WireShark 와이어샤크 활용 IP헤더 분석

와이어 샤크는 사용자의 기기가 어떤 네트워크 페킷을 주고받는지 분석할 수 있는 도구입니다.
어떤 방식으로 어떻게 활용 가능한지 살펴보겠습니다.

 

 

처음 와이어 샤크를 실행하면 나오는 초기 화면입니다.
사용자의 PC에 연결되어 있는 네트워크 정보를 보여주며 가상 컴퓨터 페럴라이즈 VM Box 등등 가상 머신이 있다면

해당 네트워크도 볼 수 있습니다.

 

 

 

와이어 샤크는 필터링을 두 가지 방법으로 줄 수 있습니다. 

캡처 필터와 화면 필터 방식으로 구분합니다.

 

캡처 필터(Capture filter)

네트워크를 캡처하기 전 필터링을 먼저 한 후 네트워크를 캡처합니다.

Capture > Opction 메뉴에서 해당 기능을 활용할 수 있습니다. 

 

필터링 예제

 

필터링 내용으로 위와 같이 Display filter 와는 다른 문법으로 필터링 작업을 시행할 수 있습니다.
필요 내용만 확인하기 위해 캡처 이전 필터링을 위해 해당 기능을 활용합니다.

 

화면 필터 (Display filter)

Display filter는 네트워크 캡처 이후 필터링을 진행하는 기능입니다.

 

필터링 예제

 

Capture filter 와는 다른 문법의 형태로 Display filter를 사용할 수 있습니다.

 

필터링된 네트워크 패킷들은 사용자의 디바이스와 통신하는 패킷들을 살펴볼 수 있습니다. 

 

IP 헤더의 구조

 

Ip 헤더구조

 

 

 

IP해더 구조

 

 

- Version : IP의 버전 정보가 저장되어 있습니다. 

- IHL(Intemet Header Lengh) : Header 의 길이 정보가 저장되어 있습니다

- Type of Service : 사용되는 서비스 종류 및 혼잡도를 나타냅니다. Type of Service는 DSCP + ECN으로 구성되어 있습니다

- DSCP(Differentiated Service Code Point) : 서비스의 우선순위를 나타내며 CS0 (Default) ~ CS7(우선순위 높음) 각 단계로 구분합니다.

- ECN (Explicit Congestion Notification) : 혼잡도 정도를 알려준다. 

- Identification : 전송 가능한 최대 단위 (MTU) 정보를 담고 있다

- Flags : 최대 범위를 초과하여 단편화된 패킷이 있다면 추가적인 패킷이 더 있음을 알려준다.

- Fragment offset : 분할된 패킷을 재배열할 때 패킷들의 재배열 순서를 파악

-Time to live : 패킷 수명 정보를 담고 있다. Hop count , 네트워크 장비들을 통과할 때마다 감소하는 방식이다.

- Protocol : 프로토콜 종류 (TCP , UDP 등)를 담고 있다.

- Header Checksum : 헤더의 오류를 검증한다

- Source address : 송신자의 IP 주소를 담고 있다

- Destination address : 수신자의 IP 주소를 담고 있다.

- Option + Padding : 헤더의 추가적인 정보를 담고 있다.

 

이처럼 와이어 샤크를 이용하여 패킷을 분석할 시 헤더 파일을 분석할 수 있습니다. 

IP 헤더 이외 TCP , UDP 등 다양한 헤더를 분석하고 어떤 통신을 하였는지 분석가 능게 합니다.

또한 3-way-handshake , 4-way-handshake 등 통신을 보면서 분석을 이어갑니다.

해당 내용은 추후에 추가하겠습니다.