와이어샤크(WireShark) 사용하기 (1) - 설치 / 패킷 캡처

▷ 설치

 

와이어샤크(WireShark) : 패킷 스니퍼 프로그램 / 네트워크 패킷 캡처 및 분석 SW이다.

( 패킷 스니퍼 (Packet Sniffer) - 프로토콜을 실행하는 실체들 간에 교환되는 메시지를 관찰하는 도구)

네트워크의 문제, 분석, 소프트웨어 및 통신 프로토콜 개발, 교육에 쓰인다.

 

 

https://www.wireshark.org/#download 에서 설치 가능

Wireshark · Go Deep.

 

 

 

(출처) [ 와이어샤크 특징 / 기능 ]

• 실시간 네트워크 연결의 유선으로부터 데이터를 포획하고, 이미 포획한 패킷을 기록해둔 파일로부터 데이터를 읽을 수 있다.
• 실시간 데이터를 이더넷, IEEE 802.11, PPP, 루프백을 포함한 수많은 네트워크로부터 읽을 수 있다.
• 포획한 네트워크 데이터는 GUI나 터미널 (명령 줄) 버전의 유틸리티 TShark를 통해 탐색할 수 있다.
• 포획한 파일들은 editcap 프로그램으로의 명령 줄 스위치를 통하여 프로그래밍하듯이 편집하거나 변환할 수 있다.
• 데이터 표현은 디스플레이 필터를 이용하여 정리할 수 있다.
• 새로운 프로토콜 분석을 위해 플러그인을 만들 수 있다.
• 포획한 트래픽 내의 VoIP 호출을 감지할 수 있다. 호환되는 인코딩으로 부호화되면 미디어 플로도 재생할 수 있다.
• 와이어샤크를 통해 순수 USB 트래픽을 포획할 수 있다.[2] 이 기능은 현재 리눅스에서만 이용할 수 있다. 

 

 

 

 

---

 

▷ 패킷 캡처

 

와이어샤크를 실행시키면 다음과 같은 화면이 뜬다

Wi-Fi에 연결된 상태인 것을 알 때, 더블클릭해서 바로 캡쳐할 수 있다

 

 

필요한 연결이 따로 있거나 각 연결들의 자세한 정보를 보기 위해서는 Capture(캡처) > Options...(옵션)을 이용한다

 

 

옵션을 누르면 다음과 같은 화면이 뜬다

여기에서 본인 컴퓨터 IP주소가 잡히는 것을 확인할 수 있다

 

 

 Capture(캡처) > Options...(옵션) > Output

캡처 조건을 지정할 수 있는 페이지

• Output for : 캡처 파일의 저장형태 지정 - 분석 SW의 지원형태에 따라 필요한 것이 달라질 수 있음
• Create a new file automatically : 자동적으로 파일을 나눠서 저장해줌 (용량기준 / 시간기준)

 

창을 닫고 연결을 더블클릭하거나, 선택 후 왼쪽 맨 위 상어 모양을 누르면 실시간으로 통신되는 패킷이 캡처된다

(왼쪽부터 순서대로) 패킷이 수집된 순서 / 시간 / 패킷을 보낸 주소 / 받은 주소 / 프로토콜 정보 / 패킷 길이 / 패킷 정보

 

 

실시간으로 아주 많은 패킷이 캡처되는 것을 확인할 수 있다.

여기서 필요한 정보들만 얻기 위해서는 '필터'기능을 사용한다.