Wireshark의 작동 구조와 원리

출처 : 

 

▶︎ TCP/IP 기반으로 HTTP 통신을 하는데 user 모드 application이  TCP/IP와 인터페이싱을 할 때는 TCP를 추상화한 Socket 인터페이스를 타고 정보를 주고 받는다.

 

빨간 빈칸에는 필터가 들어갈 수 있는 공간이다.

Filter에서는 통과시키는 경우와 막는 경우가 있다.

• Bypass:  Filter 통과

• Drop : Filter 통과 X

 

하지만 Sensor같은 경우는 항상 Bypass = 수집

Wireshark는 Sensor 기능을 가지고 있는것이다. 

 

• Outbound : 트래픽이 host에서 네트워크 쪽으로 나가는 것

• Inbound : 트래픽이 네트워크 쪽에서 host로 들어오는 것

 

Sensor가 Inbound/Outbound되는 데이터들을 모조리 읽어다가 Wireshark로 전달

 

 

출처 : https://youtu.be/5Dku-vX3w-c?si=pAz4zziep79MSIoB