WireShark에서 패킷을 캡처하는 방법은 무엇입니까?
Wireshark는 네트워크를 통과하는 데이터를 사람이 읽을 수 있는 형식으로 변환하는 귀중한 네트워크 분석 도구입니다. 네트워크 또는 보안 문제를 해결하고, 프로토콜 구현을 디버그하거나, Wireshark로 패킷을 캡처하여 단순히 트래픽을 모니터링할 수 있습니다.
네트워크에서 무슨 일이 일어나고 있는지 자세히 살펴보고 필요한 정보를 정확히 수집하십시오. Wireshark에서 다양한 유형의 패킷을 캡처하는 방법은 다음과 같습니다.
패킷을 캡처하는 방법
Wireshark에서 캡처 프로세스를 시작하는 데 몇 번의 클릭만으로 완료됩니다. 캡처 모드를 시작하기만 하면 필터링 없이 데이터가 들어오기 시작합니다. 이 필터링되지 않은 모드는 진행 상황에 대한 전체 설명이 필요할 때 유용하지만 이러한 방식으로 수집되는 데이터의 양은 압도적일 수 있습니다. 보다 쉽게 관리할 수 있도록 필터를 사용하고 특정 유형의 데이터만 수집할 수 있습니다. 아래에서 이에 대한 지침을 찾을 수 있습니다.
지금은 Wireshark에서 모든 패킷 캡처를 시작하는 방법을 살펴보겠습니다.
- 최신 버전의 Wireshark가 설치되어 있는지 확인하십시오. Wireshark 공식 웹사이트에서 무료로 프로그램을 다운로드할 수 있습니다 .
- 프로그램을 실행합니다. 검색된 네트워크 목록이 포함된 시작 화면이 표시됩니다.
- 다음 방법 중 하나로 패킷 캡처를 시작합니다.
- 목록에서 선택한 네트워크를 두 번 클릭합니다.
- 하나 이상의 네트워크 인터페이스를 선택한 다음 도구 모음에서 상어 지느러미 아이콘을 클릭하거나 메뉴 모음에서 “캡처”를 클릭한 다음 “시작”을 클릭합니다.
메모. 캡처를 클릭한 다음 옵션을 클릭하여 시작하기 전에 무차별 모드와 같은 캡처 옵션을 설정할 수 있습니다.
네트워크 인터페이스나 시작 버튼을 누르자마자 캡처 화면으로 이동합니다. Wireshark가 실시간으로 데이터 패킷을 캡처하는 방법을 볼 수 있습니다. 수집된 데이터의 양에 만족하면 상단 도구 모음에서 빨간색 중지 버튼을 클릭하여 캡처를 중지할 수 있습니다. 지금 데이터 분석을 시작하거나 메뉴 모음에서 “파일”을 클릭한 다음 “다른 이름으로 저장…”을 클릭하여 데이터를 저장하십시오.
UDP 패킷을 캡처하는 방법
위의 단계를 따르면 프로그램에서 모든 패킷을 캡처하라는 메시지가 표시됩니다. 색상 코딩 덕분에 Wireshark에서 다양한 유형의 트래픽을 쉽게 구별할 수 있지만 여전히 많은 데이터를 선별해야 합니다. 특정 패키지에 대한 정보만 찾고 있다면 필터를 사용하여 작업을 더 쉽게 만들 수 있습니다.
Wireshark는 캡처 및 표시 필터를 지원합니다. 캡처 필터를 사용하면 프로그램이 정의한 패킷만 캡처합니다. 디스플레이 필터는 이미 캡처된 패킷을 간단히 필터링합니다. 두 필터는 다르게 작동하고 다른 명령을 사용하므로 필요에 가장 적합한 필터를 결정해야 합니다.
UDP 트래픽만 캡처하려면 캡처 프로세스를 시작하기 전에 캡처 필터를 사용하십시오.
- 와이어샤크를 시작합니다.
- 시작 화면에서 캡처 필터 패널을 찾습니다. 네트워크 목록 바로 위에 있습니다.
- “Capture Filter” 필드에 “udp”를 입력하고 Enter 키를 눌러 UDP 트래픽 캡처를 시작합니다. 필터를 추가로 지정하려면 “udp” 뒤에 특정 포트를 추가할 수도 있습니다.
조언. 캡처 필터를 설정하는 또 다른 방법은 메뉴에서 “캡처”를 클릭한 다음 “옵션”을 클릭하는 것입니다. 필터 패널은 캡처 인터페이스 하단에 있습니다.
Wireshark DHCP 패킷을 캡처하는 방법
DHCP 패킷을 독점적으로 캡처하려면 캡처 필터에 적절한 포트 번호를 입력해야 합니다. 캡처 필터 “포트 67” 또는 “포트 68” 또는 두 “포트 67 또는 포트 68″의 조합을 사용하여 DHCP 패킷을 캡처합니다.
