2010년 5월 24일 월요일

와이어샤크(WireShark)의 그래프 기능 활용하기 - 기본편

패킷 분석 상용프로그램을 보면 이쁘게 나오는 화면에 부러울 따름이다. 물론, 일전에 소개한
자바기반의 프로그램과 같은 것에서는 비주얼한 화면을 보여주기도 하지만,
전반적으로 오픈소스 패킷 분석기에서는 이런 기능이 약한건 사실이다. 비주얼 적으로는 약하지만
그래프가 가르키는 그 의미를 표현하는데는 부족하지 않을 것이다.

와이어샤크의 IO Graphs 기능을 이용하면 어느 정도 표현이 가능하다.  자 일단 화면을 살펴보면
결과는 아래와 같다. Filter 라고 입력되어 있는 부분에 와이어샤크의 출력필터를 이용하여 출력해 낼 것을
선별적으로 거를 수 있다.  그래프 스타일은 Line, Impulse, FBar, Dot 와 같이 4가지 중 하나를 선택할 수 있다.
그리고, 그래프에서 표현하는데 중요한 X 축과 Y 축이 있다. X 축은 시간 주기를 정한 것으로 1초부터 0.1, 0.01 초 등 다양하다. View as time of day 를 클릭하면 시간으로 표시되고, Y 축은 패킷, 바이트, 비트로 나누어 표시된다.  아래예제에서는, 간단히 대표적 프로토콜만 필터에 입력하여 사용한 것으로 검정색 부분은 전체를 뜻한다. TCP 부분인 녹색을 보면 전체적으로 패킷이 TCP 형태임을 알 수 있고, 빨간색은 UDP 로 전체 패킷에서 아주 일부분 밖에 되지 않는다는 것을 쉽게 알 수 있다.

그래프 사용은 아주 쉽게 표현될 수 있는데, 표현하고자 하는 목적에 따라 사용이 달라질 것이다. 중요한 것은

- 그래프를 사용하고자 하는 목적에 따라 달라진다는 점과
- 그래프에 포함시켜 출력하고자 하는 데이터는 무엇인지
- 그 데이터의 범위는 어디까지 인지 정해야 한다. 데이터의 범위라 하면 특정 프로토콜 이든지
또는, 필터를 통해 특정 데이터로 한정한다. 예를들어, UDP 포트가 8338 이라면 udp.port == 8338 과
같이 사용한다. 와이어샤크의 출력필터는 이전에 언급한 포스팅 내용을 참고해 보기 바란다.
- 마지막으로 그래프의 스타일을 정해야 한다. 한 화면에 표현되는 내용이 많으면 그래프가
명확하게 보이지 않기 때문에, 어느 것을 라인으로 표시하고 어느 것을 바 형태로 표현할지 정해야 한다.


그래프는 직접 사용해 보면 어렵지 않다는 것을 알 수 있을 것이다. 와이어샤크의 Statistics -> IO Graphs 를 클릭해보고 사용해보자.  그리고 위 화면에 Copy 는 CSV 형태로 데이터를 저장해 준다. 아래 화면을 보면
다섯개의 그래프 수치가 표현되어 있다. 이걸 어디에 사용할 수 있을까 ? 이것은 다음 그래프 활용과정에서 소개하겠다.  마지막으로 Save 는 화면을 BMP, JPEG 와 같은 이미지 형태로 저장해 주는 기능을 제공한다.
다음 포스팅에서 그래프를 좀더 효과적으로 활용할 수 있는 방법을 소개하겠다.

댓글 없음:

댓글 쓰기