2020/05/03 - [분류 전체보기] - 와이어샤크(WireShark) 사용하기 (1) - 설치 / 패킷 캡처
▷ 필터링 기능
캡처 필터 : 캡처할 때 패킷 정보에 대해 미리 필터링을 거는 것 (패킷을 보낸 주소, 받은 주소, 프로토콜 정보 등)
화면 필터 : 캡처한 정보에 대해 필터링을 거는 것
(속도를 위해서는 캡처 필터, 정확성을 위해서는 화면 필터의 사용이 권장된다)
▷ 캡처 필터
초록색 책갈피를 누르면 사용할 수 있는 여러 옵션들이 뜬다. 이 외에도 직접 형태를 지정해 입력할 수 있다. 공부한 몇 가지를 소개하겠다.
src host 172.30.1.52 - 패킷을 보낸 주소 IP 지정
dst host 172.30.1.52 - 패킷을 받은 주소 IP 지정
host 172.30.1.52 && tcp port 80 (= host 172.30.1.52 and tcp port 80) - IP주소와 프로토콜 종류 지정
! port 80 = (not port 80) - 프로토콜 지정 및 부정(port 80을 제외한 프로토콜만 보이게 한다)
(논리 연산자와 함께 사용가능)
port 80이 뭔지 이해하기 위해서 포트에 대해 공부했다
포트(Port) : 호스트 내에서 실행되고 있는 프로세스를 구분짓기 위한 16비트의 논리적 할당
= 컴퓨터 안에서 프로그램을 실행할 수 있는 주소 (프로그램의 자체적 주소)
= (컴퓨터의 주소 : IP 주소), 프로그램의 주소: 포트 번호
FTP서버가 포트 9000을 사용하면 채팅 서버는 포트 9001을 사용함으로 써 프로세스를 구분한다. 이처럼 동시에 수행되는 작업에 대해 주소가 겹치지 않게 하려고 사용한다
TCP/IP 의 상위 프로토콜을 사용하는 응용프로그램 (port 0~1023번) : 인터넷번호 할당 허가위원회에 의해 미리 지정
다른 응용프로그램 프로세스들은 접속할 때만다 포트번호가 새로 부여된다. 포트번호는 0부터 65535 까지 있다.
HTTP서비스를 위해서는 80번 포트가 지정된다.
캡처 프로토콜의 형태가 TCP와 HTTP로만 나오는 것을 확인할 수 있다
▷ 화면 필터
캡처 필터와 필터링을 거는 방법은 동일하다 (옵션 사용 or 직접 입력)
