#31. Wireshark로 패킷 Capture하기
문서번호: 20170202-01 버전: 1.0 Date: 2017/02/02
1
이번 LAB은 “#30. Docker시스템으로 서버구현하기”에서 구성한 LAB을 이용하여 클라이언트와 서버간에 TCP통신이
수행될 때 Wireshark로 패킷을 잡아보고 패킷을 분석해보는 LAB입니다. 패킷을 ASCII형태로 decode했을 때 어떻게
보이는지와 Flow Graph에서 서버와 클라이언트가 사용하는 TCP port번호를 주의깊게 살펴보세요.
[LAB구성도]
1. Capture실행방법
① UnetLab에서 capture를 수행하기 위해서는 “#24. UnetLab에서 WireShark로 패킷캡처”LAB의 설정이
완료되어야 합니다.
② LAB구성도에서 SW1에 오른쪽버튼을 클릭하고 capture메뉴를 클릭하여 capture를 수행할 포트를 선택하면
wireshark를 구동해주는 batch파일이 구동되어서 Wireshark가 정상적으로 구동되어야 합니다.
#31. Wireshark로 패킷 Capture하기
문서번호: 20170202-01 버전: 1.0 Date: 2017/02/02
2
③ Analyze를 수행한 후에는 패킷이 필터링되어 있는 상태이므로 필터부분의 X버튼으로 clear해서 capture한
패킷이 모두 보이도록 한 후에 다음 분석을 진행합니다.
#31. Wireshark로 패킷 Capture하기
문서번호: 20170202-01 버전: 1.0 Date: 2017/02/02
3
2. ubuntu-client(10.0.0.100)에서 SW1(10.0.0.5)로 telnet,ssh연결에 대한 Capture
이 capture에서는 동일 시스템을 2가지 방법(telnet, ssh)으로 원격연결을 수행하면서 수행합니다. 두 가지
방법에 대한 ASCII 분석을 살펴보면 telnet의 경우에 사용자가 입력하는 계정, 암호와 명령들이 모두 보이는 것을
확인할 수 있고, ssh를 사용하는 경우에는 암호화되어서 보이지 않는다는 것을 확인할 수 있습니다. 장비들
설정에서 telnet을 사용하지 말고 ssh로 변경하라고 하는지 이해가 되시나요?
① SW1스위치에 telnet, ssh연결이 가능하도록 설정완료할 것
② SW1스위치의 e0/0포트에 대한 capture를 시작
③ ubuntu-client에서 telnet 10.0.0.5로 접속하고 명령수행후에 연결종료. Wireshark의 capture중지
④ Wireshark에서 capture패킷중에 첫번째 TCP패킷을 클릭한 다음에 “Analyze > Follow > TCP Stream”선택
⑤ 아래와 같이 ASCII형태로 telnet packet에 대한 분석을 보여줌.
#31. Wireshark로 패킷 Capture하기
문서번호: 20170202-01 버전: 1.0 Date: 2017/02/02
4
⑥ 필터링부분을 clear한 후에 “Statistics > Flow Graph”를 선택하고 “TCP Flow”를 선택하면 아래와 같이 TCP
Flow에 대한 그래프가 나옴. 그래프에서 클라이언트와 서버측의 통신포트를 확인해보기
#31. Wireshark로 패킷 Capture하기
문서번호: 20170202-01 버전: 1.0 Date: 2017/02/02
5
⑦ Wireshark를 종료하고 다시 SW1스위치의 e0/0포트에 대한 capture를 시작
⑧ ubuntu-client에서 ssh [email protected]로 접속하고 명령수행후에 연결종료. Wireshark의 capture중지
⑨ Wireshark에서 capture패킷중에 첫번째 TCP패킷을 클릭한 다음에 “Analyze > Follow > TCP Stream”선택
#31. Wireshark로 패킷 Capture하기
문서번호: 20170202-01 버전: 1.0 Date: 2017/02/02
6
⑩ 아래와 같이 ASCII형태로 telnet packet에 대한 분석을 보여줌.
#31. Wireshark로 패킷 Capture하기
문서번호: 20170202-01 버전: 1.0 Date: 2017/02/02
7
⑪ 필터링부분을 clear한 후에 “Statistics > Flow Graph”를 선택하고 “TCP Flow”를 선택하면 아래와 같이 TCP
Flow에 대한 그래프가 나옴. 그래프에서 클라이언트와 서버측의 통신포트를 확인해보기
#31. Wireshark로 패킷 Capture하기
문서번호: 20170202-01 버전: 1.0 Date: 2017/02/02
8
3. ubuntu-client(10.0.0.100)에서 ftp-server(10.0.0.20)로 ftp, sftp연결에 대한 Capture
이 capture에서는 파일전송을 위해서 동일 시스템을 2가지 방법(ftp, sftp)으로 연결을 수행하면서 수행합니다. 두
가지 방법에 대한 ASCII 분석을 살펴보면 ftp의 경우에 사용자가 입력하는 계정, 암호와 명령들이 모두 보이는
것을 확인할 수 있고, sftp를 사용하는 경우에는 암호화되어서 보이지 않는다는 것을 확인할 수 있습니다.
