1. WireShark Tutorial - 열 표시 변경

Wireshark는 네트워크 트래픽의 패킷 캡처(pcaps)를 기록하고 표시할 수 있는 무료 프로토콜 분석기입니다. 보안 전문가는 Wireshark를 사용하여 악성 프로그램에서 생성된 트래픽을 분석합니다.

 

목차
Wireshark 버전 확인
Configurartion Profiles
Wireshark 기본 컬럼 표시
날짜 및 시간 UTC 변경
컬럼 추가 및 제거

 

Wireshark 버전 확인

Wireshark를 실행한 후 상단 Help 탭에서 "About Wireshark"를 선택하여 아래 그림 1과 같이 버전 정보를 확인할 수 있습니다.

그림 1. Help 탭 아래 About Wireshark에 있는 Wireshark 버전 정보.

 

 

Configurartion Profiles

Wireshark의 Edit 탭에서 "Configuration Profiles"에서 사용자 프로필을 확인할 수 있습니다. Wireshark를 사용하다 보면 기본으로 제공되는 컬럼이나 설정을 변경하게 되는데 이러한 설정 정보들이 지정된 사용자 프로필에 저장이 됩니다.

만약 사용자 프로필을 생성하지 않았다면 기본적으로 "Default"로 지정되어 있으며, 기본 구성 프로필을 복사하여 커스터마이징하여 사용하는 것을 추천합니다.

 

그림 2. Wireshark에서 기본 구성 프로필 복사.

 

기본 프로필을 복사한 후 을 아래 그림 3과 같이 생성합니다. 새로 생성한 프로필을 선택 후 창을 닫게 되면 이후 Wireshark에 대한 모든 사용자 정의(설정 정보)가 새로 생성된 프로필에 저장됩니다.

그림 3. 기본 구성 프로필 복사 후 생성.

 

 

Wireshark 기본 컬럼 표시

Wireshark를 설치 후 웹 트래픽을 분석할 때, Wireshark의 기본 컬럼 옵션은 적절하지 않습니다. 따라서 분석을 더 편하게 하기 위해 컬럼 표시를 수정해야할 필요가 있습니다.

그림 4. Wireshark 기본 레이아웃.

 

Wireshark의 기본 컬럼 표시는 아래 그림 5와 같이 나열되어 있습니다.

그림 5. Wireshark의 기본 디스플레이에 사용되는 컬럼.

 

Wireshark를 이용하여 악성 트래픽을 더 잘 분석하기 위해 아래 그림 6과 같은 컬럼으로 변경합니다.

그림 6. 사용자 정의된 Wireshark 컬럼 표시.

 

날짜 및 시간 UTC 변경

기본적으로 악성 트래픽에 대한 정보를 공개적으로 공유하는 경우 분석가는 세계 어느 곳에나 있을 수 있기 때문에 표준 시간이 필요합니다. 이러한 표준 시간의 형식을 UTC로 지정합니다.

 

Wireshark의 시간 표시 형식을 변경하려면 그림 7과 같이 View 탭에서 "Time Display Format"으로 이동하여 " UTC Date and Time of Day"와 "Seconds"로 값을 변경합니다. 

그림 7. Wireshark의 시간 형식을 UTC 날짜 및 시간으로 변경.

 

설정을 완료하게 되면 아래 그림 8에 표시된 대로 컬럼 디스플레이에 UTC 날짜와 시간이 표시됩니다. 이렇게 되면 네트워크 트래픽의 날짜와 시간을 즉시 알 수 있습니다.

그림 8. 업데이트 된 Wireshark 컬럼 표시의 UTC 날짜 및 시간.

 

 

컬럼 추가 및 제거

기본 컬럼 중 "No., Protocol 및 Length" 열은 트래픽을 분석할 때 필요하지 않으므로 제거하는 것이 좋습니다. 이러한 열을 제거하려면 아래 그림 9와 같이 컬럼 머리글을 마우스 오른쪽 버튼으로 클릭하고 메뉴에서 "Remove this Colum"을 선택합니다.

그림 9. Wireshark에서 필요없는 컬럼 제거.

 

이렇게 불필요한 컬럼을 제거 한 후 필요한 컬럼을 추가하도록 합니다. 그림 10과 같이 컬럼 머리글을 마우스 오른쪽 버튼으로 클릭하고 메뉴에서 "Colum Preferences"을 선택하여 새로운 컬럼을 추가할 수 있습니다.

그림 10. 컬럼 기본 설정 창으로 이동.

 

그러면 표시되거나 숨겨진 Wireshark의 모든 컬럼이 나열되는 설정 창이 나타납니다. 컬럼 기본 설정 창의 왼쪽 하단에 더하기(+), 빼기(-) 기호를 이용하여 컬럼을 추가 및 삭제를 할 수 있습니다.

그림 11. Wireshark의 컬럼 표시에 컬럼을 추가 및 삭제하는 버튼.

 

더하기(+) 버튼을 누르게 되면 "New Colum"이라는 제목의 새 항목이 목록 하단에 추가되며 제목을 두 번 클릭하면 아래 그림 12와 같이 컬럼의 이름을 변경할 수 있습니다.

그림 12. 새로 생성된 Colum 이름 변경하기.

 

새로 생성한 컬럼의 이름을 "Src Port"로 지정하고 아래 그림 13과 같이 표시된 대로 열 유형 설정을 두 번 클릭하여 컬럼 유형을 숫자에서 "unresolved"로 변경합니다.

그림 13. 새로운 컬럼 Src Port 생성.

 

이러한 변경을 완료한 후 확인을 클릭하여 컬럼 기본 설정 창을 닫은 후 Wireshark의 컬럼 디스플레이는 아래 그림 14와 같이 나타나게 됩니다.

그림 14. 컬럼을 업데이트한 후 Wireshark의 컬럼 디스플레이.

 

이렇게 컬럼 기본 설정 창을 통해 여러 가지 유형의 컬럼을 추가할 수 있지만 모든 컬럼 유형을 추가할 수는 없습니다.

예를 들어 위와 같은 방법으로는 웹 트래픽과 연결된 도메인을 표시하는 열을 추가할 수 없습니다. 이러한 컬럼들은 사용자 정의 컬럼을 이용하여 추가할 수 있습니다.