[WireShark] Protocol로 패킷 분류하는 방법

안녕하세요.

 

취약점 분석을 할 때, "Tool 을 쓰는 법과 그 Tool이 어떻게 동작하는지 확인하거라"라는 스승님의 말씀에 따라

 

nmap의 메뉴얼을 읽어가며, 사용하는 법을 정리한 다음 Wireshark를 봤을 때, 이런 생각을 하게 됐습니다.

 

"아니 와이어샤크를 보는데 아무것도 읽히지 않고 무엇을 읽어야 할지 도통 모르겠다" 입니다.

 

그러다가 문득 깨달은 와이어샤크 사용법을 공유하고자 합니다.

 

자세한 내용은 WireShark 필터와 Status Bar., Wire Shark의 열 등등을 보다가 나온 내용입니다. 

 

 

그럼 시작하겠습니다. 

 

Protocol로 패킷을 분류하는 방법 와이어샤크 필터를 이용한다.

HTTP Protocol 분류 완료

 

DNS 분류

 

UDP 분류

혹시나 해서 남기지만, DNS 패킷은 UDP가 맞습니다. 

 

ICMP

 

tcp

 

tcp 와 icmp

 

 

 

Protocol로 패킷 분류하는 방법  패킷 그 자체를 읽는다. 

비효율적인 방법이긴 하지만, 툴에 의지하지 않는 상황이라면 도움이 됩니다.

3 계층에서 구분하는 것으로 판단됩니다. 

 

 

Protocol이 ICMP 입니다.

 

DNS Protocol 분석

 

IP Header 분석

IP Header 분석표와 와이어샤크의 Protocol부분을 집중해 보면, 이론이 좀 더 와닿는 습니다. 1 : ICMP, 6 : TCP , 17 : UDP 이런 식으로 분류를 할 수 있습니다. 

 

 

앞서 나열한 것처럼 각 Protocol 별로 분석할 수 있습니다. 

 

Tool에서 어떤 Scan을 돌리느냐, 어떤 악성 행위를 시도하는가에 따라 Protocol별로 나뉘더라고요.

주로 Scan은 ICMP, TCP, DNS를 위주로 분류를 할 수 있고 

악성행위의 경우 FTP,SMB,TCP 등입니다.