패킷 목록 창에 칼럼 추가하기
실습4
http-disney101.pcapng 파일을 열고 패킷 목록 창에서 스크롤 다운하여 프레임 15를 선택한다.
패킷 상세 창에서 Hypertext Transfer Protocol 섹션을 확장하려면 앞에 있는 +를 클릭한다.
호스트 라인의 위를 오른쪽 클릭하고 Apply as Column를 선택한다.
새로운 호스트 칼럼은 Info 칼럼의 왼쪽에 나타난다.
높은 것에서 낮은 순으로 정렬하려면 호스트 칼럼 위를 더블 클릭한다.
새로운 호스트 칼럼의 헤더 위를 오른쪽 클릭하고 Hide Column을 선택한다.
이 칼럼을 다시 보기 원한다면 아무 칼럼에서나 헤더를 오른쪽 클릭하고 Displayed Columns -> Host (http.host) 를 선택한다.
와이어샤크 분석기
프레임 분석기
각 프레임에 대해 타임스탬프 집합 같은 추적 파일의 기본적인 정보를 조사해서 보여준다. 그런 후 프레임을 이더넷 분석기에 넘긴다.
이더넷 분석기
유형 필드의 내용을 기반으로 이더넷 Ⅱ 헤더의 필드를 해석하고 디스플레이하며, 패킷을 다음 분석기에 넘겨준다. 유형 필드 값 0x0800는 IPv4 헤더를 따른다는 점을 나타낸다. 이 시점에서 유의할 것은 분석기가 이더넷 프레임을 제거할 때 '패킷'이라는 용어를 사용한다는 점이다.
IPv4 분석기
프로토콜 필드의 내용을 기반으로 IPv4 헤더의 필드를 해석하고, 다음 분석기에 넘겨준다. 프로토콜 필드 값 6은 TCP를 따른다는 것을 나타낸다.
TCP 분석기
포트 필드의 내용을 기반으로 TCP 헤더의 필드를 해석하고, 패킷을 다음 분석기에 넘겨준다. 목적지 포트 값 80은 HTTP를 따른다는 것을 나타낸다.
HTTP 분석기
HTTP 패킷의 필드를 해석한다. 여기서는 HTTP 패킷 안에 내장된 프로토콜이나 애플리케이션이 없으므로, HTTP 분석기가 프레임에 적용되는 마지막 분석기다.
실습5
http-nonstandard101 파일을 열고 패킷 목록 창을 조사한다. 이것은 HTTP처럼 보이지 않는다.(?) protocol 칼럼은 단순히 보이는 모든 패킷에 대한 TCP를 나열한다. 와이어샤크는 트래픽이 클라이언트 포트 50191 에서 50197까지를 포트 81로 보내지고 있음을 표시한다. 위에서 와이어샤크의 services 파일을 살펴 볼 것이다.
메인 툴바위에 Edit preferences 버튼을 클릭한다.
protocols 섹션을 확장하고, HTTP를 선택후 포트 번호 목록에 81에 추가하고 OK를 클릭한다.
추적 파일을 따라 스크롤 한다 이제 트래픽은 TCP 와 HTTP로 분석한다.
포트 81로 실행되는 HTTP 트래픽이 없기 때문에 HTTP 포트 선호 설정으로 돌아가 81을 제거한다. 이제 새로운 설정을 저장하고 OK를 클릭한다.
실습6
이번 실습에서는 메인 툴바 위의 Edit Preferences 버튼을 사용하여 선호 설정을 보거나 변경한다.
먼저, http-pcaprnet101.pcapng을 연다.
메인 툴바 위의 Edit → Preferences 버튼을 클릭한다.
책에는 Filter display max.list entries 와 "Open Recent" max.list entries 설정을 30으로 변경하라고 나와있지만 실제로 저 창을 띄웠을 때 찾을 수 없어서 Maximum recent filters 와 Maximum recent files 설정을 30으로 변경하고 OK를 클릭했다.
그 다음으로는 패킷 목록 창 안에서 선택된 프레임 1을 갖고 패킷 상세 창의 Internet Protocol 섹션 위를 오른쪽 클릭하고 드롭다운 메뉴 위의 Protocol Preferences 옵션을 유지한다. Valdate the IPv4 checksum if possible을 비활성화한다.
다시 프레임 1에서 패킷 상세 창의 User Datagram Protocol 섻션을 오른쪽 클릭하고 드롭다운 메뉴에서 프로토콜 Preferences 옵션을 유지한다. Validate the UDP checksum if possible을 설정하지 않는다.
패킷 목록 창 안의 프레임 5를 선택한다. 패킷 상세 창에서 Transmission Control Protocol 섹션을 오른쪽 클릭하고, Validate the TCP checksum if possible을 비활성화한다.
