WIRESHARK 분석하기

WIRESHARK 분석하기

1. 필터링 => [ip.src == 10.10.0.79 && icmp]
   
   
   

• 출발지 ip주소가 10.10.0.79이며, 프로토콜의 종류는 ICMP인 패킷만을 검색한다.
  
  
  
• ICMP(Ineternet Control Message Protocol)란 인터넷 제어 프로토콜을 의미하며, 시스템 사이에 데이터를 교환하지 않고 진단이나 제어, 오류에 대한 응답을 하기 위한 프로토콜이다.
  
  
  

1. 패킷의 동작 [Echo (ping) request id=0X0001, seq=94/24064, ttl=128 (reply in 24831)]
   

• 출발지 주소 10.10.0.79에서 8.8.8.8로 ICMP패킷을 전송하는 동작을 수행한다.
  
• seq가 연속적으로 5번 증가한 것으로 보아 ‘ping –t 5 8.8.8.8’명령을 통해 5번의 ICMP패킷을 전송하였다.
  
• ‘seq=94/24064’에서 94는 BE, 24064는 LE을 나타낸다. 빅 엔디언(BE)는 큰 단위의 바이트가 앞에 오는 방법이고, 리틀 엔디언(LE)은 반대로 작은 단위의 바이트가 앞에 오는 방법이다.
  
• ICMP패킷 전송에 대한 응답으로 24831번째 패킷을 전달 받았다.
  

1. 데이터 링크 계층 분석 [frame 73737: 74 bytes on wire (592 bits), 74 bytes captured (592bits) on interface \device\npf_{f7748b6f-ed58-429d-8856-676242cb78fa}, id 0][Ethernet ii, src: InterlCor_ad:90:bc (70:9c:d1:ad:90:bc), Dst: Dell_4a:d4:ee (e4:f0:04:4a:d4:ee)]
   

• 출발지에서 74바이트 크기의 데이터를 전송하였고, 이를 NPF 드라이버 인스턴스를 통해 캡처하였다.
  
• 네트워크 패킷 필터(Network Packet Filter, NPF)는 Wireshark와 같은 패킷 캡처 소프트웨어에서 사용되는 네트워크 트래픽을 필터링하고 캡처하는 데 사용되는 드라이버이다.
  
• 출발지 mac주소와 도착지 mac주소를 알 수 있다.
  
  
  
• src: InterlCor_ad:90:bc (70:9c:d1:ad:90:bc)
  
  • InterlCor_ad:90:bc는 출발지 MAC 주소의 형식.
    
    
    
  • (70:9c:d1:ad:90:bc)는 해당 MAC 주소의 실제 값.
    
    
    
• Dst: Dell_4a:d4:ee (e4:f0:04:4a:d4:ee)
  
  • Dell_4a:d4:ee는 목적지 MAC 주소의 형식
    
    
    
  • (e4:f0:04:4a:d4:ee)는 해당 MAC 주소의 실제 값