2011년 5월 19일 목요일

와이어샤크 패킷리스트 화면에서 IP 국가정보를 바로 확인해보자!

와이어샤크를 이용해 분석을 하다보면, 메인 화면의 패킷 리스트 컬럼에 더 추가적인 정보가 있으면 분석이 수월해지지 않을까 생각해 보지 않았는가? 예를들어, 리스트 화면을 보는데 IP 정보와 포트 그리고 간단히 출력되는 정보는 그 정보 자체만으로는 한계가 있다. 그런데 여기에 IP 에 대한 국가 정보가 출력된다면 어떨까?  IP 정보외 바로 국가 정보까지 보여준다면, 분석이 더 용이할 것이다.

물론, 일전에 와이어샤크에서 GeoIP 를 이용하여 국가 정보를 얻는 방법에 대해서 소개한 적이 있다. 그런데 이것은 메인 리스트 화면에서 나오는 것이 아니라, 해당 리스트의 세부정보에서 IP 영역을 보았을때 나타나는 정보이다.


즉, 이 정보를 바로 메인 리스트 화면으로 끌어오겠다는 것이다. 실행은 간단하다.
일단, GeoIP 가 설정되어 있어야 하므로 위 블로그 글을 참고하길 바란다. 그리고 출발지 또는 목적지 국가 정보를 선택하고 마우스의 오른쪽 버튼을 클릭하면 'Apply as Column' 이라는 메뉴가 있다. 바로 이 메뉴만 선택해 주면 된다. 그러면 아래와 같이 패킷 리스트 화면에 국가 정보 컬럼이 추가된다. 패킷을 살펴보면서 국가 정보까지 바로 확인할 수 있으니 패킷 분석 업무에 따라 다르겠지만 유용한 것이 될 것이다.


이렇게 설정된 정보는 Edit->Preferences->Column 에서 확인할 수 있다. 여기에서 직접 추가할 수도 있지만 앞서 소개한 방법이 더욱 쉬울 것이다. 추가한 컬럼이 우측 끝에 위치해 있는데, 순서도 정할 수 있다. 목적지 IP 에 대한 국가를 출력한 것이다. 드래그 하여 목적지 IP 주소 다음 컬럼으로 옮겨봐도 될 것이다.



국가 정보뿐 아니라, 'Apply as Column' 으로 할 수 있는 것은 다 컬럼 정보로 뺄 수가 있다. 아래그림은 HTTP 프로토콜에서 호스트 정보를 컬럼으로 빼 본것이다. 그리고 Bytes 정보도 함께 나와있다.


이런 컬럼정보를 활용하여 일전에 그래프 생성과 관련하여 소개한 적이 있다. 통계로 뽑고 싶은 데이터를 컬럼으로 내보내고 CSV 로 저장해 OpenOffice를 통해 그래프 작업한 것이다. 이때 컬럼에 패킷 길이 정보를 포함하여 사용하였다.


상용제품의 화려함과 편의성에 약간 불편할 수 있지만, 오픈소스만으로도 얼마나 훌륭한 작업들을 해낼 수 있는지 앞으로 계속 소개할 것이다.

댓글 1개:

  1. 와~이런 방법이 있었군요. 자주 방문해 보는데, 댓글은 처음이네요. 항상 좋은 정보 제공해 주셔서 감사합니다.^^
    앞으로도 계속 기대할께요 ~~

    답글삭제