[Wireshark] 패킷 분석의 시작, 와이어샤크! 기본 사용법 정리

와이어샤크(Wireshark)란?

와이어샤크는 네트워크 패킷을 감시 및 분석하는 프로그램으로, 이름이 가장 널리 알려진 소프트웨어입니다. 네트워크 장비뿐만 아니라 머신 비전 카메라를 사용하는 경우에도 어떠한 문제가 있다면 와이어샤크로 패킷을 분석하고 문제점을 찾는데 도움이 됩니다.

또한, TCP 통신으로 장치와 명령어를 주고받으면서 패킷의 데이터 형태는 어떠한지 학습하는 데에도 유용하게 사용됩니다.

와이어샤크의 주요 특징은 다음과 같습니다.

• GNU GPLv2 라이선스(자유 소프트웨어)
• 크로스 플랫폼(Windows, Linux, Mac 등 지원)
• 패킷 분석을 위한 GUI 제공
• 무차별 모드(promiscuous mode) 지원
• Loopback 뿐만 아니라 시스템의 네트워크 어댑터도 분석 가능
• 파일 형태로 기록 가능

 

와이어샤크 다운로드하기

와이어샤크 공식 홈페이지에 접속한 후 사용하는 운영체제에 맞는 파일을 다운로드합니다.

https://www.wireshark.org/#download

Wireshark · Go Deep.

 

와이어샤크 설치하기

프로그램을 설치하는 과정은 아주 간단합니다. 웬만한 옵션은 건들지 말고 Next 버튼만 클릭하여 설치하면 됩니다. 참고로, 설치 중간에 아래와 같이 Npcap 드라이버 설치 과정이 있습니다. 해당 드라이버가 있어야 캡처가 가능하므로 반드시 체크를 해야 합니다.

저는 Npcap 드라이버를 별도로 설치했으므로, 설치 과정 중에 설치가 필요 없다는 메시지가 표시됐습니다.

Npcap 드라이버 설치하기

이 외에 USB 트래픽을 캡처하고 싶다면 체크 박스를 선택하고 설치를 진행합니다.

USB 캡쳐 설치 옵션

그러면 설치가 완료됩니다.

설치가 완료된 모습

 

와이어샤크 기본 사용 방법

1. 패킷 분석을 위한 어댑터 연결하기

설치된 Wireshark를 실행하면, 아래와 같이 패킷 수집이 가능한 네트워크 어댑터 목록이 표시됩니다. 만약, 루프백 테스트를 하는 경우에는 'Adapter for loopback traffic capture'를 선택하면 됩니다.

네트워크 어댑터 목록

어댑터 목록 중 하나를 더블 클릭하면, 아래와 같이 패킷 수집이 시작됩니다. 저는 루프백 어댑터를 선택했습니다.

패킷이 수집된 모습

2. 패킷 분석 시작과 중지, 캡처된 패킷 저장하기

프로그램 좌측 상단의 중지(Stop) 버튼을 클릭하면 캡처가 중지됩니다.

패킷 캡쳐를 중지하는 방법

다시 캡처를 시작하려면 좌측 상단의 시작(Start) 버튼을 클릭하면 됩니다.

패킷 캡쳐를 시작하는 방법

이미 캡처된 패킷이 있다면 시작 버튼을 클릭했을 때 저장 여부 안내 창이 표시됩니다. 저장이 필요하면 '저장' 버튼을, 필요 없다면 'Continue without Saving' 버튼을 클릭합니다.

패킷 저장 여부 안내 창

또는 좌측 상단의 File 메뉴 중 Save, Save As 메뉴를 클릭하여 저장할 수 있습니다.

패킷 저장하기 메뉴

만약, 다시 캡처를 원한다면 다시 시작(Restart) 버튼을 클릭합니다.

패킷 캡쳐 다시 시작하기

3. 필터 사용하여 원하는 패킷만 보기

툴바 아래에 IP 주소나 포트 번호, 그 외의 조건을 설정하여 원하는 패킷만 볼 수 있습니다.

필터 적용하여 원하는 패킷만 수집하기

자주 사용하는 필터 조건은 다음과 같습니다. 주로 보내는 IP 주소와 목적지 IP 주소 정보로 주고받는 패킷만 보고 싶을 때 사용합니다. 그리고 논리 연산자를 사용하여 AND, OR와 같은 조건도 같이 사용할 수 있습니다.

항목	설명
ip.src	보내는 IP 주소
ip.dst	받는(목적지) IP 주소
tcp.srcport	보내는 TCP 포트 번호
tcp.dstport	받는(목적지) TCP 포트 번호

보내는 IP 주소를 필터링한 모습