Posts
7 poststshark에서 패킷 내용을 상세하게 출력(-V 옵션)
tshark에서 -V 옵션을 지정하면 패킷의 내용을 상세하게 출력해 준다. 각 프로토콜 계층마다 헤더(header) 구성 요소별로 실제로 어떤 값이 있는지 볼 수 있다. 전체 패킷에 대해서 다 이렇게 보기는 양이 너무 많을 것이므로, -Y 옵션으로 필터(filter)를 지정하여 조건에 맞는 패킷만 골라낸 후에 자세한 내용을 보는 방식으로 활용할 수 있다. 예를 들어 패킷을 저장한 test.pcap 파일을 읽어서(-r 옵션) HTTP GET 패킷만 골라 상세한 내용을 보고자 한다면 아래와 같이 할 수 있겠다. # test.pcap 파일에서 HTTP GET 패킷만 골라낸 후 상세 내용 출력 tshark -r test.pcap -Y "http.request.method==GET" -V | mor
tshark에서 패킷의 특정 정보(field)만 출력하기
tshark에서 패킷 관련 정보를 출력할 때 보고 싶은 특정 정보만 표시하도록 할 수 있다. 예를 들어 my_data.pcap 파일에서 다른 정보는 다 필요 없고 패킷 출현시간, 송신자 IP주소, 수신자 IP주소, 이렇게 세가지 항목만 출력하고 싶을 수 있다. 이런 경우 "-T fields" 옵션을 사용하고 -e 옵션으로 항목을 지정한다. 예시를 보면 금방 감이 잡힐 것이다. # my_data.pcap 파일에서 출현시간, 송신자 IP주소, 수신자 IP주소만 출력 tshark -r my_data.pcap -T fields -e frame.time -e ip.src -e ip.dst 위의 예시를 보면, -r 옵션으로 my_data.pcap 파일을 읽으라고 지정해 주고 -T fields 옵션과 -e
capinfos - pcap 파일 정보 출력
capinfos는 wireshark/tshark에 포함되어 같이 설치되는데(wireshark/tshark에 대한 내용은 이전 게시물을 참고하자. 여기로), pcap 파일에 대한 다양한 정보를 출력해 준다. 파일에 포함된 패킷의 수, 패킷 캡처 시작/종료 시각 등을 확인할 때 편리하다. 몇가지 예시를 보면 금방 감이 잡힐 것이다. # test.pcap 파일에 저장된 패킷의 수 출력(-c 옵션) capinfos -c test.pcap File name: test.pcap Number of packets: 4,556 # test.pcap 파일의 캡처 시작 시간 출력(-a 옵션) capinfos -a test.pcap File name: test.pcap First packe
우분투 14.04 기반 배포판에서 와이어샤크 2.6.7 설치 (소스코드에서 설치)
우분투 14.04의 공식 S/W저장소에서 제공하는 와이어샤크(wireshark)의 버전은 2.6.6인데, IP주소 위치정보(GeoIP)를 사용할 수 있는 "MaxMind DB resolver"가 제외된 채로 컴파일되어 있었다. 와이어샤크에서 IP주소 위치정보를 사용하는 방법은 이전 게시물을 참고하자. 여기로 IP주소 위치정보를 사용하기 위해 wireshark 공식 홈페이지에서 2.6.7 소스코드(source code)를 다운로드하여 수동 설치를 해 보았다. 생각보다 꽤 번거롭긴 하나, 어쨌든 설치 과정은 아래와 같다. 소스코드를 컴파일하기 위해서는 사전 작업이 좀 필요하다. 아래와 같이 몇가지 S/W를 설치한다. # S/W저장소 정보 갱신 sudo apt-get update # 패키지
