Disport & Study

지난호 소개한대로 이더리얼을 정상적으로 설치했다면 (화면 1)과 같은 메인창을 볼 수 있을 것이다. 메인창의 각 부분에 대해 먼저 알아보자.
이더리얼은 기본적으로 (화면 1)에서 보는 것과 같이 3개의 메인창과 창 아래의 5개 구성요소로 이뤄져 있다.
(화면 1)에서 A라고 표시한 맨 위의 창은 패킷의 목록을 보여준다. 여기에는 패킷의 캡처된 번호나 시간, 출발지와 목적지, 프로토콜과 해당 정보 등에 대한 요약된 정보가 담겨 있다. 이 창에서 각 패킷들을 선택하면 그 아래 B, C의 창에서 해당 내용에 대한 보다 자세한 정보들이 표시된다.
(화면 1)의 B라고 표시된 가운데 창은 A창에서 선택된 패킷들에 대한 자세한 정보들을 보여준다. 실제로 패킷을 분석할 때 가장 주의깊게 살펴야 할 부분이다.
(화면 1)의 C라고 표시된 맨 아래의 창은 데이터 값을 보여준다. B창에서 특정 정보영역(보통 계층에 따른 프로토콜)을 선택하면, (화면 2)와 같이 데이터 영역에서 실제로 보여지는 값들이 표시된다.

다섯가지 구성 항목의 이해
이번에는 세 개의 메인 창과 함께 아래쪽에 있는 다섯 개의 구성요소에 대해 알아보자. (화면 1)에서 ①이라고 표시된 부분은 필터(Filter) 항목인데, 이 버튼을 클릭하면, (화면 3)과 같이 필터 설정 대화창이 뜬다. 필터창의 설정에 대한 보다 자세한 사항들은 다음 시간에 소개하겠다.

(화면 1)에서 ②라고 표시된 부분은 필터 문자열을 입력하는 곳이다. 실제로 지난회에 소개했던 무차별 모드(Promicious Mode)로 패킷들을 캡처한 후, 특정 IP를 가진 패킷만을 골라내거나, 특정 조건에 맞는 패킷들로 분류할 때 사용한다. 이 부분이 메인창의 구성요소 5가지 중에서 가장 중요한 부분이다. 또한 여기서는 ①번 부분인 필터 항목에서 미리 설정된 필터 양식을 선택하고 적용할 수 있다. 이를 응용한 실제 사례들은 이후에 설명하도록 한다.
(화면 1)의 ③부분인 리셋(Reset) 버튼은 현재의 필터를 없애고 처음 상태로 되돌리는 역할을 한다. 예를 들어 무차별모드로 캡처한 패킷에 대해 보고자 하는 패킷들을 살펴보고 난 후, 다시 또 다른 특정패킷을 찾아보고자 할 때 원래의 무차별 모드였던 상태로 되돌리는 것이다.
(화면 1)의 ④는 적용(Apply) 버튼으로, ②번째 항목에 필터 문자열을 입력하고, 해당 필터를 적용시킬 때 사용하는 버튼이다. 물론 ②번째 필터 문자열 입력창에서 문자열을 입력하고 엔터를 쳐도 적용은 된다.
마지막 항목은 (화면 1)의 ⑤부분으로, 선택한 데이터 영역의 정보에 대한 주요사항을 표시해준다. 예를 들어 패킷을 캡처하고 나서 (화면 1)의 A창에서 특정 정보를 선택한 다음 B창에서 해당 패킷의 여러 계층정보 중 하나를 다시 선택하면, C창에 그에 대한 선택영역이 블록으로 표시된다. 그 선택된 영역이 어떤 프로토콜이며, 길이는 얼마나 되는지 등의 정보가 ⑤부분에 표시되는 것이다. (화면 4)를 보면 직관적으로 알 수 있을 것이다.
가장 기본이 되는 메인창에 대한 설명은 이 정도로 하고, 이제부터는 실제로 여러 가지 일을 하기 위한 이더리얼의 메뉴를 살펴보도록 하자.

이더리얼의 6가지 메뉴 기능 익히기
이더리얼은 (화면 5)와 같이 6개의 메뉴로 구성돼 있다. 해당 메뉴의 세부항목들을 아이콘으로 선택할 수 있게 한 도구바(Tool Bar)가 아래에 위치하고 있다. 도구바는 필요한 부분들을 직관적으로 아이콘 모양으로 편하게 만들어 놓은 것이다. 물론 사용자가 원치 않을 경우에는 해당 아이콘형 툴바를 없앨 수도 있다(메뉴에 대한 간단한 설명을 마치면서 해당 사항을 비활성화시키는 방법도 이후에 언급할 것이다). 각 메뉴에 대한 대략적인 내용을 알아보자.

File : 파일 메뉴는 캡처한 파일을 열거나 다시 읽고, 프린트하거나 저장하는 역할을 한다. 더불어 이더리얼 캡처 작동을 멈췄을 때 패킷들을 보여주는 일도 한다(화면 6).

Edit : 편집 메뉴는 말그대로 캡처된 파일들을 마킹(앞서 '선택'이라는 표현을 사용함)하거나 우선순위를 주거나 필터를 생성해 다시 보여준다. 즉, 같은 패킷들을 앞뒤로 찾거나 하는 기능들을 모아놓은 것이다. 이전 버전에서 지원하지 못했던 자르거나 붙이는 기능은 현재도 지원되지 않고 있다. 또한 이더리얼의 환경을 설정할 수 있는 선택(preference) 항목이 이 편집메뉴에 하위항목으로 존재한다.

View : 뷰 메뉴는 보여주기(Display) 옵션이나 패킷에 대한 색 구분 옵션, 그리고 선택한 패킷을 새창으로 보여주기, 다시읽어오기(Reload) 등과 같은 기능들의 집합이다.

Capture : 이 메뉴는 이더리얼의 가장 기본적인 동작인 패킷의 캡처를 시작하고 멈추게 한다. 또한 패킷에 대한 필터 스트링을 편집할 수 있다. 이번호에는 바로 이부분이 예시 항목으로 다뤄질 것이다. 단축키인 Ctl+K를 사용하면 이더리얼을 실행한 다음 바로 패킷을 캡처할 수 있다.

Analyze : 분석 메뉴는 캡처한 패킷들을 어떤식으로 볼것인지 정의하는데 사용된다. 요약된 정보로 전체를 보여줄 수도 있고, 프로토콜 계층 구조 상태로 통계치를 나타낼 수도 있으며, 특정하게 선택된 프레임을 보여줄 수도 있다. 그리고 첫회에 언급했던 TCP를 사용하는 애플리케이션의 경우, 평문(Plain Text)의 통신이라면 Follow TCP Stream을 통해 해당 통신내용을 적나라하게 볼 수도 있다. 이더리얼에서 가장 다루기 어려운 부분 중 하나다.