1. 와이어샤크의 설명
- 컴퓨터의 세계는 3개의 계층으로 이루어짐 (user mode, kernel mode, hardware mode)
- Filter (Sensor) 수집 역할
- 데이터의 단위는 Frame, 그 안에 Packet이 있음
- Sensor가 수집한 L2의 프레임을 보내면, 화면에 알아보기 좋게 함
- 수집 및 분석, 검색
- 필터에는 수집 필터와 검색 필터가 있음
- 침해대응 분석 - 모니터링 (로그 분석)
- IPS/IDS 패킷 샘플
- 모의 해킹 - PC -> 서버 암호화 과정
- 애플리케이션 패킷 분석
- 포렌식 분석
- wincap - 패킷 드라이브 (모니터링 모드를 가장 많이 사용함)
2. 와이어샤크 캡처
- 이더넷 (유선), WIFI (무선)
- 홈 화면에서 바로 캡처를 클릭하면, 기본적으로 설정된 어뎁터를 기준으로 시작
- 그러나 옵션을 먼저 선택하고 하기
- 로컬 영역: 설치되어 있는 모든 영역 (이더넷 쪽과 유사)
- pcapng은 pcap보다 더 세부적임
3. 와이어샤크 사용
- 목록은 패킷들임. 프레임 (L2프레임 데이터가 나옴)
- 디코딩된 결과가 나옴
- 헥스 원본이 들어가 있음
4. 라이브 캡쳐
- 실제 네트워크에서 입출력이 나는, NIC에서 I/O가 발생하는 걸 하나의 목록화시킴
- 파일: Trace file라고 함 (추적 파일)
- option엔 원래 무차별모드로 되어 있음
- Trace file의 용량, 1GB면 로딩이 오래 걸림
- 와이어샤크 200MB 이하인 것만 사용하기 (대용량은 힘듦)
'정보보안 (기술) > Wireshark 실습' 카테고리의 다른 글
| 와이어샤크 기초 5. 침해사고 분석 기능 - Sparta 패킷 분석 (0) | 2024.07.09 |
|---|---|
| 와이어샤크 기초 4. 침해사고 분석 기능 - Nlkto 패킷 분석 (0) | 2024.07.09 |
| 와이어샤크 기초 3. 침해사고 분석 기능 (0) | 2024.07.09 |
| 와이어샤크 기초 2. 와이어샤크 설명 인터페이스 (0) | 2024.07.09 |