[essential#03] Wireshark

Capturing Traffic

$ sudo tcpdump -i eth0 -nn -s0 -v port 80

-i eth0: eth0 인터페이스에서 패킷 캡처

-nn: 호스트명, 포트 번호를 DNS 리졸빙하지 않고 숫자로 표시

-s0: 패킷의 전체 내용을 캡처 (스냅샷 길이 제한 없음)

-v: 상세 출력 모드

port 80: HTTP 트래픽(80번 포트)만 캡처

$ sudo tcpdump -i eth0 -s0 -w test.pcap

-i eth0: eth0 인터페이스에서 패킷 캡처

-s0: 패킷의 전체 내용 캡처

-w test.pcap: 캡처한 패킷을 test.pcap 파일로 저장

$ sudo tcpdump -i eth0 -w /var/tmp/rotate.pcap -W 3 -C 10 -s 150 &

-i eth0: eth0 인터페이스에서 패킷 캡처

-w /var/tmp/rotate.pcap: 캡처 파일 저장 경로

-W 3: 최대 3개의 파일로 순환 저장

-C 10: 각 캡처 파일 크기를 10MB로 제한

-s 150: 각 패킷당 캡처할 바이트 수를 150으로 제한

&: 백그라운드에서 실행

 

터미널에서 pcap 내용 조회

tcpdump -r test.pcap -v

Create and Applying Filters

Statistics > Conversations - DisplayFilters

필터링하고 싶은 패킷 - Prepare as Filter

A → B 클릭 시

> ip.src==10.40.7.87 && tcp.srcport==58690 && ip.dst==17.57.145.151 && tcp.dstport==5223

Advanced Feature Color Traffic

View > Coloring Rules...

Decode

패킷 우측 Decode As..: Wireshark에서 패킷을 다른 프로토콜로 강제 해석(디코딩)하도록 하는 기능

- 비표준 포트 사용 시 (예: HTTP가 기본 80 포트가 아닌 8080 포트를 사용할 때)

Expert Information

Analyze > Expert Information

네트워크 트래픽을 분석하여 잠재적인 문제나 이상 징후를 감지

- Error (빨간색): 심각한 문제, TCP 재전송, 손상된 체크섬 등

- Warning (노란색): 잠재적 문제, TCP 윈도우 크기 0, 중복 ACK 등

- Note (파란색): 비정상적이지만 문제는 아닌 상황, TCP 윈도우 업데이트, 비표준 포트 사용 등

- Chat (회색): 일반적인 정보, TCP 연결 시작/종료 등

Interpret TCP Graphs

Statistics > I/O Graphs

시간에 따른 네트워크 트래픽을 그래프로 시각화하는 도구

Statistics > TCP Stream Graphs > Throughput

TCP 연결의 처리량을 시각화하여 보여주는 도구

Window Scaling

Win=1024