계층, ICMP, IP, ARP RARP 있다. 

+ protocol Number 를 통해서 TCP,UDP.. 등 어디로 넘기지 담겨있음

network access : OSI의 datalink, physical 계층 ethernet2(MAC) 

+ Type(IPv4, IPv6)이 인터넷 계층 프로토콜 어디로 보낼지 구분해줌

Alt text

포트번호

0 ~ 1023 : 잘 알려진 서비스 예약 포트

1024 ~ 49151 : 추가 표준 상용 tool 예약 포트

49152 ~ 65535 : 개인용 포트

tip

도움이 되는 다양한 정보들이 담긴 url 1
도움이 되는 다양한 정보들이 담긴 url 2

네트워크 연결 장치

  1. HUB

허브는 다 확인해보고 해당 목적지인지 검사하고 아니면 다음 목적지로.. 반복

  1. Switch

스위치는 목적지 주소가 포함되어 있어서 해당 목적지에만 방문 근데 FFFF가 목적지 주소이면 브로드캐스트 인데 모든 스위치에 전달(Flooding)하기 때문에 네트워크 부하가 옴 > 차단의 필요성이 있다.

스위치 동작
  1. Flooding

들어온 포트를 제외하고 모든 포트에 뿌림

  1. Learning

맥주소를 학습해서 맥 테이블에 작성

  1. Forwarding

목적지 맥주소에 그대로 프레임 보내는 것

  1. Filtering

목적지 주소를 알고 있을 때 프레임 전송을 막는 것

  1. Router

라우터는 네트워크 별로 전송 차단할 수 있음. 브로드캐스트로 인한 네트워크 부하 방지

TCP와 UDP

TCP : 헤더(20 ~ 60byte)

A >> 확인신호 >> B

B >> 응답 >> A

A >> 연결 확정 >> B

A >> 데이터 전달 >> B

B >> 응답 >> A

UDP : 헤더 (8byte)

A >> 데이터 전달 >> B

wireshark

와이어샤크는 마지막 상태 설정이 저장된다.

캡처 옵션에서 모두 무작위를 끄면 나한테 들어오는 패킷만 확인할 수 있다.

숨김

캡처 > 옵션 > 인터페이스관리에서 표시를 체크 해제하면 인터페이스를 숨길 수 있다.

아니면 네트워크 설정에서 어댑터 사용안하면 안보임

아니면 라이브러리(npcap)가 삭제됐을 수도 있음.

아니면 가상 인터페이스를 추가하고 재부팅해야 보임

통계

필터에 tcp.stream == 1 등으로 필터링 후

통계 > 플로 그래프 > 표시 필터로 제한

Alt text

스트림 확인

패킷에 우클릭 > 따라가기 > TCP 스트림 등..

한 눈에 보인다.

TCP는 최대 길이가 1514여서 잘려서 분석하기 어려울 수 있는데 한 눈에 확인 가능