본문 바로가기
네트워크(Network)/WireShark(와이어샤크)

2. WireShark Tutorial - 사용자 정의 컬럼 추가

by kkmin93 2024. 3. 15.
반응형

Wireshark는 네트워크 트래픽의 패킷 캡처(pcaps)를 기록하고 표시할 수 있는 무료 프로토콜 분석기입니다. 보안 전문가는 Wireshark를 사용하여 악성 프로그램에서 생성된 트래픽을 분석합니다.

 

목차
사용자 정의 컬럼 추가 - HTTP
사용자 정의 컬럼 추가 - HTTPS

 

 

사용자 정의 컬럼 추가 - HTTP

암호화되지 않은 HTTP 웹 트래픽에 사용되는 도메인에 대한 사용자 정의 컬럼을 생성할 수 있습니다. Wireshark의 디스플레이 필터 표시줄에 http.request를 입력하여 검색 후 나타나는 컬럼 디스플레이의 첫 번째 프레임을 선택합니다.

그 다음 프레임 세부사항 섹션에서 Hypertext Transmission Protocol 행을 확장 후 "Host" 부분에 접근하는 도메인의 주소가 담겨져 있는 것을 확인 할 수 있습니다. 해당 라인을 마우스 왼쪽 버튼으로 클릭하여 선택한 다음 마우스 오른쪽 버튼을 클릭하여 아래 그림 1과 같이 메뉴를 불러온 다음 "Apply as Colum"을 선택합니다.

그림 1. 프레임 세부정보에서 HTTP 호스트 이름을 컬럼으로 사용자 정의 컬럼으로 추가.

 

 

그러면 아래 그림 2와같이 Host라는 제목의 컬럼이 생성되는 것을 확인 할 수 있습니다.

그림 2. pcap에서 HTTP 트래픽을 확인 할 때 표시되는 Host 컬럼 확인.

 

 

 

사용자 정의 컬럼 추가 - HTTPS

암호화된 HTTPS 웹 트래픽에 사용되는 도메인에 대한 사용자 정의 컬럼도 생성이 가능합니다. 마찬가지로 Wireshark 디스플레이 필터 표시줄에 tls.handshake.type eq 1을 입력하여 검색 후 나타나는 컬럼 디스플레이의 첫 번째 프레임을 선택합니다.

프레임 세부정보 패널에서 Transport Layer Security 행을 확장합니다. 그 아래에서 TLSv1.2 Record Layer: Handshake Protocol: Client Hello 줄을 확장 후 Handshake Protocol Client Hello 라는 줄을 확장합니다. 확장된 프레임 세부사항은 아래 그림 3처럼 표시되어 있는 것을 확인 할 수있습니다.

그림 3. HTTPS 트래픽을 필터링 후 프레임 세부정보의 확장된 항목.

 

프레임 세부사항 섹션에서 아래로 스크롤하여 Extension: server_name으로 시작하는 행을 찾아서 확장 후 그 아래에서 Server Name: Indication Extension을 확장하게 되면 Server Name: geo.prod.do.dsp.mp.microsoft.com을 확인 할 수 있습니다. 해당 라인을 마우스 왼쪽 버튼으로 클릭하여 선택하고, 마우스 오른쪽 버튼을 클릭하여 메뉴를 불러온 후 아래 그림 4와 같이 "Apply as Colum"을 선택합니다.

그림 4. 프레임 세부정보 창에서 HTTPS 서버 이름 컬럼을 생성.

 

그러면 마찬가지로 아래 그림 5에 표시된 것처럼 Server Name이라는 제목의 컬럼이 생성되어 있는 것을 확인할 수 있습니다.

그림 5. pcap에서 HTTPS 트래픽을 확인 할 때 표시되는 Server Name 컬럼 확인.

 

이렇게 생성한 컬럼들은 화면 공간 절약을 위해 단일 열로 결합하면 더 가시성에 용이해집니다. 먼저, Server Name 항목에서 필드 값을 두 번 클릭하고 아래 그림 6과 같이 tls.handshake.extensions_server_name 이라는 텍스트를 복사합니다.

그림 6. Server Name 컬럼에서 필드 값 복사.

 

그런 다음 또는 피연산자를 사용하여 해당 텍스트를 Host 항목의 필드 값과 결합합니다. Host 항목의 새 값은 아래 그림 7에 표시된 대로 http.host or tls.handshake.extensions_server_name이어야 합니다.

그림 7. Host 컬럼의 새 필드 값.

 

기존 Host와 Server Name에서 Host만 체크 후 저장하게 되면 HTTP와 HTTPS의 웹 트래픽과 관련된 모든 도메인을 Host 컬럼에 표시할 수 있게 됩니다. 업데이트된 Wireshark 디스플레이 필터에 아래와 같은 내용을 검색하게 되면 결과는 그림 8과 같이 표시되는 것을 확인 할 수 있습니다.

  • http.request 또는 tls.handshake.type eq 1
  • http.request HTTP 요청에 대한 URL을 표시하고 tls.handshake.type eq 1은 HTTPS 또는 SSL/TLS 트래픽에 사용되는 도메인 이름을 표시하는 표현식 입니다.
그림 8. 웹 트래픽과 관련된 도메인을 표시하는 업데이트된 Host 컬럼.

 

반응형
저작자표시 비영리 변경금지

'네트워크(Network) > WireShark(와이어샤크)' 카테고리의 다른 글

4. WireShark Tutorial - FTP, SMTP 필터링  (0) 2024.03.18
3. WireShark Tutorial - 디스플레이 필터 및 버튼 생성  (0) 2024.03.17
1. WireShark Tutorial - 열 표시 변경  (0) 2024.03.15

관련글

티스토리툴바