맨위로


Goal

이번 강의에서는 기본 추적 파일 통계 해석에대해서 배워보겠습니다.
이글의 목표는 많은 패킷유형과 전체적인 동작에 대해 통계를 냄으로써 다양한 정보를 쉽게 얻는것입니다.


와이어 샤크 통계

와이어 샤크에서는 많은 패킷과 패킷에 대한 정보를 알 수 있습니다. 이 많은 패킷과 정보를 한눈에 볼수 있게 통계 기능을 제공합니다.
와이어 샤크 통계를 보려면 Statistics를 선택하면 볼수있습니다. 여기에 포함되어 있는 통계는 다음과 같습니다.

  • 프로토콜 계층
  • 대화와 종단점
  • 주소와 포트 정보
  • 패킷 길이
  • 멀티 캐스트 스트림
  • BOOTP-DHCP
  • 흐름 그래프
  • WLAN 트래픽



통계 시작

  • 네트워크 프로토콜과 애플리케이션 식별

다양한 트래픽 형식이 들어있는 추적 파일을 검사할 때 프로토콜과 애플리케이션을 식별하려면 Statistics > Protocol Hierarchy 를 선택해 통계를 볼수 있다. 통계 화면은 다음 <그림1>과 같다.


<그림 1>

 위의 <그림 1>의 통계 창에는 패킷 카운트, 바이트 카운트, 메가비트/초 , 세 개의 최종 패킷칼럼 을 표시한다.
위 그림을 살짝 해석해보면 52번 패킷은 IPV6,  2428번 패킷은 HTTP 패킷으로 나타나 있는것을 알수 있다.
자세한 패킷 분석은 와이어샤크 - 실전 부분 강의를 할때 알아보겠습니다.
위의 통계 창에서 마우스 오른쪽을 이용해 필터 적용,검색,컬러링을 할수 있습니다.


가장 활발한 대화 식별

대화는 장치 사이의 통신이다. 대화는 MAC 계층 주소,네트워크 계층 주소, 포트 번호 등을 포함할수 있다.
대화 창을 보려면 Statistics > Conversations 를 선택하면 볼수 있다. 대화 창의 모습은 <그림 2>와 같다.

 

<그림 2>

대화 창은 패킷, 바이트, 비트/초, 총 대화의 지속 시간등을 기준으로 활발한 연결을 찾는데 많은 도움을 준다.

종단점 나열및 지도에 표시

종단점은 대화의 한족 면입니다. 해당 IP 주소에서 사용되는 IP 주소와 포트 번호는 종단점으로 정의될 것이다.
Statistics > Endpoints 를 선택해서 종단점 창을 볼수 있습니다.  종단점은 <그림 3>과 같습니다.

<그림 3>

GeoIP를 통해서 국가,도시,경도 등과 같은 위치 정보를 알수 있습니다.(http://www.maxmind.com/)와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크


Posted by STIH

댓글을 달아 주세요