와이어샤크(wireshark) Edit 메뉴

 

1. 개요

와이어샤크(wireshark)메뉴 중 Edit에 대해 알아본다.

2. 테스트 환경

wireshark 1.6.4

3. 상세 분석

와이어샤크의 Edit메뉴는 와이어샤크 편집 메뉴로, 주요 역할은 패킷을 찾고, 환경설정등에 사용되는 메뉴이다.

 

 

[그림1. 와이어샤크 Edit 메뉴]

 

1) Copy

Copy 항목은 [그림2]와 같이 하위 항목으로 나누어져 있다.

[그림2. Copy의 하위 항목]

- Description (단축키 : Shift + Ctrl+ D)

패킷 상세보기 창에서 선택한 항목의 설명을 복사한다.

사용방법은 [그림3]에서 Maximum segment size 항목의 설명을 복사한다고 가정 하면 다음과 같다.

① 해당 항목을 클릭 한다.

② [Copy] - [Description] 클릭 하거나 단축키 [Shift + Ctrl+ D]를 누른다.

③ 클립보드에 해당 항목이 임시 저장된다.

[그림3. 패킷 상세보기 창 내용]

④ notepad등에 붙여 넣기하면 [그림4]와 같이 내용을 확인할 수 있다.

[그림4. [Copy] - [Description] 결과]

즉, 항목 그대로의 내용을 클립보드에 임시 저장하는 것이다.

- Fieldname (단축키 : Shift + Ctrl+ F)

패킷 상세 보기에서 선택한 항목의 이름을 복사한다.

사용방법은 [그림5]에서 Destination port 항목의 이름을 확인 하고 싶다고 가정 하면, 다음과 같다.

① 해당 항목을 클릭한다.

② [Copy] - [Filensme]을 클릭 하거나, 단축키 [Shift + Ctrl+ F]를 누른다.

[그림5. 패킷 상세보기 창]

 

③ notepad등에 붙여 넣기 하면, [그림6]과 같이 내용을 확인할 수 있다.

[그림6. [Copy] - [Filensme] 결과]

 

항목의 이름은 와이어샤크의 필터에서 패킷을 필터링할 때 사용할 수 있다. [그림6]과 같은 경우 TCP 패킷 중 목적지 포트를 지정하면 해당 패킷만 나열된다. 

 

[그림7. 와이어샤크 필터링]

- Value (단축키 : Shift + Ctrl + V)

패킷 상세보기 창에서 선택한 항목의 값(value)를 복사 한다.

사용방법은 [그림8]에서 Sequence number 항목의 값(value)를 복사 한다고 가정하면, 다음과 같다.

① 해당 항목을 클릭한다.

② [Copy] - [value]를 클릭하거나, 단축키 [Shift + Ctrl + V]를 누른다.

 

 

[그림8. 패킷 상세 보기 창]

 

③ notepad등에 붙여 넣기 하면, [그림9]과 같이 내용을 확인할 수 있다.

[그림9. [Copy] - [value] 결과]

 

- As Filter (단축키 : Shift + Ctrl + C)

패킷 상세보기 창에서 선택한 항목의 내용을 와이어샤크 필터에 바로 적용할 수 있게 내용을 복사 한다.

사용방법은 [그림10]에서 Window size value : 65535 항목을 바로 필터링에 적용하고 싶다고 가정하면, 다음과 같다.

① 해당 항목을 클릭한다.

② [Copy] - [As Filter]를 클릭하거나, 단축키 [Shift + Ctrl + C]를 누른다.

 

 

[그림10. 패킷 상세보기 창]

 

③ notepad등에 붙여 넣기 하거나, 와이어샤크 필터 부분에 바로 붙여 넣기 해도 된다.

[그림11. [Copy] - [As Filter] 결과]

 

 

[그림.12 와이어샤크 필터에 바로 적용]

 

Copy항목은 Edit메뉴에서 뿐만 아니라, 패킷 상세 보기 창에서도 바로 사용이 가능하다.

[그림13. 패킷 상세보기 창에서 Copy 사용]

패킷 상세 보기 창에서 사용 방법은 원하는 항목에서 마우스 오른쪽을 클릭하면 [그림13]과 같이 메뉴가 나타난다. 메뉴 항목중 Copy를 클릭하면, Edit메뉴에서 Copy 항목과 같은 하위 항목을 이용할 수 있다.

참고로 Bytes는 패킷 상세 보기창 아래에 있는 패킷 바이트 부분을 Copy할 때 사용한다.

 

[그림14. 패킷 바이트]

2) Find Packet (단축키 : Ctrl + F)

Find Packet항목은 여러 기준에 의해 패킷을 찾을 때 사용한다. Find Packet을 클릭하면, [그림15]와 같이 패킷을 찾을 때 필요한 내용을 상세 적용할 수 있는 팝업창이 나타난다.

 

 

 

[그림15. 패킷 찾기 상세 적용 팝업창]

 

패킷을 찾는 부분의 자세한 내용은 추후 뒷 부분에서 설명하겠다. Find Packet 은 메인 툴바에서도 불러 올수 있다.

