http://www.wireshak.org > Download>stable 1.12.5. 다운로드 > Default 로 설치
네트워크 캡쳐(X) => Winpcap.org + tcpdump(windump)
분석(0) => Wireshark.org
wiki.wireshak.org
◆ 와이어샤크 sample 1 만들기
자신의 IP와 MAC 주소 필요
물리적 주소......: 00-21-85-9D-04-72
IPv4주소,,,,,,,,,,: 192.168.1.32
wireshark .실행 >·1번째 아이콘 클릭 > 캡쳐시작
여러 가지 실행 시키고 나서......
4번째 아이콘 클릭 > 캡쳐중지
7번째 아이콘 클릭 > Sample1 로 저장
0. 설치
1. 프로파일 profile
2. 환경설정 Preference
3. 분석
www.sectools.org
>>LAB
사람(고객) 홍보맨(기업)
IE--------------------------------->Apache, IIS
ISO OSI 7 Layer
7 A. IE, FF, Chrome, Safari, Swing........
6 Pre HTML <b></b>, avi, mp3. pdf, gif, jpeg, swf,,,
5 S. GET -> >-200 OK, 404 PNF, 500 ISE
HTTP FQDN = Host+DNS
L7 Switch
4 T. TCP/UDP port 2B(80 http) L4 Switch
Server(Wellknown) <1024<=Client(Random)
3 N. IP 192.168.1.49 -> 210.1.2.3 Router->L3 Switch(속도만 빠르지 같은)
Cable ; Wireless
IPv4 4B(A,B,C Class)
2 D/L Ethernet
L2 Switch 1번->2번 포트(특정 위치로 가게 정해져)
MAC 6B(3B Vendor + 3B Serial)
1 Phy. bit 10101110101010100101110110001111
Dummy Hub 01010111-> all port
L2 L3 L4 5~7 Layer 600MB/1460B=41만개 패킷
[Ethernet / IP / TCP / HTTP GET <B> "명량. avi"<br> / L2CRC ]
6B+6B+2B <-------------------------------------->4B =18B
6B ~ 1460B
20B 20B<---------
Capture 방법에 따라서
1. Local Capture
2. Network Capture : Hub, L2SW, TAP....
3. Remote Capture
L2 MAC(Vender Code)
L3 IP Network 210.1.2.3.->www.flane
L4 DNS
>>LAB : Option Capture
모든 패킷은 500byty로
split.pcapng
1MB 마다 파일 생성
5min 후 자동 캡쳐 중지
Start
www.youtube.com에서 동영상 시청
질문?
1. 몇 개의 파일로 만들어졌는가?
2. 파일명이 djEJgrp 생성되었는가?
3. 패킷이 잘린것(500Byte 이상)을 어떻게 알수 있는가?
4. 각 파일들 사이로 Navigation 을 편하게 하는 방법은?
>>LAB
^G Go
^F Find(^N ^B)
^P print
^M Mark (toggle) ^@M
^D(^X) Ignore (toggle) ^@D
^T Time
>>LAB 성능체크
캡쳐 시작
CMD > ping 옆사람 IP
캡쳐 중지
[icmp]
상대방과의 속도를 성능검사를 해보세요
protocol [start# : range]
0~ 1~
>>LAB : 성능체크
문1. arp 와 ping(icmp)만 캡쳐하세요. arp or icmp
문2. 본인 PC에서 나가는 ping만 캡쳐하세요.
src host 192.168.1.32 and icmp
문3. 목적지 ip가 끝자리가 255로 끝나는 (192.168.1.255 10.255.255.255 같은) 패킷들을 감시하세요
ip[19:1] == 255
문4. 사내에 브로드캐스트 만 캡쳐하세요(FF:FF:FF:FF:FF:FF)
ether dst FF:FF:FF:FF:FF:FF ./:/-