[와이어샤크] #04

와이어샤크

[2019-1]

#04

 

저번 시간에 했던 내용 복습과 함께 분석 전 해야하는 초기 설정들에 대해서 배웠다.

뭐 일단, 프레임 해석기는 각 프레임에 대한 메타 데이터를 해석해주고, 이더넷 해석기는 type필드의 내용을 기반으로 이더넷 헤어듸 각 필드들을 해석한다.(2계층)

IPv4해석기는 프로토콜 필드의 내용을 기반으로 IPv4 헤더의 필드를 해석하고(3계층), TCP 해석기는 포트 필드의 내용을 기반으로 TCP 헤더의 필드를 해석한다.(4계층)

마지막으로 HTTP 해석기는 HTTP패킷의 필드를 해석한다(7계층)

따라서 일반적으로 TCP 혹은 HTTP 가 마지막으로 적용되는 해석기이다.

 

비표준 포트를 사용하는 패킷은 수동으로 해석기를 강제 적용 시켰었고, 선호도 설정을 이용해서 해석기를 설정할 수도 있었다. 

 

분석 사전 설정들

 

이제 분석 사전에 설정할 목록들에 대해서 알아보자.

1. Allow subdissctor to reassemble TCP streams 해제

기본적으로 활성화되어 있는데, hTTP 트래픽 분석 시 문제가 발생할 수 있다. 서버가 응답 코드를 통해 응답할 때, 패킷 안에 요청된 파일의 일부를 포함할 경우 응답 코드가 와이어샤크에 표시되지 않기 때문이다. 즉, 응답코드 보려면 꺼야하므로 해제해주자.

Edit>Preferences>Protocols를 하거나 마우스 오른쪽 클릭으로 Protocol Preferences를 하면 된다.

그러면 이렇게 응답코드가 보임.

2. Track number of bytes in flight 체크

bytes in flight는 직역하면 빠르게 지나가는 바이트인데, TCP 연결을 통해 전송되었지만, 아직 확인 응답(ACK)이 되지 않은 패킷을 말한다. 따라서 TCP 통신에서 현재 확인 응답되지 않은 데이터가 얼마나 있는지 출력하도록 설정하는 기능이다. 

체크하면 ACK 패킷에 대해서 54번에 대한 ACK라는 패킷 상세 섹션이 추가된다. 

3. Calculate conversation timestamp 체크

TCP 설정에서 각 TCP 대화에 대한 시간 값을 추적해 타임 스탬프 값을 얻을 수 있다. 

타임스탬프 값은 상대시간으로 응답시간이 얼마나 걸렸는지를 나타내며, 절대시간은 메타데이터에 나와있다.

 

그 밖에 Preference에서 분석 전 손대야 할 것들은 디스플레이 필터, 최근에 열린 파일, Ethernet, IP, UDP, TCP검사합의 유효성이 있다.

4. 디스플레이 필터, 최근에 열린 파일

Edit>Preferences(Shift+Ctrl+P)에서>Appearances> Filter Entries, Recent Files 설정을 모두 30으로 변경.

FIlter Entries : 한 번에 적용할 수 있는 디스플레이 필터의 종류

Recent Files : 최근 열어본 파일 목록의 개수

5. Validate the TCP checksum if possible 해제

Ethernet > IP> UDP > TCP순으로 검사합 유효성(Checksum Validation)을 하는 것을 비활성화 해야한다.

체크섬은 예를 들어 IP 헤더 체크섬에 대해서 이야기 하자면, 

헤더의 모든 값들(총 20바이트)을 2바이트씩 10번을 더해서 carry가 있으면 쉬프트 처리 해주고, 마지막은 보수 처리를 한 것이 checksum값이 된다. 이렇게 복잡한 이유는 조금만 달라져도 checksum이 바뀌게 하기 위해서이다.

  

만약 해제해주지 않으면, 이렇게 까만색들이 checksum이 안 맞는다고 오류가 뜬다. 체크섬이 안 맞는 경우는 꽤 흔하므로 그냥 체크썸 확인을 하지 않도록 체크를 해제해준다. 밑의 파란색 블록처리된 것이 IP헤더이며 저걸 2바이트씩(두 덩어리) 다 더해야 한다는 거다..

 

프로파일

 

프로파일은 같은 패킷 캡쳐 파일도 서로 다른 분석 프로세스를 하도록 하는 기능이다. 디스플레이나 preference를 미리 지정해 놓는 디렉터리 개념이다. 프로파일을 통해서 하나의 파일도 두 개의 프로파일을 적용해서 서로 비교하면서 분석하기도 한다.

 

예를 들어 보안 프로파일은 클라이언트에게 전달되는 모든 ICMP트래픽이나 연결 시도에 대한 디스플레이 필터, 의심스로운 트래픽을 집중 조명하는 컬러링 규칙들을 설정해놓은 디렉터리이다. 

 

프로파일을 생성하는 방법은 상태 바(하단)의 Profile열을 마우스 오른쪽 클릭>New>[프로파일이름]으로 설정해서 확인을 클릭하면 생성할 수 있다. 

 

또 다른 프로파일 생성 방법은 Edit > Configuration Profiles > +버튼 으로 생성할 수 있다.