- 수많은 직군 / 직종에서 일어나는 장애에 대응하기란 쉽지않다.
- 특히, IT에서의 장애는 일전에 KT에서 주간 Router 작업 중, Human Error로 인하여 전국망이 죽었던 것처럼 파장이 크다.
(이 때, 전국의 고객사로부터 전화를 받았다. 기사로 올라온 관련 장애 사항을 전달하여 사태를 마무리했었는데, 적잖이 당황했었던 기억이 있다.)
- 장애를 처리하기 위해 밤낮 없이 대기하고, 재부팅도 해보고, Configuration을 바꿔보기도 한다.
- 대부분, 위의 작업에서 해결되기도 하지만, 모두의 간절한 소망이 하늘에 닿지 않을 때가 있다.
- 그러면, 이제는 패킷이 오고가는 과정까지 들여다봐야한다. 그 얇은 네트워크 케이블에 오고가는 수십만개의 패킷을 조사하고 분석해야하는 것이다.
- 패킷 송/수신 과정을 출력하는 명령어를 통하여 장비에서 볼 수도 있지만, 더 자세하게 보아야할 필요가 있을 수 있다.
- 이때, 필요한 도구가 Wireshark다. Wireshark의 확장자 파일로 저장하여 트러블 슈팅에 도움을 줄 수 있도록 지원하기도 하며, Port-mirrioring으로 바로 볼 수도 있다.
목차
1. Wireshark 사용법
2. Wireshark Filter 용례
개요
- Network Packet Analyzer
- 오픈 소스 라이선스
- Packet를 캡쳐하고, Packet의 상세 정보를 출력하는 분석도구
용례
- 네트워크 장애 해결을 위한 트러블슈팅
- 보안 문제 관련 조사
- 프로토콜 송/수신 디버깅
- 네트워크 프토토콜 공부
[Wireshark 사용법]
- Wireshark를 설치하고 나면, 아래의 화면이 출력된다.
Wireshark · Go Deep
Wireshark: The world's most popular network protocol analyzer
www.wireshark.org
- Wireshark는 현재 설치된 Interface들을 인식했다.
- 분석하길 원하는 Interface를 선택한다.
- 이와 같이, 몇 초만에 선택한 Interface에서 송/수신하는 패킷들을 볼 수 있다.
- 중지하려면, 상단 왼쪽에 있는 빨간색 박스를 누르면 된다.
| No. | Time | Source | Destination | Protocol | Length | Info |
| 패킷 번호 | 패킷 시간 | 출발지 IP | 목적지 IP | 프로토콜 | 패킷의 길이 | 패킷 의 내용 |
- 패킷을 하나 선택해보면, 아래의 사진과 같이 Layer 별로 나누어져서 패킷이 담고 있는 정보가 출력된다.
- 송/수신된 패킷의 흐름을 쉽게 볼 수도 있다.
- 원하는 패킷을 우클릭하여 [Follow] - [TCP Stream] 혹은 다른 Stream을 볼 수 있다.
- 그러면, 다음과 같이 하나의 창이 열린다.
- 패킷 내용을 볼 수 없게 암호화되어 있다.
- 이 방법 말고, Filter에 분석해야하는 관련 패킷의 정보를 넣어서 확인할 수 있다.
[Wireshark Filter 용례]
특정 호스트의 패킷 캡쳐
ip.addr == [IP]
특정 두 호스트의 통신 패킷 캡쳐
ip.addr == [IP] and ip.addr == [IP]
특정 포트 패킷 캡쳐
tcp.port == [PORT]
특정 두 포트 중 하나의 패킷이라도 나오면 캡쳐
tcp.port == [PORT] or tcp.port == [PORT]
특정 호스트의 특정 포트 패킷 캡쳐
ip.addr == [IP] and tcp.port == [PORT]
특정 패킷만 캡쳐 안함
not [PROTOCOL]
'IT > Utility' 카테고리의 다른 글
| [Utility] EditPlus FTP Server 연동 실행 (0) | 2023.08.25 |
|---|