[와이어샤크 #4] 프로토콜과 애플리케이션 설정, 프로파일 사용법

※ 실습에 사용된 파일: http-pcaprnet101.pcapng

 

[프로토콜과 애플리케이션 설정]

프로토콜 설정은 Edit → Preferences → Protocols로 들어가거나, 우클릭 → Protocol Preferences에서 설정할 수 있다.

(이유는 모르겠지만 프로토콜 설정할 때에는 우클릭으로 들어가는게 더 좋다고 한다.)

 

Edit → Preferences  → Protocols

 

우클릭  → Protocol Preferences

 

 

1. 보조 해석기가 TCP 스트림 재조립을 허용 (Allow subdissector to reassemble TCP streams)

이 설정은 기본적으로 활성화되어 있지만 HTTP 트래픽 분석 시 문제가 발생할 수 있기 때문에 분석할 때에는 설정을 해제해주는 것이 좋다. 해당 설정을 해제하면 HTTP 트래픽의 상세창에서 HTTP 응답 코드를 볼 수 있다.

해당 설정이 켜져있으면, 서버가 응답 코드를 통해 응답을 전송할 때, 요청된 파일의 일부가 패킷 내에 포함될 경우, 응답 코드가 와이어샤크에 표시되지 않는다.

 

Allow subdissector to reassemble TCP streams 허용

 

Allow subdissector to reassemble TCP streams 해제

설정을 해제한 결과, 프로토콜이 TCP에서 HTTP로 바뀌고, Info가 Continuation으로 변경되었다. Continuation은 20번부터 28번까지 패킷이 연속되어 있다는 의미이다.

 

 

2. 빠르게 지나가는 많은 바이트 추적하기 (Track number of bytes in flight)

빠르게 지나가는 바이트란, TCP 연결을 통해 전송되었지만 아직 확인 응답(ACK)이 되지 않은 패킷을 말한다. 이 설정을 활성화하면 TCP 통신에서 현재 확인 응답되지 않은 데이터가 얼마나 있는지 출력해준다. 또한 TCP 헤더에 [SEQ/ACK analysis] 섹션이 추가된다.

 

7번 패킷의 [SEQ/ACK analysis] 섹션. 여기서 빠르게 지나가는 바이트는 6번 패킷이다.

 

 

3. 대화 타임스탬프 계산하기 (Calculate conversation timestamps)

TCP 설정의 일종으로, 각 TCP 대화에 대한 시간값을 추적하는 설정이다. 즉, 이 설정은 응답이 얼마만에 이루어졌는지 해석해준다. 해당 설정을 활성화하면 패킷 상세 창의 TCP 헤더 섹션에 [Timestamps] 정보가 추가된다.

 

Calculate conversation timestamps 활성화

 

 

[핵심 와이어샤크 Preference 설정]

와이어샤크에서 핵심적으로 설정해야 할 preference 설정은 다음과 같다.

• 디스플레이 필터
• 최근에 열린 파일
• Ethernet IP, UDP, TCP 검사합의 유효성
• TCP Calculate Conversation Timestamps 설정
• TCP Track Number of Bytes in Flight 설정
• TCP Allow Subdissector to Reassemble TCP Streams 설정

 

 

1. 디스플레이 필터, 최근에 열린 파일

Edit → Preferences → Appearance Edit으로 들어가서 Filter Entries, Recent Files 설정을 모두 30으로 변경해준다. Filter Entries는 한 번에 적용할 수 있는 디스플레이 필터의 종류를 설정하는 것이고, Recent Files는 최근 열어본 파일 목록의 최대 개수를 말한다.

 

Edit  → Preferences  → Appearance

 

 

2. Ethernet IP, UDP, TCP 검사합의 유효성

Ethernet, IP, UDP, TCP 순으로 검사합 유효성(checksum validation)을 비활성화해주는 것이 좋다.

Checksum은 정상적인 패킷인 경우 가져아 할 값을 모두 더한 값이다.

IPv4를 예로 들면, IP 헤더는 32비트 단위로 표현되는데, checksum은 헤더의 값을 32비트씩 더한 후 1의 보수를 적용한 값이다. 만약 checksum validation을 활성화하면, 확인하고자 하는 패킷의 checksum을 계산한 후 정상적인 패킷의 checksum과 같은지 비교함으로써 의심되는 패킷을 걸러낸다. 

 

각 프레임의 패킷 상세 창의 Ethernet/IP/UDP/TCP 섹션에서 우클릭 후 Protocol Preferences → Validate the Ehternet/IP/UDP/TCP checksum if possible이 활성화되어 있으면 해제해준다.

 

Validate the TCP checksum if possible을 활성화한 경우

 

 

3. 그 외 해주어야 할 설정

5번 프레임의 TCP 섹션에서 우클릭 → Protocol Preferences에서 아래 항목을 활성화/비활성화해준다. 해당 실습에서뿐만 아니라 앞으로도 분석할 때에는 환경설정을 아래와 같이 해주는 것이 좋다.

• Allow subdissector to reassemble TCP streams 비활성화: 보조해석기 비허용
• Track number of bytes in flight 활성화: 확인 응답을 받지 못한 패킷 추적
• Calculate conversation timestamps 활성화: TCP 대화의 Timestamp 획득

 

 

[프로파일 사용법]

프로파일이란, 와이어샤크 구성 파일과 여러 설정 파일이 저장된 기본 디렉토리를 말한다. 프로파일을 사용함으로써 서로 다른 분석 프로세스(추적파일)에 대해 디스플레이, Preference 등 별개의 설정을 지정할 수 있다.

 

예를 들면, 같은 파일 내에서 timestamp가 필요한 경우와 필요 없는 경우가 동시에 존재할 수 있다. 프로파일을 사용하면 각각의 경우에 대해 따로 설정을 지정하여 각자 분석을 할 수 있다.

 

프로파일을 생성하는 방법은 2가지가 있다.

 

1) 와이어샤크 하단에 위치한 상태 바의 Profile 열에서 우클릭하여 New를 클릭한 뒤, 프로파일 이름을 설정하면 설정한 이름으로 프로파일이 생성된다.

 

 

2) Edit → Configuration Profiles → + 버튼