Wireshark TCP Stream 확인하기 (TCP 스트림 확인)

전체목차

01. Wireshark 설치 (패킷 캡처 도구)

02. Wireshark 필터 사용법

 

포스트 목차.

• 01. TCP 스트림
• 02. Wireshark 에서 TCP 스트림 확인
• 03. TCP 스트림 캡처의 과정 및 예제

01. TCP 스트림

전송계층 프로토콜인 TCP는 응용에서 주고 받는 메시지는 연속적인 흐름으로 처리한다.  TCP는 연속적인 흐름을 유지하기 위해 흐름제어, 재전송 등의 매커니즘을 가지고 있다. 

 

응용에서 주고 받는 연속적인 메시지를 TCP가 나름의 방식으로 분리하여, 네트워크를 통해 전달하게 된다. 

 

Wireshark로 TCP 메시지를 캡쳐하면 여러 TCP 패킷이 캡쳐되는 것을 확인할 수 있다.

캡처된 TCP 패킷의 예

 

본 포스트에서는 이러한 TCP 패킷이 전달하는 응용계층 메시지를 스트림 단위로 확인할 수 있는 방법을 소개한다.

 

02. Wireshark에서 TCP 스트림 확인

TCP Stream은 Analyze > Follow >  TCP Stream 메뉴를 이용하여 확인할 수 있다.

 - 특정 시퀀스의 패킷을 마우스로 클릭한다.

 

 - Analyze > Follow >  TCP Stream 메뉴 선택

 - 또는 마우스 우클릭 후 Follow > TCP Stream 선택

 

 - TCP Stream 메뉴를 클릭하면, 새로운 창이 뜨면서 TCP Stream이 표기된다.

스트림은 결국  TCP가 전달하고자 하는 응용계층의 메시지라고 볼 수 있다.

여기서는 HTTP 형태의 메시지가 전달되는 것을 확인할 수 있다.

 

03. TCP 스트림 캡처의 과정 및 예제

(1) 내가 원하는 TCP 스트림 찾기

 - 해당 작업은 캡처 중에도 가능하고, 캡처를 완료한 이후에도 가능하다.

 - 캡처되는 패킷의 수가 많을 경우에는 디스플레이 필터(Display Filter)를 사용하여 내가 원하는 패킷을 가져온다.

 

위의 그림은 디스플레이 필터를 이용하여 TCP 패킷만 화면에 거른 예제이다.

 

필터에 대한 사용법은 이전 포스트를 참고하기 바란다.

https://eggdrop.tistory.com/7

Wireshark 필터 사용법

 

(2) Follow TCP Stream 실행

IP주소나 TCP 포트를 필터로 이용하여, 원하는 TCP 패킷을 선택한다.

이후 상술한 방식으로 Follow TCP Stream을 실행한다

 

(3) 내용 확인하기

위의 내용에서는 실제로 전달되는 HTML 메시지를 확인할 수 있다.

 

Follow TCP Stream을 실행하면, 해당 스트림에 대한 디스플레이 필터가 자동으로 실행된다.

 

tcp.stream에 할당되는 번호는 캡쳐된 패킷 중에서 몇 번째로 발생된 스트림인지를 나타낸다.