[TCP/IP 프로토콜 파헤치기] 2.2 ethernet 트래픽 분석

2.2 ethernet 트래픽 분석

이 책에서는 미리 수집한 추적 파일을 이용하여 트래픽 분석을 통해 TCP/IP 프로토콜을 분석합니다. 이를 위해 와이어 샤크에서 제공하는 추적 파일을 다운로드 합시다.

 

와이어 샤크를 실행한 후에 초기 화면에서 Sample Captures를 선택하세요. 선택하면 와이어 샤크 Sample Captures 웹 페이지가 뜹니다.

[그림 3] Sample Captures 선택

[그림 4] 와이어 샤크 Sample Captures 웹 페이지

 

웹 페이지를 드래그하여 tcp-ethereal-file1.trace 선택하여 추적 파일을 다운로드 하세요. 언제나 휴일 블로그 (www.ehclub.net)의 추적 파일 카테고리에서 다운로드 할 수도 있습니다. (차후에 추가할 카테고리입니다. 바로 밑에 파일을 다운로드 하세요.)

 

tcp-ethereal-file1.trace

 

와이어 샤크로 tcp-ethereal-file1.trace 파일을 로딩하세요.

[그림 5] 메인 화면

 

추적 파일을 로딩하면 메인 화면 타이틀 바(1)에 어느 파일을 로딩하였는지 정보를 확인할 수 있습니다. 그리고 패킷 목록(2)과 패킷의 상세 정보(3)와 16비트와 ASCII 코드로 패킷 바이트(4) 정보를 볼 수 있습니다. 마지막으로 상태바(5)에 전체 패킷 수와 디스플레이 패킷 수 등의 정보를 보여줍니다.

 

프로토콜의 상세 정보를 보고 싶을 때는 상세 정보(3)의 원하는 프로토콜 노드를 선택하시면 하위 노드가 펼쳐지면서 프로토콜 스택의 상세 정보를 확인할 수 있습니다.

[그림 6] ethernet 프로토콜 스택

먼저 패킷 목록(1)에서 1번을 선택한 후에 패킷 상세 창의 Ethernet 노드(2)를 선택하세요.

[그림 7] Ethernet 프로토콜 스택 정보 보기

 

[그림 7]처럼 Ethernet 프로토콜 스택의 상세 정보를 확인할 수 있습니다. 현재 1번 패킷은 목적지의 mac 주소가 ff:ff:ff:ff:ff:ff로 브로드 캐스트이며 발신지 mac 주소는 00:05:9a:3c:78:00인 것을 알 수 있습니다. 그리고 L3 타입은 ARP인 것을 알 수 있습니다.

 

상세 정보에는 사용자가 분석하기 쉽게 발신지 IP 주소가 131.212.31.167라는 것을 보여주고 있습니다. 하지만 실제 ethernet 프로토콜 스택에 있는 정보는 아니며 와이어 샤크에서 분석한 정보를 토대로 사용자에게 트래픽 분석하기 쉽게 보여주는 것 뿐입니다.

 

그리고 상세 정보의 원하는 서브 노드를 선택하면 패킷 바이트에 해당 영역에 하이라이트를 해 주어 구체적인 값을 확인할 수 있습니다.

[그림 8] 컨텍스트 메뉴로 디스플레이 필터 적용

컨텍스트 메뉴(마우스 오른쪽 버튼 클릭 시 나오는 팝업 메뉴)를 사용하면 쉽게 디스플레이 필터식 을 입력할 수 있습니다.

[그림 9] 디스플레이 필터 적용 화면

 

[그림 9]는 [그림 8]처럼 컨텍스트 메뉴로 디스플레이 필터를 적용하였을 때의 화면입니다. 적용하는 디스플레이 필터식(1)은 eth.src == 00:5c:9a:3c:78:00 으로 발신지 mac 주소가 일치하는 것만 디스플레이 하는 것을 알 수 있습니다. 전체 패킷 수가 220이며 실제 보여주는 것은 135개 인 것을 상태바(2)를 통해 알 수 있습니다.

 

디스플레이 필터 식은 BPF((Berkeley Packet Filter) 식을 사용하지 않고 와이어 샤크 자체 표현식을 사용합니다.

 

Ethernet 프로토콜 스택은 목적지와 발신지 mac 주소와 L3 타입 정보 외에 다른 정보가 없습니다. 여기에서는 특별한 분석을 할 것이 없습니다. 오히려 다른 프로토콜 트래픽 분석할 때 이 부분을 살펴볼 필요가 있을 때가 있습니다.