와이어샤크

tshark에서 -V 옵션을 지정하면 패킷의 내용을 상세하게 출력해 준다. 각 프로토콜 계층마다 헤더(header) 구성 요소별로 실제로 어떤 값이 있는지 볼 수 있다. 전체 패킷에 대해서 다 이렇게 보기는 양이 너무 많을 것이므로, -Y 옵션으로 필터(filter)를 지정하여 조건에 맞는 패킷만 골라낸 후에 자세한 내용을 보는 방식으로 활용할 수 있다. 예를 들어 패킷을 저장한 test.pcap 파일을 읽어서(-r 옵션) HTTP GET 패킷만 골라 상세한 내용을 보고자 한다면 아래와 같이 할 수 있겠다. # test.pcap 파일에서 HTTP GET 패킷만 골라낸 후 상세 내용 출력 tshark -r test.pcap -Y "http.request.method==GET" -V | mor

tshark에서 패킷 관련 정보를 출력할 때 보고 싶은 특정 정보만 표시하도록 할 수 있다. 예를 들어 my_data.pcap 파일에서 다른 정보는 다 필요 없고 패킷 출현시간, 송신자 IP주소, 수신자 IP주소, 이렇게 세가지 항목만 출력하고 싶을 수 있다. 이런 경우 "-T fields" 옵션을 사용하고 -e 옵션으로 항목을 지정한다. 예시를 보면 금방 감이 잡힐 것이다. # my_data.pcap 파일에서 출현시간, 송신자 IP주소, 수신자 IP주소만 출력 tshark -r my_data.pcap -T fields -e frame.time -e ip.src -e ip.dst 위의 예시를 보면, -r 옵션으로 my_data.pcap 파일을 읽으라고 지정해 주고 -T fields 옵션과 -e

우분투 14.04의 공식 S/W저장소에서 제공하는 와이어샤크(wireshark)의 버전은 2.6.6인데, IP주소 위치정보(GeoIP)를 사용할 수 있는 "MaxMind DB resolver"가 제외된 채로 컴파일되어 있었다. 와이어샤크에서 IP주소 위치정보를 사용하는 방법은 이전 게시물을 참고하자. 여기로 IP주소 위치정보를 사용하기 위해 wireshark 공식 홈페이지에서 2.6.7 소스코드(source code)를 다운로드하여 수동 설치를 해 보았다. 생각보다 꽤 번거롭긴 하나, 어쨌든 설치 과정은 아래와 같다. 소스코드를 컴파일하기 위해서는 사전 작업이 좀 필요하다. 아래와 같이 몇가지 S/W를 설치한다. # S/W저장소 정보 갱신 sudo apt-get update # 패키지

tshark에서 pcap 파일을 읽어서 프로토콜 계위(protocol hierarchy) 통계를 출력하는 방법이다. 통계는 -z 옵션으로 지정하는데, tshark 에서 기본적으로 출력해 주는 패킷 목록은 볼 필요가 없이 통계치에만 관심이 있으므로 패킷 목록 출력을 비활성화하는 -q 옵션을 추가해 주자. -z 옵션에서 지정할 수 있는 통계의 종류중에 프로토콜 계위에 대응하는 인자(argument)는 "io,phs"이다. test.pcap 파일에 대한 프로토콜 계위 통계 출력은 아래의 예시와 같이 하면 되겠다. # test.pcap 파일의 protocol hierarchy tshark -r test.pcap -q -z io,phs 특정 프로토콜만 선별해서 프로토콜 계위를 출력할 수도 있다