■ 개요
- wireshark는 네트워크 패킷 캡처 및 분석 소프트웨어로 네트워크 트래픽 분석할 때 주로 사용
- 지원하는 패킷 타입이 수백 개 이상을 지원하고 있어 네트워크 트래픽 분석할 때 해당 도구를 거의 사용하고 있으며, 웹 취약점 점검 과정에서 데이터 평문 전송 여부를 체크할 때도 자주 사용
■ 디스플레이 필터 설정
- 와이어샤크 디스플레이 필터는 네트워크 영역에서 송수신하는 패킷에 대하여 사용자가 지정한 패턴을 바로 확인할 수 있는 기능으로, 일반적으로 인터넷과 연결되어 있을 때 트래픽이 많아 필요한 패킷만을 확인하기 위해선 해당 기능이 꼭 필요하다.
- 디스플레이 필터는 필터 문법에 맞추어 검색하면 되며, 하기 문법을 모두 사용하여 검색을 할 필요는 없으며, 옵션으로 사용하면 된다.
| 문법 | Protocol | Direction | Host | Logical Operations |
| 예시 | tcp | dst | 10.0.0.1 | or ip.dst !=10.0.0.2 |
| 문법 | 설 명 |
| protocol | - 프로토콜을 지정하는 값으로, 프로토콜을 별도로 지정하지 않으면 모든 프로토콜을 조회 (Ex, ether, ip, arp, tcp, udp etc) |
| Direction | - 방향성을 지정하는 값으로, 별도로 지정하지 않으면 ‘src or dst'인 모든 값을 조회 (Ex, src, dst, src and dst, src or dst) |
| Host | - 호스트를 지정하는 값으로, 별도로 지정하지 않아도 조회가 가능 (Ex, src 10.1.1.1, src host 10.1.1.1) |
| Logical Operations | - 논리 표현식(not, and)을 사용하여 필터링하는 것으로 왼쪽에서 오른쪽으로 처리되며, ‘and’와 ‘or는 동일한 우선순위를 갖는다. (Ex, and : 논리곱, or : 논리합, xor:배타적 논리합) |
■ 자주 사용하는 디스플레이 필터 설정
| 디스플레이 필터 | 실행 |
| ip.addr == 10.0.0.1 | - 출발지나 목적지 IP가 10.0.0.1인 경우 출력 |
| ip.addr == 10.0.0.1 && ip.addr = 10.0.0.2 |
- 두 개의 정의된 IP 주소 모두 출력 |
| http or arp | - 모든 http와 dns 프로토콜 출력 |
| tcp.port == 4000 | - 출발지나 목적지의 포트가 4000인 TCP 패킷 출력 |
| tcp.flags.reset == 1 | - 모든 TCP reset 플래그가 활성화된 패킷 출력 |
| http.request | - 모든 HTTP GET 요청 패킷 출력 |
| tcp contains traffic | - 'traffic'라는 단어를 포함하는 TCP 패킷 출력 |
| !(arp or icmp or dns) | - 괄호 내용을 모두 제외한 패킷을 출력 |
■ Wireshark Flow Graph
- 와이어샤크 Flow Graph는 네트워크 트래픽에 대한 흐름을 UI로 제공해준 기능으로, 'Statistics' → 'Flow Graph'로 접근하면 통신 흐름을 시각적으로 쉽게 파악할 수 있다.


■ Wireshark 사용 예시
- HTTP 패킷을 Wireshark를 통해 확인하려고 할 때, 먼저 HTTP 통신을 하는 패킷을 먼저 필터링 후, 확인하고자 하는 패킷에 우 클릭 후, 'Follow' → 'TCP Stream' 클릭 시 HTTP 패킷을 확인할 수 있다.



'점검 도구' 카테고리의 다른 글
| Burp Suite 도구 (2) | 2024.02.20 |
|---|---|
| OWASP-ZAP 도구 (0) | 2024.02.18 |
| commix 도구 (0) | 2024.01.05 |
| SQLMap 도구 (1) | 2024.01.01 |
| weevely 도구 (0) | 2024.01.01 |