Technical/Network

패킷 캡쳐 및 분석 프로그램 - Wireshark (와이어샤크)

귀하신분 2013. 12. 9. 11:09

일전에 이더리얼 프로그램의 다운로드 및 사용 방법에 대하여 잠시 설명해 드린 적이 있습니다.

이더리얼은 무료로 사용할 수 있는 패킷 캡쳐 및 분석 툴로서 오랜 기간 많은 사랑을 받아왔는데요, 이러한 이더리얼 프로그램 외에도 많은 무료 툴들이 많은데요 이더픽이나 와이어샤크 등을 많이 사용하고 있습니다.

보안 문제가 대두되고 있는 지금 스니퍼 프로그램과 같은 유료 상용 프로그램을 사용하기 부담스러운 관리자분들에게 반드시 필요한 툴이 되겠습니다.

오늘은 무료 툴 중 와이어 샤크(Wireshark)에 대해 다운로드하고 설치 및 사용하는 방법에 대해 알려드리고자 합니다.

우선 Wire shark 프로그램을 다운로드하고 설치해야 하는데요, 아래 링크를 통해 기본 프로그램 및 pcap 프로그램을 설치합니다.

많이 보급된 프로그램으로 여러 다운로드 사이트에서 설치가 가능하겠지만, 100% 신뢰하기 위해 WireShark 제조사에서 다운로드하는게 상책일 것입니다.



와이어샤크 다운로드


본인은 64비트 윈도우7 운영체제를 사용하기 때문에 Windows Installer (64-bit) 를 선택하였습니다.

아래 부분에는 여러 운영체제에 맞게 컴파일된 설치파일을 다운로드할 수 있으며 Third-Party Packages 에서 제공해 주고 있습니다.

이더리얼때도 마찬가지고 x86 윈도우 운영체제일 경우 패킷 캡쳐를 위해 Winpcap 프로그램이 설치되어야 하는데요, 툴을 설치하는 중간 자동으로 설치되는 과정이 포함되오니 Wireshark 프로그램만 셋업하시면 되겠습니다.

윈도우 다운로더에 의해 다운로드된 설치 실행파일을 클릭하여 본격적으로 설치를 시작합니다.


와이어샤크 설치 파일


현재 릴리즈된 최신 버전은 1.10.3 Stable 버전으로 최적화된 안정성을 제공하고 있습니다.

와이어샤크 1.10.3 버전의 설치 마법사가 시작되며 Next > 버튼으로 설치를 시작합니다.


와이어샤크 설치 위자드 시작


와이어샤크 라이센스 사용권에 동의합니다.


와이어샤크 사용권 라이센스 동의


기본 GUI 프로그램 외에 TShark 라는 텍스트 기반 분석기 툴을 제공해 주고 있으며, 플러그인과 확장 프로그램, 추가적인 툴 및 사용자 가이드 메뉴얼을 함께 설치합니다.

필요하지 않은 항목은 체크 해제 후 진행합니다.


와이어샤크 설치 항목 선택


추가 단계에서는 시작 프로그램에 메뉴를 등록할 것인지, 바탕화면에 아이콘을 생성할 것인지, 빠른 실행메뉴에 등록할 것인지를 선택할 수 있으며, 원하는 항목을 체크합니다.

그리고 파일 확장자 자동 연결을 지정하는 단계인데요, 보통의 패킷 캡쳐 프로그램의 경우 cap나 pcap 등의 확장자명을 갖는 파일을 생성하게 되는데요, 그 외에도 지원 가능한 모든 확장자명(5vw, acp, apc, atc, bfr, enc, erf, fdc, out, pcapng, pkt, rf5, snoop, syc, tpc, tr1, trace, trc, vwr, wpc, wpz)을 자동으로 연결해 줍니다.


와이어샤크 추가 옵션


아래는 설치하고자 하는 컴퓨터의 위치를 지정해 주는 단계인데요, 기본적으로 프로그램파일 내에 설치되니 디폴트로 두고 계속 진행합니다.

와이어샤크 설치 위치 변경


설치 중간 WinPcap 프로그램을 설치하게 되는데요, 아래와 같이 이미 설치된 버전을 검색하여 새로운 버전으로 교체할 지의 여부를 묻고 있습니다.

WinPcap 에 대해 잘 모르시는 분들은 What is WinPcap? 버튼을 통하여 확인하시면 되겠으며 되도록 최신버전을 사용할 것을 권장하고 있습니다.


