네트워크 패킷 분석: 와이어샤크(Wireshark) 설치 및 활용

와이어샤크(Wireshark)는 WinPcap 패킷 캡쳐 라이브러리를 기반으로 한 자유 및 오픈 소스 패킷 분석 프로그램으로, NIC (Network Interface Card)를 통해 송/수신 되는 패킷을 분석하는데 유용한 프로그램이다. 원래 이름은 Ethereal 이었으나, 2006년 경 이름을 바꾸었다.


다운로드 

와이어샤크 프로그램은 www.wireshark.org에 공개되어 있으므로, 자유롭게 다운로드 할 수 있다.

다운로드를 선택한 후, 사용자 운영체제 환경에 맞는 버전을 다운로드 한다.

wireshark_website

 

wireshark_download

 

본 내용 작성 시 PC 환경인 32-bit Windows 에 맞춰 Stable release 중 Windows Installer (32-bit) 를 선택하여 다운로드를 진행하였다. 만약 64-bit 환경이나 MAC을 사용하는 경우, 이에 맞는 버전 다운로드를 수행 해야 함을 명심하자.

 

설치

다운로드 된 파일을 실행하면 다음과 같은 Installer 윈도우를 확인할 수 있다.

wireshark_install

 

와이어샤크는 WinPcap 라이브러리를 기반하기 때문에 WinPcap 설치를 요구한다. 기존에 WinPcap 라이브러리가 설치되어 있는 경우가 아니라면 함께 설치하도록 하자. 본 설치 과정 스크린 샷에서는 기존에 설치된 WinPcap이 있음을 함께 알려주고 있다.

wireshark_install_WinPcap

 

활용

와이어샤크를 실행하면 다음과 같은 초기 화면을 볼 수 있다.

wireshark_1

인터페이스는 무척 간단한 편이다. 우측 상단의 ‘Start’ 를 누르면 즉시 해당 Network interface의 패킷 캡쳐가 시작된다.

 

주의; 가상 머신 등이 설치되어 있어 추가 가상 NIC가 있거나, 2개 이상의 LAN 카드 인터페이스를 활용 중이어서 다수의 NIC가 존재하는 PC인 경우 우측 상단 ‘Interface List’ 를 클릭하여 패킷 캡쳐를 원하는 Network interface를 정확히 선택해야 한다.

wireshark_2_Netinterface

 

 

패킷 캡쳐가 시작되면 다음과 같이 캡쳐되어 분석 된 패킷의 종류와 구조를 한 눈에 확인할 수 있다.

상단 윈도우에서는 캡쳐가 시작된 시점부터 주어진 패킷의 번호와 시간, Source / Destination (출발지 / 목적지) IP 주소, Protocol 종류, 패킷 크기, Info 등 정보를 보여주며 중단 윈도우는 Network layer에 따라 분류 된 패킷의 헤더 정보를 한 눈에 보여준다. 하단 윈도우는 패킷의 Hex veiw이다.

wireshark_3

 

위 화면은 상단의 Start Icon이 비활성화 되어 있는 것을 알 수 있다. 이는 현재 패킷 캡쳐가 진행 중인 상황을 의미한다. 패킷의 효과적인 분석을 위해서는 확인이 필요한 일부 시점의 패킷을 저장하여 분석하는 과정이 필요할 수 있으므로, 패킷 저장을 수행한다.

주의; 와이어샤크의 패킷 캡쳐가 진행 중인 경우에는 패킷 파일 저장이 불가능하다. 상단 Capture 메뉴의 ‘Stop’ 혹은 빨간 네모 모양의 Stop Icon을 클릭하여 패킷 캡쳐를 중단한 후 저장(Save / Save as…)을 수행하자. 패킷 캡쳐가 중지되어 있는 경우, 상단 Stop Icon이 비 활성화 되어 쉽게 확인할 수 있다.

wireshark_5_stop

원하는 패킷의 캡쳐가 완료되면, 캡쳐를 중지한 뒤 File 메뉴의 ‘Save as…’를 선택한다. 이 때 Save as type은 매우 다양한 format을 지원하므로 필요에 따라 선택하도록 한다. 일반적으로 pcapng type을 선택하여 확장자 .pcapng로 저장하면 다시 와이어샤크 프로그램을 이용하여 Open이 가능하며 쉽게 분석에 활용할 수 있다.

wireshark_4_save_and_type

 

와이어샤크는 강력한 필터링 기능을 제공한다. 예를 들어 다음과 같이 ‘UDP’로 필터링하면 캡쳐된 패킷 중 UDP를 통해 전송된 패킷 만을 정렬하여 보여준다.

와이어샤크는 매우 많은 종류의 필터와, 필터 간 조합을 제공하므로 더 자세한 내용은 와이어샤크 공식 웹 사이트 www.wireshark.org를 참조 바란다. google에 간단히 검색해도 다수의 와이어샤크 필터 사용 가이드 / 튜토리얼이 오픈되어 있으므로 이를 참고하는 것도 좋다.

wireshark_5_filtering

 

Advertisements

답글 남기기

아래 항목을 채우거나 오른쪽 아이콘 중 하나를 클릭하여 로그 인 하세요:

WordPress.com 로고

WordPress.com의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

Twitter 사진

Twitter의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

Facebook 사진

Facebook의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

Google+ photo

Google+의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

%s에 연결하는 중