와이어샤크(Wireshark) 사용법 #4 [필드 항목 설정]

 

Wireshark 기본 Display 필드 항목 

 

Wireshark 화면에서 기본적으로 볼 수 있는 필드 정보는 총 7개가 있습니다.

  • No. : 패킷 식별자 (시간 순 오름차순)
  • Time: 패킷이 수집된 상대 시간 (첫번째 패킷 기준)
  • Source: 송신지 IP
  • Destination: 도착지 IP
  • Protocol: 프로토콜 정보
  • Length: 패킷 전체 길이
  • Info: 프로토콜 스택 세부 정보

 

 

필드 항목 추가

필요에 따라 더 많은 정보를 살펴봐야 하는 경우엔, Info 탭을 우클릭Column Preferences에서 화면에 나타낼 필드 정보를 추가할 수 있습니다.

 

 

하단의 '+' 버튼을 클릭하여 화면에 표시할 새 필드를 생성합니다. 첫 번째 예시로서 Source 포트 번호를 Display 열에 추가해보겠습니다.

 

 

Title 목록의 'New Column' 이라고 적힌 부분을 더블 클릭하여 필드명을 변경할 수 있습니다. Type 열의 항목을 클릭하여 해당 필드가 표시하려는 정보를 선택할 수 있습니다.

 

 

만들어진 필드 정보를 마우스로 끌어서 화면에 표시하고 위치에 배치할 수 있습니다. 확인 버튼을 누르면, 4번째 열에 Source 포트 번호가 정리되어 있음을 확인할 수 있습니다.

 

 

Custom 필드 추가

모든 필드 정보를 Source 포트 번호처럼 Type 목록에서 선택할 수 있는 것은 아닙니다. 이러한 경우에는 Type을 'Custom'으로 설정하고, 표시해주고자 하는 필드명을 따로 입력해주어야 합니다.

 

 

예제1: HTTP 도메인 조회

우선, 막 생성된 열을 우클릭하고 'Edit Column'을 선택합니다.

 

 

그러고 나면 필터링 창 아래에 무언가 새로운 줄이 생성되는 것을 확인할 수 있는데요, 예로 HTTP 패킷으로부터 호스트명을 조회하고자 한다면, Fields 영역http.host를 입력하고 확인 버튼을 클릭하면 됩니다.

 

 

또 다른 방법으로, 아래와 같이 해당 필드 정보를 Packer Details 탭에서 찾아 추가할 수도 있습니다. 방금 전 예시처럼 하고자 한다면, 'Host'라는 정보를 찾아서 'Apply as Column'을 선택하면 됩니다.

 

 

예제2: TCP Flow 별로 그룹핑

간혹 하나의 패킷에서 드러나지 않는 필드 정보를 분석해야 할 때도 있을 텐데요. 특정 TCP 세션에 포함된 패킷들을 확인하고자 하는 경우가 대표적인 예시입니다. tcp.stream 이라는 필드 정보를 추가하면 패킷별로 자신이 속해 있는 TCP 세션의 번호를 확인할 수 있습니다.

 

Column Preference 창으로 이동하여 Custom Type의 열을 추가하고, 생성된 열을 우클릭, Edit Column을 선택한 뒤, Fields에 tcp.stream을 입력하고 확인 버튼을 누르면 아래 두 번째 이미지와 같이 패킷별로 TCP 세션 번호를 확인할 수 있습니다.

 

 

이렇게 새 필드 열을 추가하면 필터링 과정도 한결 수월해집니다. 특정 열에서 원하는 값을 우클릭하고, Apply as FilterSelected를 선택해주면, 필터링 명령어 입력 없이 해당 조건을 만족하는 패킷들을 화면에 나타낼 수 있습니다.

 

 

필드값 Display 스타일 변경

 

Time 형식 변경

기본적으로 Time 열의 값들은 캡처 시작 이후에 얼마나 시간이 흘렀는지를 표시해줍니다.

 

 

필요에 따라 상대적인 시간이 아니라, 패킷이 수집된 연월일 등의 구체적인 시간을 알아야 하는 때도 있을 텐데요. 이럴 때는 아래와 같이 화면에 표시할 Time 형식을 바꿔 해결할 수 있습니다.

 

'View''Time Display Format''Date and Time of Day'

 

 

 

행 색상 변경

Wireshark으로 패킷 분석을 하다 보면 각 행의 색상이 천차만별인 것을 볼 수 있습니다. 보통은 패킷의 최상위계층 프로토콜에 따라 색이 지정되어 있는 편이긴 한데, 가끔은 아래 이미지처럼 검은 바탕에 붉은 글씨로 보기 불편한 행들이 여러 눈에 들어올 때가 있습니다.  

 

 

이는 Wireshark에서 어떤 조건을 만족하는 패킷들에 대해 칠해야 하는 색상들이 기본적으로 정의되어 있기 때문입니다. 각 행을 본인이 원하는 색상으로 표시하고자 한다면, 'View' ▶ 'Coloring Rules...'을 클릭하여 색상표를 수정하면 됩니다.

 

 

색상을 바꾸고 싶은 항목을 클릭하고, 하단의 글자 폰트색과 배경색을 변경할 수 있습니다. 또한 기호에 맞게 독특한 색으로 표현하고 싶은 패킷들이 있을 경우에, '+' 버튼으로 새로운 색상 규칙을 추가하고 커스터마이징할 수 있습니다.

 

 

반응형