오픈 소스 패킷 분석 프로그램으로 “pcap”을 이용하여 패킷 분석, 무차별 모드(promiscuous mode)를 지원, In/Out/Broadcast/Multicast Traffic, pcap 라이브러리 이용
설치
다운로드 링크 : Go
설정
자동으로 와이어샤크가 이더넷 인터페이스를 찾음
해당 부분 클릭하면 왼쪽 상단에 상어지느러미 모양이 활성화, 해당 이더넷 인터페이스에서 in/out packet 확인
- No. : 패킷을 수집한 순서
- Time : 패킷이 수집된 시간
- Source : 패킷을 보낸 주소
- Destination : 패킷 도착 주소
- Protocol : 프로토콜 정보
- Length : 패킷의 길이
- Info : 패킷 정보
에러 시 red, black 패킷 확인, 데이터 전송 시 패킷 전달 수 확인
1. 패킷 수집 시 필터 적용 (성능에 영향을 끼칠 수 있음) 캡처필터
2. 패킷 전체를 수집, 추후 필터 방법(권장, 다양연산 가능) 디스플레이필터
“Apply a display filter” 필터 적용, Analyze > Display Filters… 에서 적용가능.
예 : “ip.addr == 192.1.1.1” 이라고 적용하면 source든 destination이든 아이피가 해당 아이피인 패킷 확인 가능
- eth.addr == 00:3f:1e:00:00:23 //출발지나 목적지 MAC 주소로 검색
- ip.addr == 192.168.0.2 // 출발지나 목적지 IP주소로 검색
- tcp.port == 3306 // TCP 출발지나 목적지 포트 번호로 검색
- ip.src != 10.1.2.3 // 출발지 IP주소가 해당 IP주소가 아닌것 검색
- eth.dst == 00:3f:1e:00:00:23 // 목적지 MAC주소 검색
세션별로 조립 : Stream, TCP 통신 패킷들을 조립
출처: https://jeong-pro.tistory.com/155 [기본기를 쌓는 정아마추어 코딩블로그]