WI
Posts
7 poststshark에서 pcap 파일에 대한 프로토콜 계위(protocol hierarchy) 통계 출력
tshark에서 pcap 파일을 읽어서 프로토콜 계위(protocol hierarchy) 통계를 출력하는 방법이다. 통계는 -z 옵션으로 지정하는데, tshark 에서 기본적으로 출력해 주는 패킷 목록은 볼 필요가 없이 통계치에만 관심이 있으므로 패킷 목록 출력을 비활성화하는 -q 옵션을 추가해 주자. -z 옵션에서 지정할 수 있는 통계의 종류중에 프로토콜 계위에 대응하는 인자(argument)는 "io,phs"이다. test.pcap 파일에 대한 프로토콜 계위 통계 출력은 아래의 예시와 같이 하면 되겠다. # test.pcap 파일의 protocol hierarchy tshark -r test.pcap -q -z io,phs 특정 프로토콜만 선별해서 프로토콜 계위를 출력할 수도 있다
와이어샤크(Wireshark)에서 IP주소 위치정보(국가/도시/ASN) 표시하기
프로토콜 분석 프로그램인 와이어샤크(Wireshark, 이전 게시물을 참고하자. 여기로)에서 IP주소에 대한 위치정보(국가, 도시, AS번호)를 보기 위한 방법이다. 와이어샤크 버전 2.6 이후부터 MaxMind에서 제공하는 무료 IP주소 위치정보DB를 사용할 수 있으며, 이 DB와 연동하게 설정하면 된다. 작업은 리눅스 민트 18.2에서 와이어샤크 2.6.6으로 진행했다. 우선 MaxMind에서 제공하는 무료 IP주소 위치정보DB를 다운로드하자. "GeoLite2"라는 DB인데, 아래의 링크로 가서 받으면 된다. MaxMind GeoLite2 무료 DB 다운로드 항목을 보면 MaxMind DB(mmdb) 형식과 CSV 형식 두가지가 있는데, MaxMind DB 형식을 다운로드한다. DB는
와이어샤크(wireshark)/t샤크(tshark) - 프로토콜 분석 프로그램
인터넷 패킷을 보면서 뭔가 문제를 해결하거나 작업을 해야 할 경우 아주 요긴하게 사용할 수 있다. 사실 너무 유명한 프로그램이라 구구절절 소개할 필요도 없지만, 어쨌든 와이어샤크/t샤크를 종종 사용하고 있기 때문에 개인적으로 기억해 둘만한 사항이 있으면 블로그에 정리하려고 하므로 시작하는 글 정도로 적어 본다. 와이어샤크 홈페이지는 아래의 링크로 가면 된다. Wireshark 공식 홈페이지 윈도우용은 홈페이지에서 다운로드할 수 있고, 리눅스용은 통상 배포판 S/W 저장소에서 기본적으로 제공한다. 데비안/우분투 계열의 경우 아래와 같이 설치하면 된다. # S/W 저장소 정보 갱신 sudo apt-get update # wireshark 설치 sudo apt-get install
