wireshark : packet 분석에 많이 사용되는 도구, data를 PCAP 파일 포맷을 이용하여 저장
**PCAP : packet capture 의미로 네트워크 트래픽을 캡쳐하기 위한 API로 구성되어 있음
(window - WinPcap, unix - libpcap)
1. 와이어샤크 개념
1번 창
수집된 packet을 시간 순서에 따라 정보를 제공
정보 | 설명 |
No | 순차적으로 증가하는 번호 |
Time | 수집한 시간 |
Source | 발신자 IP 혹은 MAC 주소 |
Destination | 수신자 IP 혹은 MAC 주소 |
Protocol | 프로토콜 종류 |
Info | 프로토콜에 대한 요약 정보 |
2번 창
1번 상단 창에서 선택한 라인에 대한 protocol 상세 정보를 제공, 해당 정보를 통해 프로토콜 필드 값을 상세하게 확인 가능
3번 창
2번 창은 사용자가 이해하기 쉽도록 구성한 data, 실 packet의 data 값은 3번 창과 같은 16진수 값을 가지고 있음
2. 와이어샤크 파일포맷 PCAP
wireshark는 window 상에서는 Winpcap 라이브러리를 사용해서 packet 수집, 유닉스 계열에서는 Libpcap을 사용하여 packet을 수집. 이때 수집된 data 포맷은 PCAP이라는 파일 포맷을 가짐
최경철, "SECURITY 네트워크 패킷 포렌식", secu BOOk(2015)
위 책을 참고하여 공부한 내용을 정리한 글입니다.
'그 외 > 네트워크 포렌식' 카테고리의 다른 글
[제 1 장] TCP / IP 개념 (0) | 2023.04.22 |
---|