특이하게 설치한다고 바로 되는건 아니고

wireshark - 메뉴 - 도움말 - about - 폴더

에서 extcap 디렉토리가 없으면 생성하고

 

winpcap 설치 경로에서 USBPcapCMD.exe를 복사해 주고 wireshark를 재시작하면

C:\Program Files\USBPcap

 

아래와 같이 USBPcap1 장치가 생겨난다.

 

wireshark가 파란색이 아닌 녹색으로 뜨면서 먼가 캡쳐가 되긴 한다.

[링크 : https://desowin.org/usbpcap/tour.html]

 

usb.dst usb.src==1.4.0 이런식으로 필터링 가능하다

[링크 : https://stackoverflow.com/questions/73715190/wireshark-usb-filtering]

Posted by 구차니

wireshark 에서 any 인터페이스로 잡으면 

linux cooked capture 라는 희한한(?) 레이어가 생긴다.

물론 wlo나 eth 와 같이 인터페이스를 지정하면 Ethernet II 이런식으로 뜬다.

 

[링크 : https://byeo.tistory.com/entry/Linux-Cooked-Capture-SLL-protocol]

Posted by 구차니
DHCP는 BOOTP를 이용하므로
filter에 bootp 라고 하면 된다고 하는데

윈도우 - ipconfig / renew 하니 딱 두개의 패킷이 잡히네 머~



[링크 : http://wiki.wireshark.org/DHCP]
Posted by 구차니
아직 확실하게 쓸줄은 모르지만..
아무튼 이더리얼에서 가장 중요한 것은 필터링을 하는 방법이라고 생각이 된다.

수 많은 패킷중에 원하는 내용을 골라내야 하므로 필터링 방법이 복잡해 질 수 밖에 없고,
그로 인해서 wireshark에서 필터는 매우 어려운 편이다.


위에 보면 filter 라는 부분이 있는데, 이 부분이 display filter 부분이다.
이와는 별개로 capture filter 라는 부분도 있는데,
필터사용 방법은 동일하나,
네트워크 데이터 량이 너무 많을 경우에는 capture 필터로 한번 걸러내고
display filter로 두 번 걸러내는 것이 좋지 않을까 생각을 한다.


capture 필터는, 캡쳐시에 걸러내주는 역활을 한다.



display filter와 capture filter를 클릭했을때 나오는 다이얼로그 윈도우로
사용하는 문법과 내용은 동일하다.


아무튼 중요한 것은 아래의 filter string이다.

예를들어 위에 나온 내용처럼
특정 프로토콜만 보고 싶거나, 특정 프로토콜을 제외하고 다른 것을 보고 싶을 경우,
필터를 사용하게 되는데,
"프로토콜은 소문자" 로 적어주고
보고 싶으면 프로토콜 이름만 (예, arp)
보고 싶지않으면 not 프로토콜 이름으로 적어주면 된다. (예, not arp)

그리고 조건을 붙일때는 or , and 로 조건을 붙여주면 된다.

'프로그램 사용 > wireshark(ethereal)' 카테고리의 다른 글

wireshark winpcap 설정하기  (0) 2024.06.17
linux cooked capture  (0) 2023.09.04
wireshark에서 DHCP 캡쳐하기  (0) 2011.10.05
ubuntu에 ethereal(wireshark) 설치하기  (0) 2009.07.04
ethereal -> wireshark  (0) 2009.07.04
Posted by 구차니
$ sudo apt-get install ethereal
패키지 목록을 읽는 중입니다... 완료
의존성 트리를 만드는 중입니다
상태 정보를 읽는 중입니다... 완료
ethereal 패키지를 사용할 수 없습니다.  하지만 다른 패키지가 참조하고 있습니다.
해당 패키지가 누락되었거나 지워졌다는 뜻입니다. 아니면 또 다른 곳에서
패키지를 받아와야 하는 경우일 수도 있습니다.
하지만 다음 패키지가 대체합니다:
  wireshark
E: ethereal 패키지는 설치할 수 있는 후보가 없습니다

2009/07/04 - [프로그램 사용] - ethereal -> wireshark

상표권 문제로 ethereal은 wireshark로 대체 되었고, 그런 이유로 우분투에서 설치하기 위해서는
시냅틱 패키지에서 ethereal로 찾아도 나오지 않는다.

ethereal을 설치하기 위해서는 아래와 같이 입력한다.
 $ sudo apt-get install wireshark

그리고 실행시에는 wireshark (as root)로 실행을 해야지 장치목록이 제대로 뜬다.
이러한 장치는 root 권한이 없으면 접근할 수 없기 때문에, root로 구동을 해야한다.
Posted by 구차니
2006년도에 상표명 분쟁으로  ethereal이 wireshark로 변경이 되었다고 한다.

Wireshark is a free packet sniffer computer application. It is used for network troubleshooting, analysis, software and communications protocol development, and education. Originally named Ethereal, in May 2006 the project was renamed Wireshark due to trademark issues.

[링크 : http://en.wikipedia.org/wiki/Wireshark]

가장 잘 알려진 네트워크 프로토콜 분석기인 Ethereal이 Wireshark로 개명되었습니다. 핵심 개발자가 다른 회사로 가면서 기존 회사가 Ethereal을 상표명으로 등록하였는데 기존 회사가 해당 상표명을 계속 유지하고자 했기 때문입니다.

[링크 : http://kldp.org/node/71004]

아무튼, 이제 ethereal은 잊고 wireshark를 기억해야겠다 ㅠ.ㅠ
Posted by 구차니