Wireshark를 사용하는 경우 포트 번호가 응용 프로그램 이름으로 자동 확인되지 않으므로 원하는 정보를 수정하기 위해 조금 더 작업을 수행해야합니다. TCP / IP를 사용하여 네트워크를 통해 통신하는 모든 응용 프로그램은 포트를 사용하므로 네트워크 스택에서 세그먼트를 어디로 전달할 것인지 알 수 있습니다 (응용 프로그램 주소라고 함).
특정 포트에서 서버 응용 프로그램에 연결하는 클라이언트는 동적 범위에서 포트 번호를 동적으로 할당합니다. 따라서 먼저 응용 프로그램에서 어떤 TCP / UDP 연결을 열 었는지 확인해야합니다.
netstat -b
명령 행에 연결을 생성 한 실행 파일 이름을 가진 연결 목록이 표시됩니다. 각 실행 파일에는 127.0.0.1:xxxxx로 나열된 하나 이상의 연결이 있습니다. 여기서 X는 연결의 로컬 포트 번호입니다.
이제 wireshark에서는 다음 필터 중 하나 이상을 사용하여 해당 포트에서 시작되었거나 해당 포트로 향하는 패킷을 표시하도록 지시해야합니다.
tcp.port == xxxxx
또는 udp.port == xxxxx
or tcp.port == xxxxx
표시하려는 각 연결에 대해 추가 를 추가하십시오 .
이를 통해 응용 프로그램이 연 연결에 대한 모든 트래픽을 볼 수 있으며 Wireshark는 원시 TCP / UDP 세그먼트 만 포함하지 않지만 해당 포트 번호를 사용한 다양한 응용 계층 프로토콜 (예 : HTTP)도 포함합니다.
응용 프로그램이 하나의 서버와 통신하는 것처럼 보이는 경우 해당 서버의 IP 주소를 사용하여 다음을 기준으로 필터링 할 수 있습니다.
ip.addr == x.x.x.x