와이어샤크를 매일 같이 주로 이용하는 분들에게 약간의 팁을 소개하고자 한다. 쉽고 간단하지만,
유용한 방법이 될 수 있다. 와이어샤크 바로가기를 이용해 원하는 기능을 바로 수행하는 것을 만드는 것이다.
실시간 분석화면창을 보는 경우 1) 와이어샤크를 실행하고 2) Capture 를 누르거나 또는 인터페이스를 선택한 후 패킷 캡쳐를 시작한다. 또는 캡쳐 필터 옵션을 주어 사용하기도 한다. 가끔식 사용하는 경우야, 별로 불편하지도 않겠지만 업무의 하나가 된다면 바로가기를 통해 조금은 더 쉽게 실행할 수 있다.
아래 이미지 화면을 보면 바탕화면에 바로가기를 만들어 놓은 것이다. 실시간 분석은 실행하면 바로
해당 인터페이스로 실시간 패킷 분석이 시작되고, 포트 80은 아이콘은 패킷 시작은 동일한데 80번 포트로 한정한 것이다. 즉, Capture Filter 옵션을 적용한 것이다.
첫 번째 예로 실시간 분석 바로가기를 살펴보자.
바로가기 설정은 아주 간단하다. 와이어샤크 바로가기를 만들고, 대상 필드에 실행할 옵션을 넣어주기만 하면 되는 것이다. 바로 패킷캡쳐를 시작하는 것이 -k 옵션이고 -i 는 인터페이스를 지정하는 것이다. 자, 그럼 인터페이스는 어떻게 알 수 있는가 ? 직접 실행시켜서 인터페이스 선택화면에서 인터페이스를 알 수 있다. 하지만 이 보다 더 편한 방법은 -D 옵션을 이용하는 것이다.
C:\Program Files\Wireshark>tshark -D
1. \Device\NPF_{E8D91E83-5F4F-4B62-BBB6-3A7FA9A2404E} (Sun)
2. \Device\NPF_{E849DA84-A4[삭제]BD12-157CFC55BD8B} (NVIDIA nForce MCP Network
ing Adapter Driver)
그러면 -i 뒤에 캡쳐를 원하는 인터페이스를 지정하면 된다. 그러면 바로가기에서 오른쪽 클릭을 하고 속성을 선택하여 대상(T) 이 되는 부분에 아래와 같이 지정하면 된다.
"C:\Program Files\Wireshark\wireshark.exe" -k -i \Device\NPF_{E849DA84-A444-4334-BD12-157CFC55BD8B}
그런데 인터페이스 이름이 길이다. 이때 더 쉽게 사용할 수 있는 방법이 그냥 번호를 기록하는 것이다.
"C:\Program Files\Wireshark\wireshark.exe" -k -i 2
훨씬 더 간단해 졌다 :-)
두 번째 예로, 캡쳐 필터는 어떻게 지정하여야 할까? -f 옵션을 사용하면 간단히 해결된다. -f "port 80" 과 같이 사용하면 80번 포트로만 패킷 캡쳐를 시작할 것이다.
캡쳐 필터는 원하는 대로 아주 다양하게 활용할 수 있을 것이다. 위에서 소개한 예 이외에 와이어샤크에서 지원하는 옵션을 통해 여러분이 수행하고 싶은 형태로 자유롭게 한번 만들어 보자!. 와이어샤크의 커맨드 실행 옵션은 와이어샤크 메뉴얼을 참고하거나 또는 다음 웹 페이지에서 찾을 수 있다.
자 이제 와이어샤크 시작을 더욱 쉽게 한번 만들어보자.
비밀 댓글 입니다.
답글삭제@Anonymous - 2010/06/04 10:34
답글삭제문의하신 내용에 대해서 포스팅을 하도록 하겠습니다. 작성하려던 글 계획이 있었기도 하고 하니 조금만 더 기다려주세요. :-)
아무래도 많은 분들이 참고하시면 더욱 좋을듯 합니다.
즐거운 주말 되세요.
그리고 무족코만도님, 패킷 분석은 앞으로 업무와도 깊은 관계가 있을 것이라 생각됩니다. ㅋㅋ