이 랩에서는 Wireshark 의 명령줄 유틸리티인 Tshark 를 사용하여 무선 네트워크 프레임을 캡처하고 분석하는 방법을 배우게 됩니다. 무선 인터페이스에서 모니터 모드를 활성화하고, 특정 필터를 사용하여 패킷을 캡처하며, 실습을 통해 프레임 세부 정보를 검사하는 연습을 할 것입니다.
이 랩은 인터페이스 구성, 실시간 패킷 캡처, 802.11 비콘 프레임의 타겟 분석을 포함한 필수 기술을 다룹니다. 표준 네트워크 모드에서는 일반적으로 보이지 않는 무선 트래픽을 관찰하기 위해 명령줄 및 GUI (Graphical User Interface) 방법을 모두 직접 경험하게 됩니다.
이 단계에서는 -I 플래그를 사용하여 Wireshark 에서 모니터 모드를 활성화하는 방법을 배우게 됩니다. 모니터 모드는 네트워크 어댑터가 특정 채널의 모든 무선 트래픽을 캡처할 수 있도록 하는 특수한 무선 인터페이스 모드입니다. 여기에는 장치로 전송되지 않은 패킷도 포함됩니다. 이는 장치로 전송된 패킷만 수신하는 일반적인 "관리 모드"와는 다릅니다.
시작하기 전에 무선 인터페이스가 사용 가능한지 확인해야 합니다. 대부분의 Linux 시스템은 기본 무선 인터페이스 이름으로 wlan0을 사용합니다. iwconfig 명령을 사용하여 확인합니다.
iwconfig인터페이스 목록에 wlan0이 표시되어야 합니다. 다른 이름이 표시되면 다음 명령에서 해당 이름을 대체해야 합니다.
다음으로, aircrack-ng 제품군의 airmon-ng를 사용하여 모니터 모드를 활성화합니다. 이 도구는 무선 인터페이스를 관리하는 데 도움이 됩니다.
sudo airmon-ng start wlan0이 명령은 일반적으로 wlan0mon이라는 모니터 모드에서 새 가상 인터페이스를 생성합니다. "mon" 접미사는 모니터 모드임을 나타냅니다.
인터페이스 속성을 확인하여 모드가 활성 상태인지 확인해 보겠습니다.
iwconfig wlan0mon출력에서 "Mode:Monitor"를 찾아 인터페이스가 올바르게 구성되었는지 확인합니다. 여기에서 주파수 및 채널에 대한 세부 정보도 확인할 수 있습니다.
이제 모니터 모드를 활성화하여 Wireshark 를 시작할 준비가 되었습니다.
wireshark -I -i wlan0mon-I 플래그는 Wireshark 에 모니터 모드를 사용하도록 특별히 지시하고, -i wlan0mon은 모니터 인터페이스를 지정합니다. 이 옵션이 없으면 Wireshark 는 일반 관리 모드에서 캡처를 시도합니다.
Wireshark 가 열리면 인터페이스 목록을 확인합니다. wlan0mon 옆에 "(monitor mode)" 표시기가 표시되어야 합니다. 이 시각적 확인은 모든 무선 트래픽을 올바르게 캡처하고 있는지 확인하는 데 도움이 됩니다.
이 단계에서는 Wireshark 의 명령줄 인터페이스를 사용하여 무선 네트워크 트래픽을 캡처합니다. -i 플래그는 Wireshark 에 모니터링할 네트워크 인터페이스를 알려주므로 매우 중요합니다. 무선 네트워크를 사용하고 있으므로 앞서 준비한 모니터 모드 인터페이스를 사용합니다.
시작하기 전에 모니터 모드 인터페이스가 제대로 설정되었는지 확인해 보겠습니다. 이 확인을 통해 올바른 유형의 무선 데이터를 캡처하고 있는지 확인할 수 있습니다.
iwconfig wlan0mon출력에서 "Mode:Monitor"를 찾습니다. 이는 인터페이스가 장치로 전송되는 트래픽뿐만 아니라 주변의 모든 무선 트래픽을 캡처할 준비가 되었음을 확인합니다.
이제 Wireshark 를 시작하여 패킷 캡처를 시작합니다.
wireshark -i wlan0mon-i wlan0mon 부분은 Wireshark 에 모니터 모드 인터페이스를 사용하도록 특별히 지시합니다. 나타나는 Wireshark 창에서:
완료되면 패킷 캡처를 중지하려면:
터미널에서 작업하거나 캡처를 자동화해야 하는 경우 Tshark (Wireshark 의 명령줄 버전) 가 완벽합니다.
tshark -i wlan0mon -c 10이 명령은 정확히 10 개의 패킷을 캡처한 다음 자동으로 중지하고 결과를 터미널에 직접 표시합니다. -c 플래그는 중지하기 전에 캡처할 패킷 수를 제어합니다.
