[Wireshark] PcapPlusPlus로 실시간 패킷 감지하기(예제 포함)

PcapPlusPlus를 사용하기 위한 준비 단계는 아래 링크를 참고하세요.

[Wireshark] Visual Studio에서 PcapPlusPlus 사용을 위한 준비 단계와 예제 코드 실행하기

예제 프로젝트 목표

본문의 예제 프로젝트의 목표는 다음과 같습니다. 항목 별로 차근차근 구현해 보겠습니다.

• 실시간 감지가 필요한 네트워크 어댑터를 선택하기
• 선택된 네트워크 어댑터로 들어오는 실시간 패킷을 콘솔 창에 보여주기
• 해당 패킷을 pcapng 파일로 저장하기

1. 네트워크 어댑터 목록 얻기

와이어샤크를 실행하면 제일 먼저 보이는 것이 어댑터 목록입니다. 어댑터를 선택하고 열게 되면 캡처가 시작되지요.

와이어샤크의 캡쳐 목록

PcapPlusPlus로 네트워크 목록을 얻는 방법은 아주 쉽습니다.

#include <PcapLiveDevice.h>
#include <PcapLiveDeviceList.h>

std::cout << "===== Device List =====" << std::endl;
int index = 0;
//auto 타입은 std::vector<pcpp::PcapLiveDevice*> 입니다.	
auto list = pcpp::PcapLiveDeviceList::getInstance().getPcapLiveDevicesList();
for (const auto& dev : list)
{
	std::cout << "[" << index++ << "] " << dev->getDesc() << std::endl;
}

위와 같이 사용하여 얻어진 목록을 콘솔 창에 출력하면 다음과 같습니다.

PcapPlusPlus로 얻어진 네트워크 목록

2. 어댑터 열고 닫기

목록에서 얻어진 PcapLiveDevice 객체의 open() 함수로 어댑터를 열 수 있습니다. 만약, 타임아웃이나 버퍼 크기, 무차별모드(Promiscuous mode) 등을 설정하기 원한다면, DeviceConfiguration을 인자로 넘겨 설정과 동시에 열 수 있습니다.

pcpp::PcapLiveDevice* dev;
//Select capture device
dev->open();
//or
pcpp::PcapLiveDevice::DeviceConfiguration config;
config.mode = pcpp::PcapLiveDevice::DeviceMode::Promiscuous;
config.packetBufferTimeoutMs = 1000;
dev->open(config);

 

캡처가 끝났다면, 간단하게 close()를 호출하여 닫을 수 있습니다.

dev->close();

3. 캡처 시작하고 멈추기

어댑터를 열었다면, 패킷을 획득하기 위해 캡처 시작을 해야 합니다. 캡처를 시작하는 함수는 startCapture()로, 4개의 오버로딩 함수를 지원합니다. 특별한 목적이 없다면, 사용하기 쉬운 기본형을 선택합니다. 패킷이 캡처될 때마다 콜백 함수가 호출되는 동작입니다.

startCapture 기본 함수

캡처를 정지하려면 간단하게 stopCapture()를 호출하면 됩니다.

//어댑터에서 패킷이 획득될 때 콜백 함수가 호출됩니다.
void packetArrives(pcpp::RawPacket* rawPacket, pcpp::PcapLiveDevice* dev, void* cookie)
{
	//rawPacket에는 획득된 정보가 담겨있습니다.
}

//...
dev->startCapture(packetArrives, nullptr);

//...
dev->stopCapture();

4. 캡처된 패킷 분석하기

캡처된 RawPacket에는 와이어샤크에서 보이는 모든 정보가 동일하게 담겨있습니다. pcpp::Packet 객체로 변환하여 각 레이어의 정보를 얻을 수 있습니다.

void packetArrives(pcpp::RawPacket* rawPacket, pcpp::PcapLiveDevice* dev, void* cookie)
{
    pcpp::Packet packet(rawPacket);
}

예를 들어, 다음의 정보를 얻을 수 있습니다.

• 패킷의 총길이
• 프로토콜 타입
• Source IP, Destination IP Address 및 Port
• 체크섬 계산
• Payload 데이터
• TCP Flag 등

이 외에 직접 데이터 편집이 필요하다면, Data Pointer를 얻어 확인할 수 있습니다.

5. 패킷 기록하기(Dump)

PcapPlusPlus도 와이어샤크처럼 캡처된 패킷을 pcap 또는 pcapng 파일로 저장할 수 있습니다.

#include <PcapFileDevice.h>

pcpp::PcapFileWriterDevice dumper("test.pcapng");
dumper.open();

//...
dumper.writePacket(rawPacket);
//...

dumper.close();

만약, 이미 저장된 파일을 불러와 기록된 패킷을 꺼내고 싶다면 다음의 예제 코드를 참고하세요. pcap과 pcapng 파일의 읽고 쓰기 예시입니다.

//pcap 파일 불러오기
pcpp::PcapFileReaderDevice pcapReader("input.pcap");
pcapReader.open();

//pcapng 파일 생성하기
pcpp::PcapNgFileWriterDevice pcapNgWriter("output.pcapng");
pcapNgWriter.open();

//raw packet 객체
pcpp::RawPacket rawPacket;

//pcap 파일의 패킷을 읽어들인 후 pcapng 파일에 쓰기
while (pcapReader->getNextPacket(rawPacket)) {
  pcapNgWriter.writePacket(rawPacket);
}

pcapNgReader.close();
pcapNgWriter.close();

예제 프로젝트 설명

본문의 예제 프로그램은 네트워크 어댑터에 연결한 후 100개의 패킷을 획득하고 pcapng 파일로 저장하는 동작을 보여줍니다. 용량 문제로, 첨부된 파일에는 npcap과 pcapplusplus 라이브러리 파일은 제외하고 프로젝트 파일만 있습니다.

ExamPcapPlusPlus.zip

0.00MB

예제 프로그램 실행 화면

정리하며

본문에서는 기본적인 사용 방법을 다뤄봤습니다. Pcap++ 라이브러리를 사용하면 패킷 캡처 라이브러리를 자세히 모르더라도 아주 쉽게 접근할 수 있다는 것을 알게 됐습니다. 필요한 기능만 잘 구현한다면 와이어샤크 못지않은 패킷 모니터링이 가능하겠죠?