[21.9.19] 와이어샤크를 통한 패킷 헤더 확인

http://www.kyobobook.co.kr/product/detailViewKor.laf?mallGb=KOR&ejkGb=KOR&barcode=9791186978313 

와이어샤크를 이용한 패킷 캡처 철저 입문 - 교보문고

 

해당 서적을 통해 참고하여 작성하였습니다.

 

와이어샤크를 통해 웹 관련 패킷을 추출해보자.

 

현재 무선 랜카드를 이용하여 네트워크에 연결되어 있으므로, Wi-Fi 인터페이스를 선택한다. 

 

그러면 다음과 같이 패킷 리스트 영역에 다양한 패킷들이 추출 될 것이다. 이는 OS 구동과 관련된 패킷부터 백신과 같은 프로세스들에 관한 패킷이다. 그래서 우리는 특정 웹페이지에 접속한 뒤 화면 필터(display filter)를 통해 패킷 필터링을 해야한다.

 

 

해당 서적 '와이어샤크를 이용한 패킷캡처 철저 입문' 서적은 캡처 결과를 쉽게 알도록 이미지 등이 포함되어 있지 않은 간단한 웹페이지 'http://asashina.ikeriri.ne.jp/sample.html'에 접속하고 있다. 이 웹페이지를 통해 웹 관련 패킷 캡처를 수행 할 것이다.

 

위에서 말한대로 캡처 직후에 수 많은 패킷이 다량으로 캡처되었기 특정 패킷 분석하기 어려울 것이다. 화면 필터에 http를 검색하여 우리가 들어간 'http://asashina.ikeriri.ne.jp/sample.html' 관련 패킷을 필터링한다. 그러면 다음과 같이 http 프로토콜에 관련된 패킷만 추출된다. 

 

※ caution : 예전에 들어갔었던 웹 페이지를 다시 들어가면 웹 브라우저에 캐시데이터가 남으므로 제대로 패킷 캡처가 되지 않을 수도 있을 것이다. 이럴때는 "캐시 데이터를 이용하지 않고 웹 페이지에 접근하고 싶어요!" 라는 뜻의 단축키

인 Ctrl + F5를 눌러 Reload 하면 된다.

 

여기서 핵심인 패킷은 Requests의 GET /sample.html HTTP/1.1, Response의 HTTP/1.1 200 OK (text/html)이다. 두개의 패킷을 마크(Ctrl + M 또는 Edit -> Mark/Unmark Packets)을 하여 강조 처리를 하고 패킷 상세 영역과 패킷 데이터 영역에 가서 패킷을 분석할 것이다. 

 

 

 

패킷 데이터 영역

1행으로 패킷 데이터 영역의 필드를 설명하겠다. 가장 좌측의 0000은 패킷 데이터 영역의 주소(번지)이다. 즉, 거시적으로 봤을 때 캡슐화 된 패킷의 크기가 총 몇 바이트인지 확인할 수 있으며, 미시적인 관점으로 봤을 때 패킷의 각 레이어의 구성필드들이 몇바이트인지 해당 주소를 기반으로 식별할 수 있다. 

 

그 다음 필드는 16진수 덤프, 즉 실제 데이터의 크기와 내용들을 16진수로 나타낸 것이다. 이를 통해 프레임, 데이터그램, 세그먼트등의 정수형 필드들에 대한 값을 유추할 수 있다. 

 

마지막으로 맨 우측에 있는 필드는 데이터 내용을 문자로 나타낸 것이다. 즉, 각 데이터의 필드들을 ASCII 코드 기반의 문자로 환산했으며 메소드와 문자열 기반의 헤더가 주를 이루는 HTTP와 같은 5계층 기반의 메시지 프로토콜의 필드들이 어떤 것이 있는지 명확히 보여준다. 

위의 예시에서 GET /sample.html HTTP/1.1 과 같은 메시지의 메소드가 추출 된 것을 볼 수 있다.

 

 

 

 

 

패킷 상세 영역

와이어샤크는 16진수의 모음인 패킷 데이터 영역으로부터 패킷의 의미를 분석하여 이를 패킷 상세 영역에 표시한다.

패킷 상세 영역의 구성요소는 프로토콜 트리 형태로 프레임, 이더넷, 아이피v4, TCP, HTTP의 묶음으로 되어 있다. 이러한 정보를 헤더라고 하며 해당 화면을 통해 하나의 패킷에는 복수의 헤더가 있다는 것을 알 수 있다. 이 복수의 헤더를 이용하여 encapsulation과 decapsulation을 통해 통신을 갖는다.

 

패킷의 형식에 관한 규격은 프로토콜마다 각기 정의가 된다. TCP/IP 표준에 대해서는 RFC(Requests For Comments)라는 문서에 프로토콜 사양이 정해져 있으며, LAN 영역의 표준에 대해서는 IEEE(미국 전기전자기술자협회)에서 사양을 규정한다.

 

정리하자면 와이어샤크는 이와 같은 TCP/IP 기반의 인터넷이나 LAN 프로토콜을 기반으로 패킷을 분석하여 패킷 상세 영역을 표기하고, 이와 같이 패킷 상세 영역에 패킷 데이터 영역의 내용을 바탕으로 해당 패킷의 의미를 분석한 내용이 표시된다.

 

다음에는 각 Encapsulation 된 패킷의 레이어마다 정의 된 헤더의 필드, 구성요소를 살펴보겠다.