Wireshark 설명 및 설치 방법 정리

Wireshark 설명 및 설치 방법

네트워크를 공부하시는 분들이라면 한 번쯤 Wireshark에 대해 들어 보셨을겁니다. 리눅스에 익숙하신 분들은 tcpdump를 더 잘 사용하시는 것으로 알고 있습니다. 물론 하는 기능은 거의 똑같다고 보시면 됩니다. 이번에는 Wireshark에 대한 기본적인 설명을 하고 나중에 관련 기능에 대해 자세히 설명하도록 하겠습니다.

들어가기 전에 와이어샤크를 사용하실 때 네트워크 패킷에 대한 공부 목적으로 켜서 보시는 것은 좋지만 와이어샤크로 허가되지 않은 망의 패킷을 잡아서 보거나 하는 것은 불법입니다. 책임은 사용자 본인에게 있습니다.

설명

와이어샤크는 무료 오픈소스로 사용할 수 있는 패킷분석 도구입니다. 이더리얼(Ethereal)이라는 이름의 프로젝트로 시작되었으며 2006년에 Wireshark로 이름을 바꾸었습니다. 비슷한 기능을 하는 리눅스의 프로그램은 tcpdump가 있습니다.

와이어샤크는 크로스 플랫폼으로 리눅스, 맥 OS X, BSD, 솔라리스를 포함한 다양한 유닉스 계열 운영 체제와 마이크로소프트 윈도우에서 동작합니다. GTK+ 위젯 툴킷을 이용하여 사용자 인터페이스를 제공하며, pcap을 이용하여 패킷을 포획합니다.

GUI가 없는 터미널 기반 버전인 티샤크(TShark)도 제공합니다. 티샤크는 터미널 명령어로 사용해야 하는데 와이어샤크 사용법을 포스팅하면서 명령어 몇가지에 대해 알아보도록 하겠습니다.

와이어샤크나 TShark와 같은 프로그램과 함께 배포되는 여러 프로그램들은 자유 소프트웨어로, GNU 일반 공중 사용 허가서의 조건으로 공개됩니다. GNU에 대해서는 앞서 포스팅한 GNU/Linux에서 잠깐 언급한적 있습니다.

와이어샤크는 tcpdump와 매우 비슷하지만 그래픽으로 볼 수 있다는 점과 정렬, 필터링 옵션이 몇 가지 추가된 점이 다릅니다. 와이어샤크는 무차별 모드(promiscuous mode)를 지원하는 네트워크 인터페이스(랜카드)를 통해 패킷을 캡쳐할 수 있습니다.

패킷을 캡쳐하기전에 확인할 점은 지금 현재의 랜카드가 패킷 캡쳐를 지원하는지에 대한 여부 입니다. 패킷 캡쳐가 지원되지 않으면 와이어샤크를 켜고 시작해도 아무런 의미가 없습니다.

패킷캡쳐가 되는 랜카드라면 인터페이스의 구성 주소와 브로드캐스트 /멀티캐스트 트래픽을 포함한 모든 트래픽이 해당 인터페이스에 나타납니다. 그러나 네트워크 스위치 포트의 무차별 모드에서 패킷 포획을 할 때 스위치를 통하는 모든 트래픽이 모두 잡히는 것은 아닙니다. 그러므로 무차별 모드에서의 포획은 네트워크의 트래픽을 모두 확인하지는 못합니다. 포트 미러링이나 다양한 네트워크 탭을 이용하면 네트워크 상의 어느 지점으로까지 포획 범위를 넓힐 수 있습니다. ( 장비가 있을 경우를 이야기합니다. 장비가 없을 경우에는 현재 볼 수 있는 곳까지만 봐야하며 네트워크 담당자라면 원하는 곳까지 볼 수 있을 것입니다. ) 

 

여러가지 기능들

와이어샤크를 잘 사용하기 위해서는 네트워크의 구조와 프로토콜에 대해 잘 알고 있어야 합니다. 아무것도 모르는 상태에서 패킷 캡쳐 기능을 사용해도 해석할 수 없다면 아무런 소용이 없습니다.

와이어샤크는 각기 다른 네트워크 프로토콜의 구조를 이해하는 소프트웨어입니다. 그러므로 각기 다른 네트워크 프로토콜이 규정한 각기 다른 패킷의 의미와 더불어 필드와 요약 정보를 보여줄 수 있습니다.

실시간 네트워크 연결의 유선으로부터 데이터를 포획하고, 이미 포획한 패킷을 기록해둔 파일로부터 데이터를 읽을 수 있습니다.

실시간 데이터를 이더넷, IEEE 802.11, PPP, 루프백을 포함한 수많은 네트워크로부터 읽을 수 있습니다.

네트워크 데이터는 GUI ( Wireshark )나 터미널 버전의 유틸리티 TShark를 통해 탐색할 수 있습니다.

포획한 파일들은 editcap 프로그램으로의 명령 줄 스위치를 통하여 프로그래밍하듯이 편집하거나 변환할 수 있습니다.

디스플레이 필터를 이용가능하며 패킷을 정리할 수 있습니다.

새로운 프로토콜 분석을 위해 플러그인을 만들 수 있습니다.

포획한 트래픽 내의 VoIP 호출을 감지할 수 있습니다. 호환되는 인코딩으로 부호화되면 미디어 플로도 재생할 수 있습니다.

Pcap

와이어샤크는 pcap을 이용하여 캡처를 포획하므로 pcap이 지원하는 종류의 네트워크의 패킷만 포획할 수 있습니다. pcap은packet capture의 줄임말로 패킷 캡쳐라는 뜻입니다. pcap은 컴퓨터 네트워크 관리 분야에서 네트워크 트래픽 포착용 API가지고 있습니다. 유닉스 계열 운영 체제들은 libpcap 라이브러리에 pcap을 포함하고 있고 윈도우는 WinPcap이라는 libpcap 포팅을 이용합니다.

libpcap이나 WinPcap을 이용하여 네트워크 상에 떠돌아다니는 패킷을 포착할 수 있으며 새로운 버전에서는 링크 레이어 상의 네트워크 패킷을 전송할 수 있을 뿐 아니라 libpcap이나 WinPcap과 함께 이용할 수 있는 네트워크 인터페이스 목록을 가져올 수 있습니다. pcap을 이용한 ARP Poisoning과 같은 공격 코드들은 인터넷에서 쉽게 구할 수 있습니다. 강력한 기능을 제공하고 프로그램으로 짤 수 있습니다.

 

설치법

1. 와이어샤크 공식 홈페이지 접속

Wireshark.org 공식 홈페이지에 접속하게 되면 위와 같은 상어그림이 반기고 있습니다. 상어 그림이 나오면 제대로 들어가셨으니 다운로드를 클릭하시면 됩니다. 

2. wireshark 다운로드

운영체제 별로 상이한 설치 프로그램이 있으니 자신의 운영체제에 맞춰 설치 프로그램을 다운로드 하시면 됩니다.

저는 Windows 64bit로 받았습니다.

3. Wireshark 설치

설치 실행파일을 실행시키면 알아서 설치가 됩니다. 다음을 눌러서 원하는 것들을 선택하시면 됩니다. 여기서 중요한 점은 윈도우를 쓰고 계신다면 WinPcap을 설치한다고 할 것이냐고 물어보는데 이상한 프로그램이 아니니 설치해 주시기 바랍니다. WinPcap은 Wireshark에서 사용하고 있는 패킷 캡처를 할 수 있는 엔진과 같다고 보시면 됩니다.