네트워크 및 보안/TCPIP 프로토콜 파헤치기

[TCP/IP 프로토콜 파헤치기] 1.2.2 와이어샤크 캡쳐 옵션

언제나휴일 2016. 4. 10. 00:30
반응형

1.2.2 와이어 샤크 캡쳐 옵션

이번에는 와이어 샤크로 패킷을 수집하기 위해 캡쳐 옵션을 사용하는 것을 알아봅시다.

 

와이어 샤크를 시작한 후에 첫 화면에서 바로 캡쳐를 시작할 수도 있지만 캡쳐 옵션 툴바 버튼으로 설정할 수도 있습니다. 캡쳐 옵션 툴바 버튼은 메인 툴바의 왼쪽에 있는 다섯 개의 버튼으로 구성하고 있습니다.


와이어샤크 캡쳐 옵션 툴바

[그림 7] 캡쳐 옵션 툴바

 

첫 번째는 인터페이스 목록, 두 번째는 캡쳐 옵션, 세 번째는 캡쳐 시작, 네 번재는 캡쳐 종료, 다섯 번째는 다시 캡쳐 시작입니다.

 

먼저 캡쳐 옵션을 클릭하세요.(캡쳐 옵션 툴바의 두 번째 버튼 혹은 시작 화면의 캡쳐 옵션)


와이어 샤크 시작 화면에서 캡쳐 옵션

[그림 8] 시작 화면에서 캡쳐 옵션

 

캡쳐 옵션 창이 뜨면 원하는 캡쳐 옵션을 설정할 수 있습니다.


와이어 샤크 캡쳐 옵션 창

[그림 9] 캡쳐 옵션 창

 

1. 먼저 캡쳐할 수 있는 네트워크 인터페이스 목록에서 캡쳐를 원하는 항목을 체크합니다.

2. 전체 네트워크 인터페이스 목록을 선택과 난잡(promiscuos)모드로 지정할 수 있습니다. 난잡 모드로 설정하면 로컬 호스트를 목적지나 소스가 아닌 거쳐가는 패킷들도 수집할 수 있습니다.

3. 캡쳐 필터를 통해 원하는 조건의 패킷만 캡쳐할 수 있게 설정할 수 있습니다.

4. 캡쳐한 내용을 수집 파일로 만들 수 있습니다. 수집 파일을 만들기 위해 패킷 데이터 크기나 시간 단위로 분할하여 패킷을 수집할 수도 있습니다.

5. 캡쳐 정보를 실시간으로 디스플레이 목록에 반영하고 MAC 주소를 번역할 수도 있습니다.

6. 캡쳐 옵션에 관한 도움말을 살펴볼 수 있고 캡쳐를 시작할 수 있습니다.

 

특히 캡쳐 필터 버튼을 클릭하면 자주 사용하는 필터식을 편집하거나 적용할 수 있습니다.


와이어 샤크 캡쳐 필터식 창

[그림 10] 캡쳐 필터식 창

 

캡쳐 필터는 동작 중인 네트워크 트래픽 수집 과정에서 필터링하기 위한 것으로 이미 수집한 추적 파일에는 적용할 수 없습니다.

 

와이어 샤크는 패킷 수집은 pcap 라이브러리를 이용합니다. pcap은 네트워크 패킷을 캡쳐하는 기능을 제공하는 라이브러리로 linux 용은 libpcap이며 윈도우즈 용은 WinPcap입닏다. 와이어 샤크를 설치할 때 같이 설치할 수도 있고 별도로 설치할 수도 있습니다.

 

이러한 이유로 캡쳐 필터식은 libpcap을 이용한 대표적인 유틸 tcpdump에 사용하는 BPF(Berkeley Packet Filter) 구문을 사용합니다.

 

BPF 구문은 Type, Dir, Proto 부분을 하나 이상의 표현을 사용합니다.

Type은 식별자를 표현하며 host, port, net 등이 있습니다.

Dir은 전송 방향을 지정하는 것으로 src, dst가 있습니다.

Proto는 프로토콜을 지정하는 것으로 ip, tcp, udp, ip 등이 있습니다.

 

BPF 표현식에는 논리합(&& 혹은 AND), 논리곱(|| 혹은 OR), 논리 부정(! 혹은 NOT)을 사용할 수 있습니다.

예를 들어 src 192.168.34.50 and port 80 은 발신지 IP 주소가 192.168.34.50이면서 포트 번호가 80인 트래픽을 수집하겠다는 필터식입니다.

 

ether dst 09:2a:3c:39:28:03은 목적지 이더넷 주소가 09:2a:3c:39:28:03인 트래픽을 수집하겠다는 필터식입니다.

 

특정 호스트에서 오는 트래픽만 캡쳐할 때는 src 한정자를 사용하고 특정 호스트로 보내는 트래픽만 캡쳐할 때는 dst 한정자를 사용합니다. 그리고 특정 서비스의 트래픽을 캡쳐할 때는 포트 번호까지 포함하여 캡쳐 필터식을 작성합니다.

 

src host 192.168.34.50 192.168.34.50에서 오는 트래픽만 캡쳐

src host www.ehclub.net www.ehclub.net에서 오는 트래픽만 캡쳐

 

dst host 192.168.34.50 192.168.34.50로 보내는 트래픽만 캡쳐

dst host www.ehclub.net www.ehclub.net로 보내는 트래픽만 캡쳐

 

src host 192.168.34.50 and tcp port 80 192.168.34.50에서 오고 tcp 포트가 80인 트래픽만 캡쳐

 

와이어 샤크에는 수집 필터 외에 디스플레이 필터가 있습니다. 캡쳐 필터는 수집 과정에서 필터링하는 것이며 디스플레이 필터는 수집한 것을 보여주기 전에 필터링 하는 것입니다. 여기에서 설명한 것은 수집 필터입니다.

 

보다 자세한 사항은 tcpdump 메뉴얼에서 PCAP-FILTER를 보시기 바랍니다.

http://www.tcpdump.org/manpages/pcap-filter.7.html (20163월 현재)

반응형