마찬가지로 디스플레이 필터는 캡처 화면에서 DHCP 패킷을 필터링할 수 있습니다. 그러나 표시 필터는 캡처 필터와 다른 구문을 사용합니다. 디스플레이 필터 행에 “udp.port == 68″을 입력해야 합니다.
핑 패킷을 캡처하는 방법
Wireshark에서 ping 패킷(ICMP(Internet Control Message Protocol) 에코 트래픽이라고도 함)을 캡처하는 가장 좋은 방법은 캡처 모드에서 디스플레이 필터를 사용하는 것입니다. 다음은 프로세스입니다.
- Wireshark를 열고 위에서 설명한 대로 캡처 프로세스를 시작합니다.
- 명령 프롬프트를 열고 원하는 주소를 ping합니다.
- Wireshark로 돌아가 캡처 프로세스를 중지합니다.
- 디스플레이 필터 행에 “icmp”를 입력한 다음 Enter 키를 눌러 핑 필터를 만듭니다.
패킷 목록에서 요청과 핑 응답을 모두 볼 수 있습니다.
Wireshark 특정 IP 주소에서 패킷을 캡처하는 방법
특정 IP 주소에 대한 캡처에 초점을 맞추려면 캡처를 시작하기 전에 “호스트 [캡처할 IP 주소]” 캡처 필터를 입력하십시오. 예를 들어, IP 주소 111.11.1.1과 연결된 패킷을 캡처하려면 캡처 필터 패널에 “호스트 111.11.1.1” 필터가 필요합니다.
또한 “호스트:” 대신 시작 부분에 소스에 “src”를 추가하거나 대상에 “dst”를 추가하여 특정 IP 주소로 들어오거나 나가는 트래픽을 캡처할지 여부를 지정할 수 있습니다.
- 해당 IP 주소에서 오는 패킷에 대해 “src 111.11.1.1″을 입력하십시오.
- 해당 IP 주소로 전송된 패킷에 대해 “dst 111.11.1.1″을 입력하십시오.
당연히 이러한 필터를 결합하여 다음에 캡처하려는 트래픽을 지정할 수 있습니다. 두 필터를 “and”로 연결하여 지정한 두 IP 주소 간에 패킷을 이동합니다. 예를 들어 “src 111.11.1.1 및 dst 222.22.2.2″는 111.11.1.1에서 222.22.2.2로 보낸 패킷만 캡처합니다.
디스플레이 필터를 사용하여 이미 캡처된 데이터 세트의 특정 IP 주소와 연결된 패킷을 필터링합니다. 위의 IP 주소에 대해 디스플레이 필터 행에 “ip.addr == 111.11.1.1″을 입력하는 식으로 진행합니다.
자주 묻는 질문
Wireshark에서 라우터 패킷을 캡처하는 방법은 무엇입니까?
라우터가 포트 미러링을 지원하는 경우에만 Wireshark로 라우터 패킷을 캡처할 수 있습니다. 먼저 트래픽을 LAN 포트로 미러링해야 합니다. 프로세스는 장치에 따라 다를 수 있습니다.
1. LAN 섹션으로 이동한 다음 LAN 포트 미러로 이동합니다.
2. 포트 미러링을 활성화합니다.
3. 시작점과 끝점을 설정합니다.
이 방법으로 트래픽을 미러링할 수 있다면 Wireshark 캡처 모드에서 라우터 패킷을 정상적으로 캡처할 수 있어야 합니다.
Wireshark에서 패킷을 캡처할 수 없는 이유는 무엇입니까?
Wireshark가 패킷을 캡처하지 않는 경우 다음 문제 해결 옵션을 고려하십시오.
• 지나치게 구체적인 캡처 필터를 활성화하지 않았는지 확인하십시오.
• 도움말 메뉴에서 Wireshark에 대한 업데이트를 찾습니다.
• 방화벽이 Wireshark 응용 프로그램을 차단하고 있지 않은지 확인합니다.
위의 요인 중 어느 것도 적용되지 않는 경우 문제는 하드웨어와 관련이 있을 가능성이 큽니다.
모든 것을 인수해야 한다
Wireshark로 패킷을 캡처하는 것은 몇 번의 클릭만으로 이루어집니다. 이것은 아마도 문제 해결 작업의 가장 쉬운 부분일 것입니다. 모든 트래픽을 캡처하고 나중에 패킷을 필터링하거나 캡처 필터를 사용하여 특정 유형의 데이터만 캡처합니다.
이 팁으로 올바른 패키지를 캡처할 수 있었습니까? 어떤 Wireshark 캡처 필터가 가장 유용합니까? 아래 의견에 알려주십시오.
답글 남기기