이 단계에서는 디스플레이 필터 구문을 사용하여 Wireshark 에서 비콘 프레임을 필터링하는 방법을 배우게 됩니다. 비콘 프레임은 무선 액세스 포인트가 네트워크 존재를 알리기 위해 지속적으로 브로드캐스트하는 특수한 관리 프레임 (유형 0x08) 입니다. 이러한 프레임에는 네트워크 이름 (SSID), 지원되는 데이터 속도 및 보안 설정과 같은 필수 정보가 포함되어 있습니다.
wireshark -i wlan0mon이 명령은 Wireshark 를 시작하고 wlan0mon 인터페이스에서 패킷 캡처를 시작합니다. 이 인터페이스는 이전 설정에서 이미 모니터 모드여야 합니다.
wlan.fc.type_subtype == 0x08이 필터는 프레임 유형/하위 유형이 비콘 프레임 (16 진수 0x08) 과 일치하는 패킷만 표시하도록 Wireshark 에 지시합니다.
이제 패킷 목록에서 비콘 프레임만 볼 수 있습니다. 일반적으로 다음이 표시됩니다.
비콘 프레임을 자세히 검사하려면:
tshark 를 사용한 명령줄 필터링 (자동 캡처에 유용):
tshark -i wlan0mon -Y "wlan.fc.type_subtype==0x08" -c 5이 명령은 wlan0mon 인터페이스에서 필터 (-Y) 와 일치하는 정확히 5 개의 비콘 프레임 (-c 5) 을 캡처한 다음 자동으로 종료합니다. tshark 의 -Y 플래그는 Wireshark 의 디스플레이 필터와 유사하게 작동합니다.
이 단계에서는 Wireshark 의 상세 출력 모드를 -V 플래그와 함께 사용하여 터미널에 자세한 프레임 정보를 표시하는 방법을 배우게 됩니다. 이는 tshark 와 같은 명령줄 도구로 작업할 때 특히 유용하며, 기본 요약 보기보다 더 포괄적인 정보를 제공합니다.
tshark -r /tmp/capture.pcap -Y "wlan.fc.type_subtype==0x08" -V이 명령은 저장된 캡처 파일 (/tmp/capture.pcap) 에서 읽고 비콘 프레임 (type_subtype 0x08) 을 필터링합니다. -V 플래그는 tshark 에 각 프레임에 대한 모든 사용 가능한 세부 정보를 표시하도록 지시합니다.
-V 플래그는 다음과 같은 상세 출력을 제공합니다.
상세 출력으로 실시간 프레임을 캡처하고 표시하려면:
tshark -i wlan0mon -Y "wlan.fc.type_subtype==0x08" -V -c 5이것은 다음을 수행합니다.
-c 5 매개변수는 캡처를 제한)상세 출력에서 관찰해야 할 주요 정보:
특히 긴 출력의 경우 가독성을 높이기 위해 less 로 파이프할 수 있습니다.
tshark -i wlan0mon -Y "wlan.fc.type_subtype==0x08" -V -c 5 | less이렇게 하면 모든 출력을 한 번에 터미널에 덤프하는 대신 화살표 키를 사용하여 페이지별로 출력을 스크롤할 수 있습니다. 완료되면 'q'를 눌러 less 뷰어를 종료합니다.
이 Lab 에서는 모니터 모드에서 Wireshark 를 사용하여 무선 프레임을 캡처하는 방법을 배웠습니다. 주요 단계에는 airmon-ng를 사용한 모니터 모드 활성화, iwconfig를 사용한 인터페이스 상태 확인, 모니터 모드 캡처를 위한 -I 플래그를 사용한 Wireshark 실행이 포함되었습니다. 또한 -i를 사용하여 모니터링 인터페이스를 지정하고 실시간 트래픽을 관찰하는 연습을 했습니다.
또한 비콘 프레임에 대한 -Y 및 자세한 분석을 위한 -V를 사용하여 필터링 기술을 탐구했습니다. 이 Lab 은 헤드리스 (headless) 작업을 위한 tshark를 포함하여 GUI 및 명령줄 방법을 모두 다루었으며, 무선 프레임 분석을 위한 견고한 기반을 제공합니다.
