1.7 버전에서 크게 변경되는 것은 패킷파일을 저장하는 기본 포맷 형태가 PCAP-NG 바뀌었다는 것이다. 우리가 흔히 쓰고 있는 PCAP 포맷형태에서 차기 버전 포맷 형태로 바뀌는데 내부 형태의 구조는 많이 달라진다. PCAP 포맷에 대해서는 이미 한번 언급한 적이 있으므로 다음 글을 참고해 보면 된다.
PCAP 파일을 파헤쳐 보자 - 그 첫번째 이야기
PCAP 파일을 파헤쳐 보자 - 그 두번째 이야기
1.7 버전의 주요변경 내역을 정리해 보면 다음과 같다:
- 기본 포맷형태가 PCAP-NG 로 변경
- 동시에 여러개의 인터페이스에서 패킷 캡쳐 가능
- TCP 윈도우 업데이트에서 "Bad TCP" 로 더이상 칼라 표시되지 않는점
- TShark 커맨드 라인 옵션 일부 변경
- GeoIP IPv6 데이터베이스 지원 등이다.
1.7 버전을 실행해 보면 다음과 같은 화면이다. 1.7 개발버전이라는 것이 보이고 Start 부분에서 인터페이스가 여러개 보인다.
캡쳐를 시작할때 나타나는 화면을 보면 다르게 보이는 것이 하나 느껴질 것이다.
바로 상단 부분의 인터페이스로 여러개를 선택할 수 있도록 바뀌었다. 이제는 동시에 여러 인터페이스에서 패킷 캡쳐가 가능해 진 것이다. 그리고 패킷을 저장해 보면 기본 선택이 PCAP-NG 포맷이다. 해당 포맷을 살펴보면 아래 그림과 같은데, 기존 PCAP 포맷과는 달리 헤더 블럭이 더욱 길어졌다. 인터페이스 정보도 포함되어 있고, 좀더 많은 정보를 담고 있는 구조로 조만간 PCAP-NG 포맷에 대해 공유해 볼 까 한다.
댓글 없음:
댓글 쓰기