 

 

[그림16. 메인툴바에서 Find Packet]

 

- Find Next (단축키 : Ctrl + N) / Find Previous(단축키 : Ctrl + B)

Find Packet에서 설정한 내용과 일치하는 패킷들 중 현재 위치에서 다음 위치의 패킷으로 이동하거나 전 패킷으로 이동 하고자 할때 사용한다.

3) Mark Packet (toggle) (단축키 : Ctrl + M)

현재 선택된 패킷을 표시할 때 사용한다. Mark Packet를 선택하면, [그림17]과 같이 검정색 바탕에 흰색 글씨로 나타난다. Mark Packet가 된 패킷을 다시 선택한 다음 Mark Packet를 클릭하면, 다시 원래의 상태로 돌아온다.

 

[그림17. Mark Packet 결과]

 

Mark Packet는 일시적인 설정으로 캡처된 파일을 다시 불러올 경우 Mark Packet된 패킷은 사라진다.

 

- Toggle Marking Of All Displayed Packets (단축키 : Shift + Ctrl + Alt + M)

- Mark All Displayed Packets (단축키 : Shift + Ctrl + M)

캡처된 파일에 존재하는 모든 패킷에 대해 Mark Packet한다.

 

[그림18. Mark All Displayed Packets 결과]

 

- Unmark All Displayed Packets (단축키 : Ctrl + Alt + M)

여러개의 패킷이 Mark Packet되어 있을때 , Mark Packet된 패킷을 원래 상태로 복귀 시킬 때 사용한다.

 

- Find Next Mark (단축키 : Shift + Ctrl + N) / Find Previous Mark (단축키 : Shift+Ctrl+B)

여러개의 Mark Packet 패킷이 존재 할 경우, 현재 위치에서 다음 Mark Packet된 패킷을 찾거나, 이전 Mark Packet 패킷을 찾을 때 사용한다.

캡처된 패킷에서 패킷들을 추적할 때나, 관심있는 패킷을 표시하고자 할때 Mark Packet기능을 사용하면, 패킷 분석에 많은 도움이 된다.

 

4) Ignore Packet (toggle) (단축키 : Ctrl + D)

Ignore Packet기능은 와이어샤크 1.4버전부터 추가된 기능으로 캡처된 패킷들 중 분석에 필요한 트래픽이외에, 주변에 불필요한 패킷을 제거할 때 사용한다.

 

 

[그림.19 Ignore Packet 결과]

 

또한, 와이어샤크의 가장 밑에 존재하는 상태바에서 Ignore Packet기능으로 제거된 패킷의 개수를 확인 할 수 있다.

 

 

[그림20. Ignore Packet 개수 확인]

 

- Ignore All Displayed Packets (toggle) (단축키 : Shift+Ctrl+D )

Ignore Packet기능으로 제거된 패킷을 표시 한다.

 

- Un-Ignore All Packets (단축키 : Ctrl+Alt+D)

Ignore Packet기능으로 제거된 패킷을 다시 원상태로 돌릴때 사용한다.

 

5) Set Time Reference (toggle) (단축키 : Ctrl+T)

캡처된 패킷된 패킷들 중에서 자신이 원하는 패킷 부터의 시간을 측정하고 싶을 때 사용한다. 예를 들어 22번째 패킷부터 시작해서 그 이후의 패킷의 패킷 도착 시간을 알고자 하면, 20번째 패킷에서 Time Reference을 걸어 주면 된다. 

 

[그림21. Set Time Reference 전]

 

[그림21]은 Time Reference을 설정하기 전으로, 20번째 패킷에 Time Reference를 걸어주면 20번째 패킷의 Time 부분은 *REF*로 변경되면서, 20번째 이후의 패킷들의 Time 값이 변경된다. 

 

[그림22. Set Time Reference 후]

 

- Un-Time Reference All Packets (단축키 : Ctrl+Alt+T)

Time Reference 설정된 패킷을 원 상태로 돌릴 때 사용한다.

 

- Find Next Time Reference (단축키 : Ctrl+Alt+N) / Find Previous Time Reference (단축키 : Ctrl+Alt+B)

현재 선택된 패킷에서 다음 Time Reference 설정된 패킷으로 이동하거나, 이전 패킷으로 이동할 때 사용한다.

 

6) Configuration Profiles (단축키 : Shift+Ctrl+A)

Configuration Profiles은 다양한 네트워크 환경에 대한 사용자 정의로 만들어진 구성 프로필을 불러 오고자 할 때 사용한다. Configuration Profiles를 클릭하면, [그림23]과 같은 구성 프로필 선택 창이 나타나며, 여기서 구성 프로필을 선택하여 사용한다.

 

[그림23. 구성 프로필 선택 창]

 

구성 프로필을 만드는 방법은 추후 다시 이야기 하도록 하자.

7) Preferences (단축키 : Shift+Ctrl+P)

와이어샤크에 대한 전반적은 환경 설정은 Preferences에서 설정 한다. Preferences을 클릭하면, 환경 설정 할 수 있는 창이 나타나며, 이곳에 포함된 내용은 User Interface, Capture, Printing, Name Resolution, Statics, Protocols가 있다.

 

[그림24. Preferences 창]

 

Preferences 창에서 각 항목을 클릭하면, 해당 항목에 대한 세부 설정을 할 수 있다. 각 항목별 설정 방법은 추후에 다시 이야기 하도록 한다.

 

4. 참고

http://www.wireshark.org