와이어샤크에서 패킷의 통신 내용을 이더넷, IP, TCP, UDP 등으로 구분하여 쉽게 살펴볼 수 있다.
그렇다면 어떻게 쉽게 살펴본다는 것인가? 대화형 형태로 내용을 보여준다는 것이다.
한 IP 에서 다른 IP 또는 한 맥주소에서 다른 맥 주소와 같이 A 와 B 지점을 잡고 그 사이의 통신 내용,
즉, 패킷 전송 건수, 전송데이타 양, 통신 시간등을 보여준다.
와이어샤크의 메뉴에서 Statistics -> Conversations 을 클릭하면 아래와 같은 화면을 볼 수 있다.
이더넷탭은 맥 주소를 기반으로 보여줄 거이고, 아래 예제는 IP 주소를 기준으로 보여주고 있다.
각 탭을 클릭하면 내림/올림차순으로 정렬을 할 수 있다. Bytes 기준으로 보니 192.168.0.221 과
211.115.99.247 사이에 343 건의 패킷을 주고 받았다.
예를 들어 분석하고자 데이터가 많은 경우에는 이렇게 Conversations 을 이용하여 데이터 흐름을 살펴보고
어떤 지점에서 패킷 데이터가 가장 많았었는지 쉽게알아 볼 수 있을 것이다. 만약 전체 네트워크에서
일부 PC 가 악성코드에 감염되어 패킷을 계속 전송한다고 가정하면, 패킷 덤프를 떠서 정렬해서 보면
대략 어떤 PC 가 데이터를 많이 보내고 하였는지 추정이 될 것이다. 물론 상황에 따라 유용한지 여부는
달라지겠지만 말이다.
TCP 탭에서는 포트 번호로도 볼 수 있으니 분석에 도움이 될 것이다. 참고로, Limit to display filter 가
보일 것이다. 이것은 화면 출력 필터를 적용한 상태에서 체크하면 필터가 적용된 상태에서 대화내용이
나오게 되므로, 데이터 내용이 많은 경우에는 적절한 필터를 통해 분석하면 더욱 효과적일 것이다.
댓글 없음:
댓글 쓰기