그리고나서 Allow subdissector to reassemble TCP streams를 비활성화하고 Track number of bytes in flight와 Calculate conversation timestamps를 활성화한다.
이제 이 설정이 패킷 디스플레이에 어떻게 영향을 미치는지 살펴보기 위해 프레임 8을 클릭한다. 그 다음에 패킷 상세 창 안의 Transmission Control Protocol line, SEQ/ACK analysis, Timestamps 섹션을 확장한다.
와이어샤크에서 TCP 검사합의 유효성 검사를 하지 않는다는 점과 287 바이트 데이터가 보내졌지만, 확인 응답되지 않았음을 볼 수 있다.
게다가 이 프레임이 TCP 대화의 첫 프레임 후의 대략 20밀리초(0.020초)와 이 TCP 대화의 앞 프레임 후에 778밀리초(0.000778초)에 도달하는 것을 볼 수 있다.
실습7
이 실습에서는 'wireshark101'이라는 새로운 프로파일을 생성한다.
맨 아래있는 상태 바 안의 Profile 칼럼 위를 오른쪽 클릭하고 New를 선택한다.
이용 가능한 프로파일의 드롭다운 목록에서 Default를 선택한다.
프로파일을 wireshark101로 이름을 부여하고 OK를 클릭한다.
와이어샤크는 이제 상태 바 안에 새로운 프로파일을 나타낸다.
실습8
Help → About Wireshark → Folders 를 선택한다.
개별적인 구성 폴더 위를 더블 클릭해 디렉터리 구조를 조사한다
profiles 디렉터리를 연다.
이 profiles 디렉터리에 httpdnsprofile.zip 파일을 압축 해제하고, 이곳에 파일을 위치시킨다.
HTTP-DNS_Errors라는 새로운 디렉터리를 볼 수 있다.
와이어샤크로 돌아가서 상태 바 위에 있는 프로파일 칼럼 위를 클릭한다.
새로운 프로파일이 나열된 것을 보게 된다.
HTTP-DNS_Errors 프로파일 위를 클릭해 이 새로운 프로파일을 조사한다.
HTTP-DNS_Errors 프로파일에서 작업하는 동안 dns-nmap101.pcapng를 연다.
추적 파일에서 색다른 색상과 디스플레이 필터 영역에서 2개의 새로운 버튼을 볼 수 있다.
상태 바 위의 프로파일 칼럼을 클릭하고, wireshark101 프로파일을 선택한다.
실습9
먼저 http-slow101.pcapng 파일을 연다.
Length 칼럼 헤더를 오른쪽 클릭하고 Hide Column을 선택한다.
이것은 새로운 칼럼을 위한 더 많은 공간을 제공한다.
Veiw → Time Display Format → Seconds Since Previous Displayed Packet을 선택한다.
Time 칼럼 헤더 위를 더블 클릭해 높은 것에서 낮은 순으로 정렬한다.
이 추적 파일에 매우 높은 지연이 있음을 볼 수 있다.
No(Number) 칼럼 헤더 위를 클릭해 추적 파일을 본래의 정렬 순서로 돌아가게 한다.
그 다음 프레임 1의 패킷 상세 창 안의 TCP 헤더를 오른쪽 클릭하고 Expand Subtrees를 선택한다.
아래로 스크롤하고 Time since previous frame in this TCP stream을 오른쪽 클릭하고 Apply as Column을 선택한다.
패킷 목록 창안에 새로운 칼럼을 갖는다.
새로운 칼럼을 오른쪽 클릭하고 Edit Column Details를 선택한다.
제목 영역 안에 TCP Delta를 입력하고 OK를 클릭한다.
새로운 TCP Delta 칼럼 헤더 위를 더블 클릭해 높은 것에서 낮은 순으로 정렬한다.
이 추적 파일에는 다수의 TCP 대화가 교차돼 있지만, TCP Delta 칼럼은 추적 파일에 전달 지연 시간의 정확한 표시를 제공한다.
Info 칼럼을 좀 더 살펴보면 HTTP 서버가 'OK'라고 할 때까지 여러 가지 높은 지연이 있음을 알 수 있다.
도전과제
질문 2-1 어느 프레임 번호에서 디폴트 웹 페이지('/')에 대한 클라이언트 요청을 갖는가?
답) 프레임 13
먼저 Edit → Preferences 를 누른다.
그리고나서 Protocols 앞의 + 버튼을 누른다.
스크롤로 내려서 HTTP를 클릭하고 TCP Ports에 87을 추가한다.
OK를 클릭한다.
메인 툴바에 있는 리로드 버튼을 클릭하여 추적 파일을 새로 설정하면 프레임 13이 디폴트 페이지에 대한 GET 요청임을 알 수 있다.
'Wireshark' 카테고리의 다른 글
와이어샤크 개론 - 1장 (0) | 2016.10.11 |
---|