본문 바로가기
여러가지/기타

[Wireshark] 기본 사용법

15June 2024. 2. 10. 16:52

● 활용 상황 및 예시

(1) 침해 대응 분석 - 모니터링

(2) 침해 사고 분석 - 포렌식 분석

(3) IPS / IDS 패킷 샘플 분석

(4) 모의 해킹 - 취약점 분석

(5) 악성 코드 분석

 

- 모의해킹 - - PC - - > 서버

- 애플리케이션 패킷 분석

 

winpcap - 패킷 드라이브

tshark.exe

 

 

● 인터페이스

(1) 툴 바

 

(2) 필터

 

(3) 목록 - 시작, 도착, 패킷 길이, 값...

 

(4) 리스트

 

(5) 상세내용 - 해석

 

(6) 패킷 데이터 영역 (패킷 정보), 스테이투스 바(?) 유저 에이전트 값

 

 

● 상세 메뉴

(1) 목록 편집

 

(2) 패킷 편집

=> 패킷 양 조절 가능

 

 

● 필터

ㄱ. 패킷 필터

: 미리 필터링 걸고 캡쳐하는 것, 대용량 패킷 수집 시 사용

=> Options -> Input (winpcap 패킷 드라이브 사용)

 

캡쳐 필터 예시)

host 192.168.0.1 && tcp port 80 = host 192.168.0.1 and tcp port 80

host kali

src host 192.168.0.1  // 출발지

dst host 192.168.0.1  // 목적지

port 8080

not port 8080 = !port 8080

 

 

ㄴ. 화면 필터

: 전체 캡쳐하고 필터링하는 것

 

화면 필터 예시)

ip.addr==192.168.0.1 

ip.src_host==192.168.0.1 and http

ip.dst_host==192.168.0.1 and http

frame.len <= 128

tcp.port = 80

!tcp.port = 80

udp.srcport == 338

=> and, or, xor, not

 

ㄷ. 필터 자동 생성

 

 

● 컬러링

: 패킷 색깔별로 표시되는 것

ex) HTTP - 연두색

=> 색 별경 가능

 

● 마크

(1) 지정

(2) 확인

=> Next Mark

(3) 출력

=> Marked packets only

 

● 패킷 검색

 

 

- Packet list

: 리스트에서 정보 가져오는 것

 

- Packet details

: 상세내용 영역에서 정보 가져오는 것

 

- Packet bytes

: 패킷 데이터 영역에서 정보 가져오는 것

 

 

- String

: 패킷 내 문자열 검색

 

- Regular Expression

정규형 표현식

 

● 상태 요약 (Statistics)

=> HTTP로 패킷 종합 & 요약

(+) IPv4 Statistics

 

(+) 도서 추천

(기본) 와이어샤크를 이용한 패킷 캡처 철저 입문

(실전) 와이어샤크를 활용한 실전 패킷 분석

(문제) 디지털 포렌식 with CTF

(악성 코드 샘플) http://www.malware-traffic-analysis.net/ 

 

malware-traffic-analysis.net

 

www.malware-traffic-analysis.net

 

 

● Comment

 

 

● 원하는 패킷 선택 및 분석

=> Export Specified Packets

 

● 머지, Merge

(방법 1)

 

(방법 2) mergecap.exe

(CMD 관리자 권한으로 열기)

> mergecap.exe -w output.pcap.pcapng 001.pcapng 002.pcapng

> mergecap.exe -w output.pcap.pcapng 001.pcapng 002.pcapng -a  // -a: append

 

(+) 패킷 샘플 페이지

(1) https://wiki.wireshark.org/SampleCaptures 

 

SampleCaptures - Wireshark Wiki

 

wiki.wireshark.org

(2) https://www.netresec.com/?page=PcapFiles 

 

Public PCAP files for download

A list of publicly available pcap files / network traces that can be downloaded for free

www.netresec.com

(3) HYBRID ANALYSIS

...

 

● 시스템 침투 의심 시 확인 순서 예시

=> 프로토콜 통계

5XX 가 많은 경우, 4XX가 많은 경우, GET 많은 경우 등

=> 페이지 별로 정렬

 

(저장 후 확장자 html로 바꾸어서 확인)

 

(+)

 

'여러가지 > 기타' 카테고리의 다른 글

[사용법] Git & Github  (0) 2025.02.11
[Windows] 버전, 노트북 모델명/맥주소  (0) 2024.04.25
[Windows] 원격 데스크톱 접속  (0) 2024.04.25
[정리] 단축키  (0) 2023.11.30
[Mac] Apple에서 악성 소프트웨어가 있는지 확인할 수 없기 때문에 열 수 없습니다.  (1) 2023.11.22

'여러가지/기타' Related Articles

티스토리툴바