와이어샤크 설치 전 WinPcap 설치


설치가 진행됩니다.


와이어샤크 설치 진행 중


기존에 nmap이나 다른 패킷 캡쳐 및 분석 툴이 설치되어 있다면 WinPcap 프로그램은 설치되어 있을 것입니다.

그러한 패킷 캡쳐 프로그램들은 동일하게 WinPcap을 이용한 분석을 진행하기 때문입니다.


WinPcap 설치

WinPcap 설치 완료


이미 설치된 버전을 확인한 후 구 버전이거나 이전 버전이라면 자동으로 Uninstall 및 삭제를 진행하고 새로운 버전을 설치하게 됩니다.

현재 버전은 WinPcap 4.1.3 버전으로 대부분의 버전보다 상위 버전일 것이니 이전 버전은 지우고 새로 설치하심을 추천해 드립니다.


와이어샤크 설치 계속 진행


WinPcap 설치 후 와이어샤크는 계속해서 설치를 진행합니다.

아래는 설치가 완료된 화면입니다.


와이어샤크 설치 완료


Next를 눌러 마무리하면 Wireshark 1.10.3 프로그램을 실행할 것인지를 물어보게 됩니다.


와이어샤크 실행


체크 후 Finish를 눌러 와이어샤크를 실행합니다.

최초 실행된 화면은 아래와 같으며 스니퍼, 이더리얼 및 이더픽 등의 제품과 유사한 인터페이스를 제공합니다.



와이어샤크 실행 화면


이미 캡쳐된 덤프 파일이나 자료가 있을 경우 File - Open 으로 열어서 패킷을 열어볼 수 있으며 새롭게 패킷 분석을 위해 캡쳐해야 하는 경우에는 Capture - Start 덤프를 시작하면 되겠습니다.

Capture 메뉴에서는 캡쳐할 대상의 인터페이스를 선택한 후 진행하게 되는데요, 아래와 같이 Capture - Interfaces 메뉴에서 컴퓨터에 장착된 모든 Network 어댑터의 항목 중 원하는 어댑터를 선택한 후 캡쳐를 진행하시면 되겠습니다.


와이어샤크 캡쳐 대상 선택 및 시작


본인은 현재 사용 중인 이더넷 어댑터인 로컬영역연결의 Realtek PCIe GBE 이더넷 랜카드를 선택하여 캡쳐를 시작하였습니다.

Stop 버튼으로 덤프를 중지하고 캡쳐된 화면을 확인하시면 되겠습니다.


와이어샤크 패킷 분석 화면


시간별 source ip와 destination 목적지 ip별 패킷을 열거하여 주며  프로토콜 및 데이터 사이즈, 기본적인 정보를 나타내 줍니다.

각 패킷별 세부 내역을 확인하기 위해서는 아래의 창에 있는 프레임, 이더넷, ipv4/ipv6, 전송프로토콜 등의 항목에서 앞의 + 부분을 열어보면 패킷 내부의 계층별 타입 및 체크섬, 헤더, Flags 등의 상세 내역을 눈으로 확인할 수 있겠습니다.

와이어샤크가 수행하는 패킷 분석 기능으로서 기본적인 기능을 수행할 수 있으며, 분석 및 통계 메뉴를 통하여 한눈에 덤프된 내용 전체를 요약하여 볼 수도 있겠습니다.

추가된 Telephony 메뉴에서는 VoIP 콜에 대한 분석을 진행할 수 있도록 여러가지 체크 항목을 제공해 주고 있으니 Voice 패킷에 대한 분석에도 요긴하게 사용되어질 수 있겠습니다.

보통 이러한 패킷 캡쳐 및 분석 툴은 L3급 이상의 스위치나 라우터에서 포트 미러링 등의 수행을 통한 데이터 수집 및 분석을 위해 사용되어지며, 필드에서는 일반적인 더미허브를 통하여 트래픽 분석 및 유해트래픽 차단 등에 이용되고 있습니다.

서버 관리자나 프로그래머들에게 있어서는 프로그래밍 과정의 알고리즘 선택, 유형 및 패턴 분석 등에 이용되기도 합니다.

본인의 업무와 개인적인 연구 분석에 도움 되시길 바라며, 궁금하신 내용은 댓글이나 e-mail 문의 남겨주시면 성심 성의껏 답변해 드리도록 하겠습니다.