파일전송할때 ftp를 사용하지 말아야하는 이유가 이해되시나요?
① ftp-server에 vsftpd데몬과 ssh데몬을 구동할 것
② SW1스위치의 e0/3포트에 대한 capture를 시작
③ ubuntu-client에서 ftp 10.0.0.20으로 접속하고 명령수행후에 연결종료. Wireshark의 capture중지
④ Wireshark에서 capture패킷중에 첫번째 TCP패킷을 클릭한 다음에 “Analyze > Follow > TCP Stream”선택
#31. Wireshark로 패킷 Capture하기
문서번호: 20170202-01 버전: 1.0 Date: 2017/02/02
9
⑤ 아래와 같이 ASCII형태로 ftp packet에 대한 분석을 보여줌.
#31. Wireshark로 패킷 Capture하기
문서번호: 20170202-01 버전: 1.0 Date: 2017/02/02
10
⑥ 필터링부분을 clear한 후에 “Statistics > Flow Graph”를 선택하고 “TCP Flow”를 선택하면 아래와 같이 TCP
Flow에 대한 그래프가 나옴. 그래프에서 클라이언트와 서버측의 통신포트를 확인해보기
#31. Wireshark로 패킷 Capture하기
문서번호: 20170202-01 버전: 1.0 Date: 2017/02/02
11
⑦ Wireshark를 종료하고 다시 SW1스위치의 e0/3포트에 대한 capture를 시작
⑧ ubuntu-client에서 sftp [email protected]으로 접속하고 명령수행후에 연결종료. Wireshark의 capture중지
⑨ Wireshark에서 capture패킷중에 첫번째 TCP패킷을 클릭한 다음에 “Analyze > Follow > TCP Stream”선택
#31. Wireshark로 패킷 Capture하기
문서번호: 20170202-01 버전: 1.0 Date: 2017/02/02
12
⑩ 아래와 같이 ASCII형태로 sftp packet에 대한 분석을 보여줌.
#31. Wireshark로 패킷 Capture하기
문서번호: 20170202-01 버전: 1.0 Date: 2017/02/02
13
⑪ 필터링부분을 clear한 후에 “Statistics > Flow Graph”를 선택하고 “TCP Flow”를 선택하면 아래와 같이 TCP
Flow에 대한 그래프가 나옴. 그래프에서 클라이언트와 서버측의 통신포트를 확인해보기
#31. Wireshark로 패킷 Capture하기
문서번호: 20170202-01 버전: 1.0 Date: 2017/02/02
14
4. ubuntu-client(10.0.0.100)에서 www-server(10.0.0.10)로 http연결에 대한 Capture
이 capture에서는 클라이언트에서 브라우저로 웹서버를 연결했을 때 패킷을 capture하는것으로 주고받는 HTML
tag와 status code값들을 주의깊게 살펴보세요.
① SW1스위치의 e0/2포트에 대한 capture를 시작
② ubuntu-client에서 lynx http://10.0.0.10으로 웹서버 접속하고 시작페이지를 확인한 후에 q명령으로
lynx브라우저로 종료. Wireshark의 capture중지
③ Wireshark에서 capture패킷중에 첫번째 TCP패킷을 클릭한 다음에 “Analyze > Follow > TCP Stream”선택
#31. Wireshark로 패킷 Capture하기
문서번호: 20170202-01 버전: 1.0 Date: 2017/02/02
15
④ 아래와 같이 ASCII형태로 http packet에 대한 분석을 보여줌.
#31. Wireshark로 패킷 Capture하기
문서번호: 20170202-01 버전: 1.0 Date: 2017/02/02
16
⑤ 필터링부분을 clear한 후에 “Statistics > Flow Graph”를 선택하고 “TCP Flow”를 선택하면 아래와 같이 TCP
Flow에 대한 그래프가 나옴. 그래프에서 클라이언트와 서버측의 통신포트를 확인해보기
#31. Wireshark로 패킷 Capture하기
문서번호: 20170202-01 버전: 1.0 Date: 2017/02/02
17
