점검 도구

Wireshark 도구

sheow13 2024. 2. 21. 14:59
728x90

 

 개요

- wireshark는 네트워크 패킷 캡처 및 분석 소프트웨어로 네트워크 트래픽 분석할 때 주로 사용

- 지원하는 패킷 타입이 수백 개 이상을 지원하고 있어 네트워크 트래픽 분석할 때 해당 도구를 거의 사용하고 있으며, 웹 취약점 점검 과정에서 데이터 평문 전송 여부를 체크할 때도 자주 사용

 

디스플레이 필터 설정

- 와이어샤크 디스플레이 필터는 네트워크 영역에서 송수신하는 패킷에 대하여 사용자가 지정한 패턴을 바로 확인할 수 있는 기능으로, 일반적으로 인터넷과 연결되어 있을 때 트래픽이 많아 필요한 패킷만을 확인하기 위해선 해당 기능이 꼭 필요하다.

- 디스플레이 필터는 필터 문법에 맞추어 검색하면 되며, 하기 문법을 모두 사용하여 검색을 할 필요는 없으며, 옵션으로 사용하면 된다.

문법 Protocol Direction Host Logical Operations
예시 tcp dst 10.0.0.1 or ip.dst !=10.0.0.2

 

문법 설 명
protocol - 프로토콜을 지정하는 값으로, 프로토콜을 별도로 지정하지 않으면 모든 프로토콜을 조회
(Ex, ether, ip, arp, tcp, udp etc)
Direction - 방향성을 지정하는 값으로, 별도로 지정하지 않으면 ‘src or dst'인 모든 값을 조회
(Ex, src, dst, src and dst, src or dst)
Host - 호스트를 지정하는 값으로, 별도로 지정하지 않아도 조회가 가능
(Ex, src 10.1.1.1, src host 10.1.1.1)
Logical Operations - 논리 표현식(not, and)을 사용하여 필터링하는 것으로 왼쪽에서 오른쪽으로 처리되며, ‘and’‘or는 동일한 우선순위를 갖는다.

(Ex, and : 논리곱, or : 논리합, xor:배타적 논리합)

 

자주 사용하는 디스플레이 필터 설정

디스플레이 필터 실행
ip.addr == 10.0.0.1 - 출발지나 목적지 IP10.0.0.1인 경우 출력
ip.addr == 10.0.0.1
&& ip.addr = 10.0.0.2
- 두 개의 정의된 IP 주소 모두 출력
http or arp - 모든 httpdns 프로토콜 출력
tcp.port == 4000 - 출발지나 목적지의 포트가 4000TCP 패킷 출력
tcp.flags.reset == 1 - 모든 TCP reset 플래그가 활성화된 패킷 출력
http.request - 모든 HTTP GET 요청 패킷 출력
tcp contains traffic - 'traffic'라는 단어를 포함하는 TCP 패킷 출력
!(arp or icmp or dns) - 괄호 내용을 모두 제외한 패킷을 출력

 

Wireshark Flow Graph

- 와이어샤크 Flow Graph는 네트워크 트래픽에 대한 흐름을 UI로 제공해준 기능으로, 'Statistics' 'Flow Graph'로 접근하면 통신 흐름을 시각적으로 쉽게 파악할 수 있다.

 

[Wireshark에서 'Flow Graph'  클릭]

 

[Flow Graph를 통해 네트워크 흐름을 시각적으로 쉽게 파악할 수 있음]

 

 

 Wireshark 사용 예시

- HTTP 패킷을 Wireshark를 통해 확인하려고 할 때,  먼저 HTTP 통신을 하는 패킷을 먼저 필터링 후, 확인하고자 하는 패킷에 우 클릭 후, 'Follow' → 'TCP Stream' 클릭 시 HTTP 패킷을 확인할 수 있다. 

[Wireshark 디스플레이 필터링 설정을 통해 확인하고자 하는 패킷 검색]

 

[확인하고자 하는 패킷에 우클릭 후 'Follow'에 'TCP Stream' 버튼 클릭]

 

[HTTP 패킷 확인 가능]

 

'점검 도구' 카테고리의 다른 글

Burp Suite 도구  (2) 2024.02.20
OWASP-ZAP 도구  (0) 2024.02.18
commix 도구  (0) 2024.01.05
SQLMap 도구  (1) 2024.01.01
weevely 도구  (0) 2024.01.01