맨위로

 Goal

  • 와이어샤크에 트래픽 컬러링 기능을 알며 활용하는 방법을 알아보겠습니다.
 Prologue 

컬러링은 관심있는 패킷을 지정해 강조하는 매우 효과적인 툴입니다.

오류 상태 , 네트워크 스캔과 침해된 호스트의 증거를 나타내는 패킷을 컬러링할수 있습니다.
 
 Wireshark 

와이어 샤크는 미리 설정된 컬러링 규칙을 가지고 있습니다.
우리는 이 규칙 파일을 수정하여 원하는 패킷에 원하는 컬러를 컬러링 하여 패킷을 강조할수 있습니다.
다음표는 정의되어있는 컬러링 규칙의 일부입니다.

 컬러링 규칙 스트링 설명 
arp  ARP 모든 트래픽 
ip.ttl <5 ip 헤더의TTL값이 5보다 작은경우
tcp.analysis.flags 잘못된 TCP 
<컬러링 규칙  문자열 값의 일부>

위의 표는 와이어샤크 컬러링 규칙이 의일부를 적어놓은 것입니다.
위의 표를 보면 식이 단순하게 표현이 되있는것을 알수있습니다.
그러므로 값들을 다외우지않아도 됩니다.
(View > Coloring Rules 를 선택해 컬러링 규칙을 정의합니다.)
 

<컬러링 규칙 설정>




이제 간단하게 패킷에 컬러링을 해보겠습니다.

<컬러링을 해볼 패킷>

위의 패킷이 어떤 규칙으로 검정색 바탕에 빨간색 으로 컬러링 되었는지 확인하기 위해 패킷 상세 정보창에 Frame 부분을 확인해 보겠습니다.

<컬러링 해볼 패킷>

확인 결과 이패킷은 tcp.analysis.flags 로써 컬러링 되어있는것을 알수 있습니다.

<컬러링 규칙>

 




 

이제 이패킷을 파란색으로 컬러링 해보겠습니다. 



<컬러링 색상 지정>

컬러링 색상을 적용하면 다음과 같이 파란색으로 변한것을 알수 있습니다. 

[##_http://stih.tistory.com/script/powerEditor/pages/1C%7Ccfile7.uf@12656D454F29399A029ADE.png%7Cwidth="650"_##]


위의 방법은 사용자만의 규칙을 정해서 패킷 분석시 사용자가 좀더 편하게 패킷을 분석할수 있게됩니다.

기타
  • 스트림 재조립 컬러링 변경
Edit > Preferences > User Interface > Colors 를 이용해 스트림 컬러링을 변경할 수 있다.


<그림 1>
  • 관심 있는 패킷을 일시적으로 마크
패킷에 오른쪽 클릭을 함으로써 패킷을 마크할 수 있고 같은과정으로 해제할수 있다.
패킷 마킹은 관심있는 패킷을 일시적으로 식별하는 데 유용하다. 

다음은 패킷간의 이동을 위한 몇가지 단축키 이다.

  • Ctrl + M     패킷마크  
  • Shift + Ctrl + N   마크된 다음 패킷 검색 
  • Shift + Ctrl + B   마크된 이전 패킷 검색
     
기본적으로 마크된 패킷은 검은 바탕에 흰색 글씨이다.  
하지만 위의 그림1과 같이 마크된 패킷도 컬러를 변경할수 있다.

지금 까지 간단한 패킷 컬러링에대해서 알아봤습니다.
다음강의에서는 시간 값 지정과 요약 해석 에대해 알아 보겠습니다.

 
 
와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 


 

Posted by STIH

댓글을 달아 주세요